Azure Firewall Basic en -beleid implementeren en configureren met behulp van Azure Portal

Azure Firewall Basic biedt de essentiële beveiliging die SMB-klanten nodig hebben tegen een betaalbare prijs. Deze oplossing wordt aanbevolen voor SMB-klantomgevingen met minder dan 250 Mbps doorvoervereisten. Implementeer de Standard-SKU voor omgevingen met meer dan 250 Mbps doorvoervereisten en de Premium SKU voor geavanceerde bedreigingsbeveiliging.

Het filteren van netwerk- en toepassingsverkeer is een belangrijk onderdeel van een algemeen netwerkbeveiligingsplan. U kunt bijvoorbeeld de toegang tot websites beperken. Of misschien wilt u de uitgaande IP-adressen en poorten beperken die toegankelijk zijn.

Een manier waarop u zowel binnenkomende als uitgaande netwerktoegang vanuit een Azure-subnet kunt beheren, is met Azure Firewall en Firewall-beleid. Met behulp van Azure Firewall en Firewall-beleid kunt u het volgende configureren:

  • Toepassingsregels die volledig gekwalificeerde domeinnamen (FQDN's) definiëren waartoe toegang kan worden verkregen via een subnet.
  • Netwerkregels die een bronadres, protocol, doelpoort en doeladres definiëren.
  • DNAT-regels voor het vertalen en filteren van binnenkomend internetverkeer naar uw subnetten.

Netwerkverkeer is onderhevig aan de geconfigureerde firewallregels wanneer u het routeert naar de firewall als standaardgateway van het subnet.

In dit artikel maakt u een vereenvoudigd virtueel netwerk met drie subnetten voor eenvoudige implementatie. Firewall Basic heeft een verplichte vereiste om te worden geconfigureerd met een beheer-NIC.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • AzureFirewallManagementSubnet : voor servicebeheerverkeer.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Opmerking

Omdat Azure Firewall Basic beperkte verkeersafhandeling heeft ten opzichte van Azure Firewall Standard of Premium SKU, vereist het AzureFirewallManagementSubnet om klantverkeer van Microsoft-beheerverkeer te scheiden om geen onderbrekingen te garanderen. Dit beheerverkeer is nodig voor de communicatie van update- en gezondheidstatistieken die automatisch alleen tussen Microsoft en het apparaat plaatsvinden. Er zijn geen andere verbindingen toegestaan op dit IP-adres.

Gebruik voor productie-implementaties een hub- en spoke-model, waarbij de firewall zich in een eigen virtueel netwerk bevindt. De workloadservers bevinden zich in gekoppelde virtuele netwerken in dezelfde regio met een of meer subnetten.

In dit artikel leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een basisfirewall en basisfirewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com toe te staan
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om een extern bureaublad naar de testserver toe te staan
  • De firewall testen

Als u wilt, kunt u deze procedure voltooien met behulp van Azure PowerShell.

Vereiste voorwaarden

Als je geen Azure-abonnement hebt, maak dan een gratis account aan voordat je begint.

Een brongroep maken

De bronnen groep bevat alle bronnen voor de handleiding.

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer Resourcegroepen en selecteer vervolgens Maken.

  3. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Subscription Selecteer uw abonnement.
    Naam van resourcegroep Voer Test-FW-RG in.
    Regio Selecteer een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.

  4. Selecteer Beoordelen en maken en selecteer vervolgens Maken.

De firewall en het beleid implementeren

Implementeer de firewall en maak de bijbehorende netwerkinfrastructuur.

