Distribuera och konfigurera Azure Firewall Basic och principer med hjälp av Azure-portalen

Azure Firewall Basic tillhandahåller det grundläggande skydd som SMB-kunder behöver till ett överkomligt pris. Den här lösningen rekommenderas för SMB-kundmiljöer med mindre än 250 Mbit/s-dataflödeskrav. Distribuera standard-SKU:n för miljöer med mer än 250 Mbit/s-dataflödeskrav och Premium SKU för avancerat skydd mot hot.

Att filtrera nätverks- och programtrafik är en viktig del av en övergripande nätverkssäkerhetsplan. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.

Ett sätt att styra både inkommande och utgående nätverksåtkomst från ett Azure-undernät är med Azure Firewall och Firewall Policy. Genom att använda Azure Firewall and Firewall Policy kan du konfigurera:

  • Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
  • Nätverksregler som definierar källadress, protokoll, målport och måladress.
  • DNAT-regler för att översätta och filtrera inkommande Internettrafik till dina undernät.

Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.

I den här artikeln skapar du ett förenklat virtuellt nätverk med tre undernät för enkel distribution. Firewall Basic har ett obligatoriskt krav på att konfigureras med ett nätverkskort för hantering.

  • AzureFirewallSubnet – brandväggen ligger i det här undernätet.
  • AzureFirewallManagementSubnet – för tjänsthanteringstrafik.
  • Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.

Anmärkning

Eftersom Azure Firewall Basic har begränsad trafikhantering jämfört med Azure Firewall Standard eller Premium SKU kräver det att AzureFirewallManagementSubnet separerar kundtrafik från Microsofts hanteringstrafik för att säkerställa att inga störningar uppstår. Den här hanteringstrafiken behövs för uppdateringar och hälsostatistikkommunikation som sker automatiskt till och från Microsoft. Inga andra anslutningar tillåts på den här IP-adressen.

För produktionsinstallationer använder du en hub and spoke-modell, där brandväggen finns i ett eget virtuellt nätverk. Arbetsbelastningsservrarna finns i peerkopplade virtuella nätverk i samma region med ett eller flera undernät.

I den här artikeln lär du dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en grundläggande brandvägg och en grundläggande brandväggspolicy
  • Skapa en standardväg
  • Konfigurera en programregel för att tillåta åtkomst till www.google.com
  • Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
  • Konfigurera en NAT-regel för att tillåta ett fjärrskrivbord till testservern
  • Testa brandväggen.

Om du vill kan du slutföra den här proceduren med hjälp av Azure PowerShell.

Förutsättningar

Om du inte har en Azure-prenumeration, skapa ett gratis konto innan du börjar.

Skapa en resursgrupp

Resursgruppen innehåller alla resurser för instruktioner.

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Resursgrupper och välj sedan Skapa.

  3. Ange eller välj följande värden:

    Inställning Värde
    Subscription Välj din prenumeration.
    Namn på resursgrupp Ange Test-FW-RG.
    Region Välj en region. Alla andra resurser som du skapar måste finnas i samma region.

  4. Välj Granska + skapaoch välj sedan Skapa.

Distribuera brandväggen och policyn

Distribuera brandväggen och skapa den associerade nätverksinfrastrukturen.

  1. På menyn i Azure-portalen eller i fönstret Start väljer du Skapa en resurs.

  2. Skriv firewall i sökrutan och tryck på Retur.

  3. Välj Brandvägg och välj sedan Skapa.

  4. I Skapa en brandvägg anger eller väljer du följande värden:

    Inställning Värde
    Subscription Välj din prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Namn Ange Test-FW01.
    Region Välj samma plats som du använde tidigare.
    Brandväggsnivå Grundläggande
    Brandväggshantering Använda en brandväggsprincip för att hantera den här brandväggen
    Brandväggsprincip Välj Lägg till. Ange fw-test-pol, välj din region och bekräfta att principnivån automatiskt är inställd på Basic.
    Välj ett virtuellt nätverk Välj Skapa ny. Ange Test-FW-VN som namn , 10.0.0.0/16 för adressutrymmet och 10.0.0.0/26 för undernätets adressutrymme.
    Offentlig IP-adress Välj Lägg till ny och ange fw-pip som namn.
    Förvaltning – adressutrymme för undernät 10.0.1.0/26
    Hantering av offentlig IP-adress Välj Lägg till ny och ange fw-mgmt-pip som namn.

