Planen der Azure Firewall-Bereitstellung
Bevor Sie Azure Firewall bereitstellen können, müssen Sie Ihre Netzwerktopologie planen, die erforderlichen Firewallregeln identifizieren und die Bereitstellungsschritte verstehen.
Empfohlene Netzwerktopologie
Erinnern Sie sich daran, dass azure Firewall am besten mithilfe einer Hub-and-Spoke-Netzwerktopologie mit den folgenden Merkmalen bereitgestellt wird:
- Ein virtuelles Netzwerk, das als zentraler Konnektivitätspunkt fungiert: Dieses Netzwerk ist das virtuelle Hubnetzwerk.
- Ein oder mehrere virtuelle Netzwerke, die an den Hub gekoppelt sind. Diese Peers sind die virtuellen Spoke-Netzwerke, die für die Bereitstellung von Workloadservern verwendet werden.
Sie können die Firewallinstanz in einem Subnetz des virtuellen Hubnetzwerks bereitstellen und dann den gesamten eingehenden und ausgehenden Datenverkehr so konfigurieren, dass er die Firewall durchläuft. Sie verwenden diese Konfiguration, wenn Sie Azure Firewall bereitstellen, um den Hostpool für Azure Virtual Desktop zu schützen.
Azure Firewall-Regeln
Denken Sie daran, dass die Firewall standardmäßig den Zugriff auf alles verweigert. Ihre Aufgabe besteht darin, die Firewall mit den Bedingungen zu konfigurieren, unter denen der Datenverkehr durch die Firewall zugelassen werden soll. Jede Bedingung wird als Regel bezeichnet. Jede Regel wendet eine oder mehrere Überprüfungen der Daten an. Nur Datenverkehr, der alle Überprüfungen aller Firewallregeln besteht, darf die Firewall passieren.
In der folgenden Tabelle werden die drei Arten von Regeln beschrieben, die Sie für eine Azure-Firewall erstellen können. Um den entsprechenden Netzwerkdatenverkehr für Azure Virtual Desktop zuzulassen, verwenden Sie Anwendungs- und Netzwerkregeln.
| Regeltyp | BESCHREIBUNG |
|---|---|
| Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) | Eingehender Internetdatenverkehr wird basierend auf der öffentlichen IP-Adresse Ihrer Firewall und einer festgelegten Portnummer übersetzt und gefiltert. Um beispielsweise eine Remotedesktopverbindung mit einem virtuellen Computer (VM) zu aktivieren, können Sie eine NAT-Regel verwenden, um die öffentliche IP-Adresse Ihrer Firewall und port 3389 in die private IP-Adresse der VM zu übersetzen. |
| Anwendung | Filtern Sie den Datenverkehr basierend auf einem vollqualifizierten Domainnamen (FQDN) oder einem FQDN-Tag. Ein FQDN-Tag stellt eine Gruppe von FQDNs dar, die bekannten Microsoft-Diensten zugeordnet sind, z. B. Azure Virtual Desktop. Sie verwenden beispielsweise eine Anwendungsregel, um ausgehenden Datenverkehr für die virtuellen Azure Virtual Desktop-Computer mithilfe des FQDN-Tags "WindowsVirtualDesktop" zuzulassen. |
| Netzwerk | Der Datenverkehr kann basierend auf einem oder mehreren der folgenden drei Netzwerkparameter gefiltert werden: IP-Adresse, Port und Protokoll. Verwenden Sie z. B. eine Netzwerkregel, um Datenverkehr von der privaten IP-Adresse eines lokalen Active Directory-Domainservers für TCP- und UDP-Port 53 zu Azure zuzulassen. Wenn Sie Microsoft Entra Domain Server verwenden, müssen Sie keine Netzwerkregel erstellen. DNS-Abfragen werden an Azure DNS unter 168.63.129.16 weitergeleitet. |
Azure Firewall wendet Regeln nach Priorität an. Auf Threat Intelligence basierende Regeln verfügen stets über die höchste Priorität und werden daher zuerst verarbeitet. Anschließend werden die Regeln nach Typ angewendet: NAT-Regeln, dann Netzwerkregeln und abschließend Anwendungsregeln. Innerhalb jedes Typs werden die Regeln entsprechend der Prioritätswerte vom niedrigsten zum höchsten Wert verarbeitet, die Sie beim Erstellen der Regel zuweisen.