  1. Selecteer een resource maken in het menu van Azure Portal of in het startvenster.

  2. Typ firewall het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Voer bij Een firewall maken de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Subscription Selecteer uw abonnement.
    Bronnengroep Selecteer Test-FW-RG.
    Naam Voer Test-FW01 in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Firewallniveau Basic
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Selecteer Nieuwe toevoegen. Voer fw-test-pol in, selecteer uw regio en controleer of de beleidslaag standaard is ingesteld op Basic.
    Een virtueel netwerk kiezen Selecteer Nieuw maken. Voer Test-FW-VN in als naam, 10.0.0.0/16 voor de adresruimte en 10.0.0.0/26 voor de adresruimte van het subnet.
    Openbaar IP-adres Selecteer Nieuwe toevoegen en voer fw-pip in voor de naam.
    Beheer - Subnetadresruimte 10.0.1.0/26
    Openbaar IP-adres voor beheer Selecteer Nieuwe toevoegen en voer fw-mgmt-pip in als naam.

  5. Accepteer de andere standaardwaarden en selecteer Beoordelen en maken.

  6. Bekijk de samenvatting en selecteer Maken om de firewall te maken.

    De implementatie duurt enkele minuten.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01 .

  8. Noteer de privé- en openbare IP-adressen van de firewall (fw-pip). U gebruikt deze adressen later.

Een subnet maken voor de workloadserver

Maak vervolgens een subnet voor de workloadserver.

  1. Ga naar de resourcegroep Test-FW-RG en selecteer het virtuele netwerk Test-FW-VN .
  2. Klik op Subnetten en klik vervolgens op + Subnet.
  3. Voer voor de naam van het subnet de naam in Workload-SN. Voer voor subnetadresbereik het volgende in 10.0.2.0/24.
  4. Selecteer Opslaan.

Een virtuele machine maken

Maak de virtuele workloadmachine en plaats deze in het subnet Workload-SN .

  1. Selecteer Een resource maken in het menu van de Azure-portal of Home.

  2. Selecteer Windows Server 2019 Datacenter.

  3. Voer de volgende waarden in voor de virtuele machine:

    Configuratie Waarde
    Bronnengroep Test-FW-RG
    Naam van de virtuele machine Srv-Work
    Regio Hetzelfde als vorige
    Afbeelding Windows Server 2019 Datacenter
    Gebruikersnaam van beheerder Typ een gebruikersnaam
    Wachtwoord Typ een wachtwoord

  4. Selecteer onder Regels voor binnenkomende poort, voor Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de standaardwaarden op het tabblad Schijven en selecteer Volgende: Netwerken.

  6. Voor virtueel netwerk selecteert u Test-FW-VN. Voor Subnet selecteert u Workload-SN. Selecteer Geen voor openbaar IP-adres.

  7. Accepteer de standaardwaarden via Beheer en selecteer op het tabblad Bewaking de optie Uitschakelen voor diagnostische gegevens over opstarten. Selecteer Beoordelen en maken en selecteer vervolgens Maken.

  8. Nadat de implementatie is voltooid, selecteert u de Srv-Work-resource en noteert u het privé-IP-adres voor later gebruik.

Een standaardroute maken

Configureer voor het subnet Workload-SN de uitgaande standaardroute om door de firewall te gaan.

  1. Zoek en selecteer Routetabellen en selecteer vervolgens Maken.

  2. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Subscription Selecteer uw abonnement.
    Bronnengroep Selecteer Test-FW-RG.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Naam Voer Firewall-route in.

  3. Selecteer Beoordelen en maken en selecteer vervolgens Maken. Wanneer de implementatie is voltooid, selecteert u Ga naar resource.

  4. Selecteer subnetten op de pagina Firewallroute en selecteer koppelen.

  5. SelecteerTest-FW-VN voor >. Voor Subnet selecteert u Workload-SN.

    Belangrijk

    Selecteer alleen het workload-SN-subnet voor deze route, anders werkt uw firewall niet correct.

  6. Kies OK.

  7. Selecteer Routes en vervolgens Toevoegen. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Routenaam fw-dg
    Doel van adresvoorvoegsel IP-adressen
    DOEL-IP-adressen/CIDR-bereiken 0.0.0.0/0
    Het volgende hoptype Virtueel apparaat (Azure Firewall is een beheerde service, maar het virtuele apparaat werkt hier.)
    Adres van de volgende hop Het privé-IP-adres van de firewall dat u eerder hebt genoteerd.