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Utplaceringen tar några minuter.

  7. När distributionen är klar går du till resursgruppen Test-FW-RG och väljer brandväggen Test-FW01 .

  8. Observera brandväggens privata och offentliga IP-adresser (fw-pip). Du använder dessa adresser senare.

Skapa ett undernät för arbetsbelastningsservern

Skapa sedan ett undernät för arbetsbelastningsservern.

  1. Gå till resursgruppen Test-FW-RG och välj det virtuella nätverket Test-FW-VN .
  2. Välj Undernät och välj sedan + Undernät.
  3. För Undernätsnamn anger du Workload-SN. För Adressintervall för undernät anger du 10.0.2.0/24.
  4. Välj Spara.

Skapa en virtuell dator

Skapa den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN .

  1. På Menyn i Azure-portalen eller Start väljer du Skapa en resurs.

  2. Välj Windows Server 2019 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp Test-FW-RG
    Namn på virtuell maskin Srv-Work
    Region Samma som tidigare
    Bild Windows Server 2019 Datacenter
    Administratörsanvändarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord

  4. Under Regler för inkommande portar väljer du Ingen för Offentliga inkommande portar.

  5. Acceptera standardvärdena på fliken Diskar och välj Nästa: Nätverk.

  6. För Virtuellt nätverk väljer du Test-FW-VN. För Undernät väljer du Workload-SN. För Offentlig IP väljer du Ingen.

  7. Acceptera standardvärdena via Hantering och välj sedan Inaktivera för startdiagnostik på fliken Övervakning. Välj Granska + skapaoch välj sedan Skapa.

  8. När distributionen är klar väljer du resursen Srv-Work och noterar den privata IP-adressen för senare användning.

Skapa en standardväg

För undernätet Workload-SN konfigurerar du den utgående standardvägen så att den går genom brandväggen.

  1. Sök efter och välj Routningstabeller och välj sedan Skapa.

  2. Ange eller välj följande värden:

    Inställning Värde
    Subscription Välj din prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Region Välj samma plats som du använde tidigare.
    Namn Ange Firewall-route.

  3. Välj Granska + skapaoch välj sedan Skapa. När distributionen är klar väljer du Gå till resurs.

  4. På sidan Brandväggsväg väljer du Undernät och sedan Associera.

  5. Välj Virtuellt nätverk>Test-FW-VN. För Undernät väljer du Workload-SN.

    Viktigt!

    Välj endast undernätet Workload-SN för den här rutten, annars fungerar inte brandväggen korrekt.

  6. Välj OK.

  7. Välj Vägar och sedan Lägg till. Ange eller välj följande värden:

    Inställning Värde
    Vägnamn fw-dg
    Adressprefix och destination IP-adresser
    Mål-IP-adresser/CIDR-intervall 0.0.0.0/0
    Nästa hopptyp Virtuell installation (Azure Firewall är en hanterad tjänst, men den virtuella installationen fungerar här.)
    adress för nästa hopp Den privata IP-adress för brandväggen som du antecknade tidigare.

  8. Välj Lägg till.

Konfigurera en programregel

Den här programregeln ger utgående åtkomst till www.google.com.

  1. Öppna Test-FW-RG och välj brandväggsprincipen fw-test-pol .

