Поделиться через

Развертывание и настройка Брандмауэра Azure с помощью портала Azure

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, может потребоваться ограничить доступ к веб-сайтам. Кроме того, может потребоваться ограничить исходящие IP-адреса и порты, к которым можно получить доступ.

Вы можете управлять доступом к исходящей сети из подсети Azure только с помощью Брандмауэра Azure. Брандмауэр Azure позволяет настроить:

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

При маршрутизации сетевого трафика через брандмауэр, используемый в качестве шлюза по умолчанию для подсети, к трафику применяются настроенные правила брандмауэра.

В этой статье описано, как создать упрощенную виртуальную сеть с двумя подсетями для простого развертывания.

Для рабочих развертываний рекомендуется использовать модель концентратора и спиц, где брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки находятся в одноранговых виртуальных сетях в Западной части США с одной или несколькими подсетями.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра.

В этой статье вы узнаете, как:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • Развертывание Бастиона Azure для безопасного доступа к виртуальной машине
  • тестирование брандмауэра.

Примечание.

В этой статье для управления брандмауэром используются классические правила брандмауэра. Рекомендуется использовать политику брандмауэра. Сведения о том, как выполнить эту процедуру с использованием политики брандмауэра, см. в учебнике по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Предварительные условия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создать группу ресурсов

Группа ресурсов содержит все ресурсы, используемые в этой процедуре.

  1. Войдите на портал Azure.
  2. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Затем выберите Создать.
  3. Для подписки выберите свою подписку.
  4. В качестве имени группы ресурсов введите Test-FW-RG.
  5. В поле Регион выберите Западная часть США. Все другие создаваемые ресурсы должны находиться в западной части США.
  6. Выберите Просмотр и создание.
  7. Нажмите кнопку создания.

Создание виртуальной сети

Эта виртуальная сеть имеет две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портала Azure или на домашней странице найдите и выберите "Виртуальные сети".

  2. Нажмите кнопку создания.

  3. На вкладке Основные сведения настройте следующие параметры:

    Настройка Значение
    Subscription Выбор подписки
    Группа ресурсов Test-FW-RG
    Имя виртуальной сети Test-FW-VN
    Область/регион Западная часть США

  4. Выберите Далее.

  5. На вкладке "Безопасность" настройте следующие параметры:

    Настройка Значение
    Включение брандмауэра Azure Выбрано
    Имя брандмауэра Azure Test-FW01
    Тир Стандарт
    Policy Нет (используйте классические правила брандмауэра)
    общедоступный IP-адрес Брандмауэр Azure Выберите "Создать общедоступный IP-адрес", введите fw-pip для имени и нажмите кнопку "ОК"

  6. Выберите Далее.

  7. На вкладке IP-адресов настройте следующие параметры:

    Настройка Значение
    Адресное пространство Примите значение по умолчанию 10.0.0.0/16
    подсети; Выберите значение по умолчанию, измените имя на Workload-SN и задайте начальный адрес10.0.2.0/24. Выберите Сохранить.

  8. Выберите Просмотр и создание.

  9. Нажмите кнопку создания.

Примечание.

Брандмауэр Azure по мере необходимости использует общедоступные IP-адреса на основе доступных портов. После случайного выбора общедоступного IP-адреса для исходящего трафика он будет использовать только следующий общедоступный IP-адрес после отсутствия дополнительных подключений из текущего общедоступного IP-адреса. В сценариях с большим объемом трафика и пропускной способностью рекомендуется использовать шлюз NAT для обеспечения исходящего подключения. Порты SNAT динамически выделяются во всех общедоступных IP-адресах, связанных с шлюзом NAT. Дополнительные сведения см. в статье Масштабирование портов SNAT с помощью шлюза NAT Azure.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Ubuntu Server 22.04 LTS.