  8. Selecteer Toevoegen.

Een toepassingsregel configureren

Deze toepassingsregel verleent uitgaande toegang tot www.google.com.

  1. Open Test-FW-RG en selecteer het firewallbeleid fw-test-pol .

  2. Selecteer Toepassingsregels en selecteer vervolgens Een regelverzameling toevoegen.

  3. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam App-Coll01
    Priority 200
    Actie voor regelverzameling Toestaan

  4. Voer onder Regels de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam Allow-Google
    Type bron IP-adres
    bron 10.0.2.0/24
    Protocol:poort http, https
    Doeltype FQDN
    Bestemming www.google.com

  5. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN's zijn specifiek voor het platform en u kunt deze niet gebruiken voor andere doeleinden. Zie FQDN's voor infrastructuur voor meer informatie.

Een netwerkregel configureren

Deze netwerkregel verleent uitgaande toegang tot twee IP-adressen op poort 53 (DNS).

  1. Selecteer Netwerkregels en selecteer vervolgens Een regelverzameling toevoegen.

  2. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam Net-Coll01
    Priority 200
    Actie voor regelverzameling Toestaan
    Regelverzamelingsgroep DefaultNetworkRuleCollectionGroup

  3. Voer onder Regels de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam Allow-DNS
    Type bron IP-adres
    bron 10.0.2.0/24
    Protocol UDP
    Doelpoorten 53
    Doeltype IP-adres
    Bestemming 209.244.0.3,209.244.0.4 (openbare DNS-servers beheerd door Niveau3)

  4. Selecteer Toevoegen.

Een DNAT-regel configureren

Deze regel verbindt een extern bureaublad met de Srv-Work virtuele machine via de firewall.

  1. Selecteer DNAT-regels en selecteer vervolgens Een regelverzameling toevoegen.

  2. Voer de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam rdp
    Priority 200
    Regelverzamelingsgroep DefaultDnatRuleCollectionGroup

  3. Voer onder Regels de volgende waarden in of selecteer deze:

    Configuratie Waarde
    Naam rdp-nat
    Type bron IP-adres
    bron *
    Protocol TCP
    Doelpoorten 3389
    Doeltype IP-adres
    Bestemming Het openbare IP-adres van de firewall (fw-pip)
    Vertaald adres Het privé-IP-adres van Srv-Work
    Vertaalde poort 3389

  4. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de Srv-Work-netwerkinterface wijzigen

Configureer voor testdoeleinden in dit artikel de primaire en secundaire DNS-adressen van de server. Deze configuratie is geen algemene Azure Firewall-vereiste.

  1. Ga in de Azure-portal naar Resourcegroepen, in het menu of door te zoeken, en selecteer vervolgens Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele Srv-Work-machine .
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Typ 209.244.0.3 in het tekstvak DNS-server toevoegen, en typ 209.244.0.4 in het volgende tekstvak.
  6. Selecteer Opslaan.
  7. Start de virtuele Srv-Work-machine opnieuw op.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern bureaublad met het openbare IP-adres van de firewall (fw-pip) en meld u aan bij de virtuele Srv-Work-machine .

  2. Open Microsoft Edge en blader naar https://www.google.com. U ziet de startpagina van Google.

  3. Navigeer naar http://www.microsoft.com.

    De firewall blokkeert u.

U hebt nu gecontroleerd of de firewallregels werken:

  • U kunt een extern bureaublad verbinden met de Srv-Work virtuele machine.
  • Je kunt naar de enige toegestane FQDN bladeren, maar niet naar andere.
  • U kunt DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

De hulpbronnen opschonen

U kunt uw firewall-resources behouden voor verdere tests. Als u deze niet meer nodig hebt, verwijdert u de resourcegroep Test-FW-RG om alle firewallresources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren

  • Last updated on