  2. Välj Programregler och välj sedan Lägg till en regelsamling.

  3. Ange eller välj följande värden:

    Inställning Värde
    Namn App-Coll01
    Prioritet 200
    Regelsamlingsåtgärd Tillåt

  4. Under Regler anger eller väljer du följande värden:

    Inställning Värde
    Namn Allow-Google
    Typ av källa IP-adress
    Källa 10.0.2.0/24
    Protokoll:port http, https
    Destinationstyp FQDN
    Resmål www.google.com

  5. Välj Lägg till.

Azure Firewall innehåller en inbyggd regelsamling för fullständigt kvalificerade domännamn (FQDN) för infrastrukturen som tillåts som standard. Dessa FQDN:er är specifika för plattformen och du kan inte använda dem i andra syften. Mer information finns i Infrastruktur-FQDN.

Konfigurera en nätverksregel

Den här nätverksregeln ger utgående åtkomst till två IP-adresser på port 53 (DNS).

  1. Välj Nätverksregler och välj sedan Lägg till en regelsamling.

  2. Ange eller välj följande värden:

    Inställning Värde
    Namn Net-Coll01
    Prioritet 200
    Regelsamlingsåtgärd Tillåt
    Regelsamlingsgrupp DefaultNetworkRuleCollectionGroup

  3. Under Regler anger eller väljer du följande värden:

    Inställning Värde
    Namn Allow-DNS
    Typ av källa IP-adress
    Källa 10.0.2.0/24
    Protokoll UDP
    Målportar 53
    Typ av destination IP-adress
    Resmål 209.244.0.3,209.244.0.4 (offentliga DNS-servrar som drivs av Level3)

  4. Välj Lägg till.

Konfigurera en DNAT-regel

Den här regeln ansluter ett fjärrskrivbord till den Srv-Work virtuella datorn via brandväggen.

  1. Välj DNAT-regler och välj sedan Lägg till en regelsamling.

  2. Ange eller välj följande värden:

    Inställning Värde
    Namn rdp
    Prioritet 200
    Regelsamlingsgrupp DefaultDnatRuleCollectionGroup

  3. Under Regler anger eller väljer du följande värden:

    Inställning Värde
    Namn rdp-nat
    Typ av källa IP-adress
    Källa *
    Protokoll TCP
    Målportar 3389
    Destinationstyp IP-adress
    Resmål Brandväggens offentliga IP-adress (fw-pip)
    Översatt adress Den privata IP-adressen för Srv-Work
    Översatt port 3389

  4. Välj Lägg till.

Ändra den primära och sekundära DNS-adressen för Srv-Work-nätverksgränssnittet

I testsyfte i den här artikeln konfigurerar du serverns primära och sekundära DNS-adresser. Den här konfigurationen är inte ett allmänt Azure Firewall-krav.

  1. I Azure-portalen går du till Resursgrupper, antingen från menyn eller genom att söka, och väljer sedan Test-FW-RG.
  2. Välj nätverksgränssnittet för den virtuella Srv-Work-datorn .
  3. Under Inställningar väljer du DNS-servrar.
  4. Under DNS-servrar väljer du Anpassad.
  5. Skriv 209.244.0.3 i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
  6. Välj Spara.
  7. Starta om den virtuella Srv-Work-datorn .

Testa brandväggen.

Testa nu brandväggen för att bekräfta att den fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress (fw-pip) och logga in på den virtuella Srv-Work-datorn .

  2. Öppna Microsoft Edge och bläddra till https://www.google.com. Du ser Googles startsida.

  3. Navigera till http://www.microsoft.com.

    Brandväggen blockerar dig.

Nu har du kontrollerat att brandväggsreglerna fungerar:

  • Du kan ansluta ett fjärrskrivbord till den Srv-Work virtuella datorn.
  • Du kan bläddra till den enda tillåtna FQDN, men inte till andra.
  • Du kan lösa DNS-namn med hjälp av den konfigurerade externa DNS-servern.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare testning. Om du inte längre behöver dem tar du bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium

  • Last updated on