  3. Введите следующие значения для виртуальной машины:

    Настройка Значение
    Группа ресурсов Test-FW-RG
    Имя виртуальной машины Srv-Work
    Область/регион West US
    Изображение Ubuntu Server 22.04 LTS — x64 Gen2
    Size Standard_B2s
    Тип аутентификации Открытый ключ SSH
    Имя пользователя azureuser
    SSH public key source (Источник открытого ключа SSH) Создание пары ключей
    Имя пары ключей Srv-Work_key

  4. На вкладке "Сеть" настройте следующие параметры:

    Настройка Значение
    Виртуальная сеть Test-FW-VN
    Подсеть Workload-SN
    Общедоступный IP-адрес Нет

  5. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  6. Примите значения по умолчанию и нажмите кнопку "Далее: мониторинг".

  7. Для параметра Диагностика загрузки выберите Отключить. Примите другие значения по умолчанию и выберите Просмотр и создание.

  8. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  9. В диалоговом окне "Создание пары ключей " выберите "Скачать закрытый ключ" и создайте ресурс. Сохраните файл ключа как Srv-Work_key.pem.

  10. После завершения развертывания выберите "Перейти к ресурсу " и запишите частный IP-адрес Srv-Work , который потребуется использовать позже.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Проверка брандмауэра

  1. Перейдите в группу ресурсов и выберите брандмауэр.
  2. Запишите частный и общедоступный IP-адреса брандмауэра. Вы будете использовать эти адреса позже.

Создание маршрута по умолчанию

При создании маршрута для исходящего и входящего подключения через брандмауэр по умолчанию используется маршрут 0.0.0.0/0 с частным IP-адресом виртуального устройства в качестве следующего прыжка. Это направляет все исходящие и входящие подключения через брандмауэр. Например, если брандмауэр выполняет TCP-подтверждение и отвечает на входящий запрос, ответ перенаправляется на IP-адрес, который отправил трафик. Это сделано намеренно.

В результате не нужно создавать другой определяемый пользователем маршрут для включения диапазона IP-адресов AzureFirewallSubnet. Это может привести к разорванным соединениям. Достаточно исходного маршрута по умолчанию.

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. На портале Azure найдите и выберите таблицы Route.

  2. Нажмите кнопку создания.

  3. На вкладке Основные сведения настройте следующие параметры:

    Настройка Значение
    Subscription Выбор подписки
    Группа ресурсов Test-FW-RG
    Область/регион Западная часть США
    Имя Маршрут брандмауэра
    Пропагировать маршруты шлюза Выберите нужный вариант

  4. Выберите Просмотр и создание.

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице "Маршрут брандмауэра " выберите "Параметры>подсетей" и выберите "Связать".

  2. Для виртуальной сети выберите Test-FW-VN.

  3. В качестве Подсети выберите Workload-SN. Убедитесь, что для этого маршрута выбрана только подсеть Workload-SN. В противном случае брандмауэр не будет работать правильно.

  4. Нажмите ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. Настройте маршрут со следующими параметрами:

    Настройка Значение
    Имя маршрута fw-dg
    Тип назначения IP-адреса
    Диапазоны IP-адресов назначения и CIDR 0.0.0.0/0
    Тип следующего прыжка Виртуальное устройство. На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.
    Адрес следующего прыжка Частный IP-адрес для брандмауэра, который вы указали ранее

  7. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01 .

  2. На странице Test-FW01 в разделе Параметры выберите Правила (классическая модель).

  3. Откройте вкладку Коллекция правил приложения.

  4. Выберите Добавление коллекции правил приложений.

  5. Настройте коллекцию правил со следующими параметрами:

    Настройка Значение
    Имя App-Coll01
    Priority 200
    Действие Разрешить

  6. В разделе ПравилаЦелевые полные доменные имена (FQDNs), настройте следующие параметры:

    Настройка Значение
    Имя Allow-Google
    Тип источника IP-адрес
    Исходный материал 10.0.2.0/24
    Протокол:порт http, https
    Целевые полные доменные имена (FQDN) www.google.com

  7. Выберите Добавить.

