Azure Firewall Premium implementeren en configureren

Azure Firewall Premium is een firewall van de volgende generatie met mogelijkheden die vereist zijn voor zeer gevoelige en gereguleerde omgevingen. Het bevat de volgende functies:

  • TLS-inspectie : ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
  • IDPS : een netwerkinbraakdetectie- en preventiesysteem (IDPS) dat u kunt gebruiken om netwerkactiviteiten te controleren op schadelijke activiteiten, informatie over deze activiteit te registreren, te rapporteren en optioneel te proberen het te blokkeren.
  • URL-filtering : breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld, www.contoso.com/a/c in plaats van www.contoso.com.
  • Webcategorieën : beheerders kunnen gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen.

Zie Azure Firewall Premium-functies voor meer informatie.

Gebruik een sjabloon om een testomgeving te implementeren met een centraal virtueel netwerk (10.0.0.0/16) met drie subnetten:

  • Een workersubnet (10.0.10.0/24)
  • Een Azure Bastion-subnet (10.0.20.0/24)
  • Een firewallsubnet (10.0.100.0/24)

Belangrijk

Uurtarieven beginnen zodra Bastion is geïmplementeerd, ongeacht het gebruik van uitgaande gegevens. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

In deze testomgeving wordt één centraal virtueel netwerk gebruikt om het eenvoudig te maken. Voor productiedoeleinden is een hub- en spoke-topologie met gekoppelde virtuele netwerken gebruikelijker.

Diagram met een centraal virtueel netwerk met worker-, Bastion- en firewallsubnetten.

De worker-virtuele machine is een client die HTTP/S-verzoeken via de firewall verzendt.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

De infrastructuur implementeren

Met een sjabloon wordt een volledige testomgeving geïmplementeerd voor Azure Firewall Premium met IDPS, TLS-inspectie, URL-filtering en webcategorieën:

  • Een nieuw Azure Firewall Premium- en firewallbeleid met vooraf gedefinieerde instellingen om eenvoudige validatie van de kernmogelijkheden (IDPS, TLS-inspectie, URL-filtering en webcategorieën) mogelijk te maken.
  • Alle afhankelijkheden, waaronder Key Vault en een beheerde identiteit. In een productieomgeving hebt u deze resources mogelijk al en hebt u ze niet nodig in dezelfde sjabloon.
  • Een zelfondertekende Root-CA die wordt gegenereerd en geïmplementeerd op de gemaakte Sleutelkluis.
  • Een afgeleide tussenliggende CA die wordt gegenereerd en geïmplementeerd op een virtuele Windows-testmachine (WorkerVM).
  • Er wordt ook een Bastion Host (BastionHost) geïmplementeerd en u kunt deze gebruiken om verbinding te maken met de Windows-testmachine (WorkerVM).

Knop voor het implementeren van de Resource Manager-sjabloon in Azure.

De firewall testen

U kunt nu IDPS-, TLS-inspectie-, webfilters en webcategorieën testen.

Diagnostische instellingen voor firewall toevoegen

Als u firewalllogboeken wilt verzamelen, voegt u diagnostische instellingen toe om firewalllogboeken te verzamelen.

  1. Selecteer DemoFirewall. Selecteer Diagnostische instellingen onder Controle.
  2. Selecteer Diagnostische instellingen toevoegen.
  3. Voer voor de naam van de diagnostische instellingfw-diag in.
  4. Selecteer onder logboekAzureFirewallApplicationRule en AzureFirewallNetworkRule.
  5. Selecteer Onder Doeldetails de optie Verzenden naar Log Analytics-werkruimte.
  6. Selecteer Opslaan.

IDPS-tests

Als u IDPS wilt testen, implementeert u uw eigen interne testwebserver met een geschikt servercertificaat. Deze test omvat het verzenden van schadelijk verkeer naar een webserver, dus voer deze test niet uit op een openbare webserver. Zie Azure Firewall Premium-certificaten voor meer informatie over azure Firewall Premium-certificaatvereisten.

Gebruik curl dit om verschillende HTTP-headers te beheren en schadelijk verkeer te simuleren.