Bereitstellungsoptionen
Erinnern Sie sich daran, dass Azure Firewall viele Features bietet, die das Erstellen und Verwalten von Regeln vereinfachen. Diese Features werden in der folgenden Tabelle zusammengefasst. Um den Netzwerkdatenverkehr für Azure Virtual Desktop zuzulassen, verwenden Sie FQDN-Tags, aber Sie können diese anderen Optionen auch in Ihrer Umgebung verwenden.
| Merkmal | BESCHREIBUNG |
|---|---|
| FQDN | Hierbei handelt es sich um einen Domänennamen eines Hosts oder um mindestens eine IP-Adresse. Durch das Hinzufügen eines FQDN zu einer Anwendungsregel wird der Zugriff auf diese Domäne zugelassen. Wenn Sie einen FQDN in einer Anwendungsregel verwenden, können Sie Wildcards wie *.google.com verwenden. |
| FQDN-Tag | Hierbei handelt es sich um eine Gruppe bekannter FQDNs von Microsoft. Durch das Hinzufügen eines FQDN-Tags zu einer Anwendungsregel wird der ausgehende Zugriff auf die FQDNs des Tags zugelassen. Beispielsweise gibt es FQDN-Tags für Windows Update, Azure Virtual Desktop, Windows-Diagnose und Azure Backup. Microsoft verwaltet FQDN-Tags, und Sie können sie nicht ändern oder erstellen. |
| Diensttag | Hierbei handelt es sich um eine Gruppe von IP-Adresspräfixen, die im Zusammenhang mit einem bestimmten Azure-Dienst stehen. Durch das Hinzufügen eines Diensttags zu einer Netzwerkregel wird der Zugriff auf den Dienst zugelassen, den das Tag darstellt. Es gibt Diensttags für Dutzende von Azure-Diensten, einschließlich Azure Backup, Azure Cosmos DB und Azure Logic Apps. Microsoft verwaltet Diensttags, und Sie können sie nicht ändern oder erstellen. |
| IP-Gruppen | Hierbei handelt es sich um eine Gruppe von IP-Adressen, z. B. 10.2.0.0/16 oder 10.1.0.0-10.1.0.31. Sie können eine IP-Adressgruppe in NAT- oder Anwendungsregeln als Quelladresse oder in Netzwerkregeln als Quell- oder Zieladresse verwenden. |
| Benutzerdefinierter DNS | Hierbei handelt es sich um einen benutzerdefinierten DNS-Server, der Domänennamen in IP-Adressen auflöst. Wenn Sie einen benutzerdefinierten DNS-Server anstelle von Azure DNS verwenden, müssen Sie Azure Firewall auch als DNS-Proxy konfigurieren. |
| DNS-Proxy | Sie können Azure Firewall als DNS-Proxy konfigurieren, was bedeutet, dass alle DNS-Anforderungen des Clients die Firewall durchlaufen, bevor sie an den DNS-Server weitergeleitet werden. |
Bereitstellungsschritte für Azure Firewall
In der vorherigen Übung haben Sie einen Hostpool und ein virtuelles Netzwerk mit einem Subnetz erstellt. Sie haben eine Sitzungshost-VM in dieses Subnetz bereitgestellt und sie im Hostpool registriert. In den nächsten Übungen führen Sie die folgenden Schritte aus, um die Azure Firewall zum Schutz des Hostpools bereitzustellen.
Richten Sie das Netzwerk ein:
- Erstellen Sie ein virtuelles Hub-Netzwerk, das ein Subnetz für die Bereitstellung der Firewall enthält.
- Richten Sie das Peering für die Hub- und Spoke-Netzwerke ein. In der nächsten Übung werden Sie eine Peering-Verbindung zwischen dem virtuellen Hubnetzwerk und dem virtuellen Netzwerk herstellen, das für den Hostpool von Azure Virtual Desktop verwendet wird.
Bereitstellen der Azure-Firewall:
- Stellen Sie Azure Firewall in einem Subnetz im virtuellen Hubnetzwerk bereit.
- Erstellen Sie eine Standardroute für ausgehenden Datenverkehr, die den Datenverkehr von allen Subnetzen an die private IP-Adresse der Firewall übermittelt.
Erstellen von Azure Firewall-Regeln:
- Konfigurieren Sie die Firewall mit Regeln zum Filtern des eingehenden und ausgehenden Datenverkehrs.