Брандмауэр Azure включает встроенную коллекцию правил для полностью квалифицированных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. Для получения дополнительной информации см. инфраструктурные FQDN.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Откройте вкладку Коллекция правил сети.

  2. Выберите Добавить коллекцию правил сети.

  3. Настройте коллекцию правил со следующими параметрами:

    Настройка Значение
    Имя Net-Coll01
    Priority 200
    Действие Разрешить

  4. В разделе "Правила" IP-адреса настройте следующие параметры:

    Настройка Значение
    Имя Allow-DNS
    Протокол UDP
    Тип источника IP-адрес
    Исходный материал 10.0.2.0/24
    Тип назначения IP-адрес
    Адрес назначения 209.244.0.3,209.244.0.4 (общедоступные DNS-серверы, управляемые level3)
    Порты назначения 53

  5. Выберите Добавить.

Развертывание Бастиона Azure

Теперь разверните Бастион Azure, чтобы обеспечить безопасный доступ к виртуальной машине.

  1. В меню портала Azure выберите Создать ресурс.

  2. В поле поиска введите Бастион и выберите его из результатов.

  3. Нажмите кнопку создания.

  4. На вкладке Основные сведения настройте следующие параметры:

    Настройка Значение
    Subscription Выбор подписки
    Группа ресурсов Test-FW-RG
    Имя Тест-бастион
    Область/регион Западная часть США
    Тир Разработчик
    Виртуальная сеть Test-FW-VN
    Подсеть Выберите "Изменить подсеть"

  5. На странице "Изменить подсеть" настройте следующие параметры:

    Настройка Значение
    Начальный адрес 10.0.4.0/26
    Size /26

  6. Нажмите кнопку "Сохранить " и закройте страницу подсетей.

  7. Выберите Просмотр и создание.

  8. После прохождения проверки выберите Создать.

Примечание.

Развертывание Бастиона занимает около 10 минут. Уровень разработчика предназначен для тестирования и оценки. Для рабочих развертываний ознакомьтесь с вариантами SKU Azure Bastion в разделе Сравнение SKU Azure Bastion.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием для "Брандмауэра Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.

  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.

  3. В разделе Параметры выберите DNS-серверы.

  4. Для параметра DNS-серверы выберите значение Пользовательский.

  5. Настройте следующие DNS-серверы:

    DNS server Значение
    Primary 209.244.0.3
    Secondary 209.244.0.4

  6. Выберите Сохранить.

  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. На портале Azure перейдите к виртуальной машине Srv-Work .

  2. Выберите Подключить, затем выберите Подключить через Bastion.

  3. Выберите "Использовать закрытый ключ SSH" из локального файла.

  4. Для имени пользователя введите azureuser.

  5. Щелкните значок папки и перейдите к скачанном ранее файлу Srv-Work_key.pem .

  6. Нажмите Подключиться.

  7. В командной строке bash выполните следующие команды, чтобы проверить разрешение DNS:

    nslookup www.google.com
nslookup www.microsoft.com

    Обе команды должны вернуть ответы, подтверждающие успешное прохождение DNS-запросов через брандмауэр.

  8. Выполните следующие команды, чтобы проверить правило приложения:

    curl https://www.google.com
curl https://www.microsoft.com

    Запрос www.google.com должен завершиться успешно, и вы увидите HTML-ответ.

    Запрос www.microsoft.com должен завершиться ошибкой, показывая, что брандмауэр блокирует запрос.

Теперь вы убедились, что правила брандмауэра работают:

  • Вы можете подключиться к виртуальной машине с помощью Бастиона и SSH.
  • Вы можете перейти к одному разрешенному полному доменному имени (FQDN), но не к другим.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, содержащую все связанные с брандмауэром ресурсы.

Следующие шаги

  • Last updated on