IDPS testen voor HTTP-verkeer

  1. Open op de virtuele Machine workerVM een opdrachtpromptvenster van de beheerder.

  2. Typ de volgende opdracht bij de opdrachtprompt:

    curl -A "HaxerMen" <your web server address>

  3. U ziet het antwoord van de webserver.

  4. Ga naar de firewallnetwerkregellogboeken in Azure Portal om een waarschuwing te vinden die vergelijkbaar is met het volgende bericht:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Notitie

    Het kan enige tijd duren voordat de gegevens worden weergegeven in de logboeken. Geef het ten minste een paar minuten om de logboeken te laten beginnen met het weergeven van de gegevens.

  5. Voeg een handtekeningregel toe voor handtekening 2032081:

    1. Selecteer DemoFirewallPolicy en selecteer onder Instellingen IDPS.
    2. Selecteer het tabblad Handtekeningregels .
    3. Typ onder Handtekening-id in het geopende tekstvak 2032081.
    4. Onder Modus, selecteer Weigeren.
    5. Selecteer Opslaan.
    6. Wacht tot de implementatie is voltooid voordat u doorgaat.

  6. Voer op WorkerVM de curl opdracht opnieuw uit:

    curl -A "HaxerMen" <your web server address>

    Omdat de HTTP-aanvraag nu wordt geblokkeerd door de firewall, ziet u de volgende uitvoer nadat de time-out van de verbinding is verlopen:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Ga naar de monitorlogboeken in Azure Portal en zoek het bericht voor de geblokkeerde aanvraag.

IDPS testen voor HTTPS-verkeer

Herhaal deze curl-tests met HTTPS in plaats van HTTP. Voorbeeld:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

U ziet dezelfde resultaten als bij de HTTP-tests.

TLS-inspectie met URL-filtering

Gebruik de volgende stappen om TLS-inspectie te testen met URL-filtering.

  1. Bewerk de toepassingsregels voor het firewallbeleid en voeg een nieuwe regel toe met de naam AllowURL aan de AllowWeb regelverzameling. Configureer de doel-URL www.nytimes.com/section/world, het bron-IP-adres *, de URL van het doeltype, selecteer TLS-inspectie en protocollen http, https.

  2. Wanneer de implementatie is voltooid, opent u een browser op WorkerVM en gaat u naar https://www.nytimes.com/section/world. Controleer of het HTML-antwoord wordt weergegeven zoals verwacht in de browser.

  3. In Azure Portal kunt u de volledige URL bekijken in de logboeken voor bewaking van toepassingsregels:

    Waarschuwingsbericht met de URL

Sommige HTML-pagina's zien er mogelijk onvolledig uit omdat ze verwijzen naar andere URL's die worden geweigerd. Gebruik de volgende methoden om dit probleem op te lossen:

  • Als de HTML-pagina koppelingen naar andere domeinen bevat, voegt u deze domeinen toe aan een nieuwe toepassingsregel die toegang verleent tot deze FQDN's.

  • Als de HTML-pagina koppelingen naar sub-URL's bevat, wijzigt u de regel en voegt u een sterretje toe aan de URL. Bijvoorbeeld: targetURLs=www.nytimes.com/section/world*

    U kunt ook een nieuwe URL toevoegen aan de regel. Voorbeeld:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testen van webcategorieën

Maak een toepassingsregel om toegang tot sportwebsites toe te staan.

  1. Open uw resourcegroep in de portal en selecteer DemoFirewallPolicy.

  2. Selecteer Toepassingsregels en selecteer vervolgens Een regelverzameling toevoegen.

  3. Voer GeneralWeb in bij Naam. Voer 103 in voor Prioriteit. Selecteer DefaultApplicationRuleCollectionGroup voor regelverzamelingsgroep.

  4. Voer onder RegelsAllowSports in voor Naam. Voer in * voor bron. Voer http, https voor Protocol in. Selecteer TLS-inspectie. Selecteer webcategorieën voor doeltype. Selecteer Sport voor Bestemming.

  5. Selecteer Toevoegen.

  6. Wanneer de implementatie is voltooid, gaat u naar WorkerVM, opent u een webbrowser en bladert u naar https://www.nfl.com.

    U ziet de NFL-webpagina en het toepassingsregellogboek toont dat een webcategorie: Sport-regel overeenkwam en dat de aanvraag is toegestaan.

Volgende stappen

  • Last updated on