Поделиться через

Руководство по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure

  • Статья

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, вы можете ограничить доступ к веб-сайтам Возможно, вы захотите ограничить доступ к исходящим IP-адресам и портам.

Управлять доступом исходящих сетевых подключений из подсети Azure можно с помощью Брандмауэра Azure и политики брандмауэра. С помощью Брандмауэра Azure и политики брандмауэра можно настроить указанные ниже элементы.

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

Когда вы маршрутизируете сетевой трафик на брандмауэр, используемый в качестве шлюза по умолчанию для подсети, к трафику применяются настроенные правила брандмауэра.

В этом руководстве вы создадите упрощенную виртуальную сеть с двумя подсетями для легкого развертывания.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра.

Для развертываний в рабочей среде рекомендуется использовать модель концентратор-спица, в которой брандмауэр находится в собственной виртуальной сети (VNet). Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • Настройте правило NAT для удаленного доступа к тестовому серверу по рабочему столу.
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Предусловия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создать группу ресурсов

Группа ресурсов содержит все ресурсы, необходимые для работы с этим руководством.

  1. Войдите на портал Azure.

  2. В меню портал Azure выберите группы ресурсов или найдите и выберите группы ресурсов на любой странице, а затем нажмите кнопку "Создать". Введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Введите Test-FW-RG.
    Область/регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  3. Выберите Просмотр + создание.

  4. Нажмите кнопку создания.

Создание виртуальной сети

В этой VNet будет две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Сети.

  3. Найдите виртуальную сеть и нажмите кнопку "Создать".

  4. Введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите test-FW-VN.
    Область/регион Выберите то же место, которое вы использовали ранее.

  5. Выберите Далее.

  6. На вкладке "Безопасность " нажмите кнопку "Далее".

  7. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  8. В разделе Подсети выберите по умолчанию.

  9. На странице "Изменить подсеть" для назначения подсети выберите Брандмауэр Azure.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

  10. Для начального адреса введите 10.0.1.0.

  11. Выберите Сохранить.

Теперь создайте подсеть для сервера рабочей нагрузки.

  1. Нажмите Добавить подсеть.
  2. В поле Имя подсети введите Workload-SN.
  3. Для начального адреса введите 10.0.2.0/24.
  4. Выберите Добавить.
  5. Выберите Просмотреть и создать (Review + create).
  6. Нажмите кнопку создания.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите или выберите следующие значения для виртуальной машины:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя виртуальной машины Введите Srv-Work.
    Область/регион Выберите то же местоположение, которое вы использовали ранее.
    Username Введите имя пользователя.
    Пароль Введите пароль.

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Нажмите кнопку "Далее:Мониторинг".

  11. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  13. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Развертывание брандмауэра и политики

Разверните брандмауэр в виртуальной сети.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Введите брандмауэр в строку поиска и нажмите Enter.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите Test-FW01.
    Область/регион Выберите то же место, что использовали ранее.
    Управление брандмауэром Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
    Политика брандмауэра Выберите " Добавить новую" и введите fw-test-pol.
    Выберите тот же регион, который вы использовали ранее.
    Выберите виртуальную сеть Выберите "Использовать существующий", а затем выберите Test-FW-VN.
    Общедоступный IP-адрес Выберите Добавить новое и введите fw-pip в поле Имя.

  5. Снимите флажок "Включить сетевой адаптер управления брандмауэром".

  6. Примите другие значения по умолчанию, а затем нажмите кнопку "Далее: теги".

  7. Выберите Далее: проверка и создание.

  8. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание может занять несколько минут.

  9. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  10. Запишите частный и общедоступный IP-адреса брандмауэра. Эти адреса вам пригодятся позже.

Создание маршрута по умолчанию

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Нажмите кнопку "Создать", а затем введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Область/регион Выберите то же самое место, которое вы использовали ранее.
    Имя. Введите маршрут брандмауэра.

  4. Выберите Просмотреть и создать.

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут в разделе Параметры щелкните Подсети, а затем выберите Связать.

  2. Для виртуальной сети выберите Test-FW-VN.

  3. В качестве подсети выберите Workload-SN.

  4. Нажмите ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. В поле "Имя маршрута" введите fw-dg.

  7. Для типа назначения выберите IP-адреса.

  8. Для IP-адресов назначения/префикса диапазонов CIDR введите 0.0.0.0/0.

  9. В поле Тип следующего прыжка выберите Виртуальное устройство.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  10. Для адреса следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.

  11. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol.
  2. В разделе "Параметры" выберите правила приложения.
  3. Щелкните Добавить коллекцию правил.
  4. В поле "Имя" введите App-Coll01.
  5. В качестве приоритета введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В Правилах, для Имя введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В параметре Protocol:port введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. Для назначения введите www.google.com
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите Net-Coll01.
  4. В качестве приоритета введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе Правила для Name введите Allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. Для конечных портов введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. Для назначения введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет CenturyLink.
  14. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет подключить удаленный рабочий стол к виртуальной машине Srv-Work через брандмауэр.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите RDP.
  4. В качестве приоритета введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе Правила для Имя, введите rdp-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. Введите для параметра Источник значение *.
  9. В поле Протокол выберите TCP.
  10. В поле Целевые порты введите значение3389.
  11. В поле "Назначение" введите общедоступный IP-адрес брандмауэра.
  12. Для переведенного типа выберите IP-адрес.
  13. В поле "Переведенный адрес" введите частный IP-адрес Srv-work .
  14. Для параметра Преобразованный порт введите значение 3389.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в рамках этого руководства настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием для Брандмауэра Azure.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и войдите на виртуальную машину Srv-Work

  2. Откройте Microsoft Edge и перейдите на https://www.google.com.

  3. При появлении оповещений безопасности в Internet Explorer выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите в https://www.microsoft.com.

    Брандмауэр должен вас заблокировать.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Вы можете перейти к одному разрешенному FQDN, но не к другим.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium