LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1278|回复: 0

使用 Azure 门户部署和配置 Azure 防火墙和策略

[复制链接]
发表于 2024-1-5 16:48:27 | 显示全部楼层 |阅读模式
控制出站网络访问是整个网络安全计划的重要组成部分。 例如,你可能想要限制对网站的访问, 或者限制可以访问的出站 IP 地址和端口。
可控制 Azure 子网的出站网络访问的一种方法是使用 Azure 防火墙和防火墙策略。 通过 Azure 防火墙和防火墙策略,可配置:
  • 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
  • 网络规则,用于定义源地址、协议、目标端口和目标地址。
将网络流量路由到用作子网默认网关的防火墙时,网络流量受到配置的防火墙规则的控制。
在本教程中,你将创建一个包含两个子网的单个简化 VNet,以便于部署。
  • AzureFirewallSubnet - 防火墙在此子网中。
  • Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。
对于生产部署,我们建议使用[color=var(--theme-hyperlink)]中心辐射模型,其中,防火墙在其自身的 VNet 中。 工作负荷服务器在包含一个或多个子网的同一区域中的对等 VNet 内。
在本教程中,你将了解如何执行以下操作:

  • 设置测试网络环境
  • 部署防火墙和防火墙策略
  • 创建默认路由
  • 配置一个应用程序规则以允许访问 [color=var(--theme-hyperlink)]www.google.com
  • 配置网络规则,以允许访问外部 DNS 服务器
  • 将 NAT 规则配置为允许远程桌面连接到测试服务器
  • 测试防火墙

如果需要,可以使用 [color=var(--theme-hyperlink)]Azure PowerShell 完成此过程。
先决条件
如果没有 Azure 订阅,请在开始之前创建一个[color=var(--theme-hyperlink)]免费帐户
设置网络
首先,创建一个资源组用于包含部署防火墙所需的资源。 然后创建 VNet、子网和测试服务器。
创建资源组
资源组包含本教程所需的所有资源。
  • 登录 [color=var(--theme-hyperlink)]Azure 门户
  • 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”,然后选择“添加”。 输入或选择下列值:
    [size=0.875em]展开表
    [td]
    设置
    订阅选择 Azure 订阅。
    资源组输入“Test-FW-RG”。
    区域选择区域。 你创建的所有其他资源必须位于同一区域中。
  • 选择“查看 + 创建”。
  • 选择“创建”。

创建 VNet
此 VNet 将包含两个子网。
[backcolor=var(--theme-info-background)]
[color=var(--theme-info-dark)] 备注
AzureFirewallSubnet 子网的大小为 /26。 有关子网大小的详细信息,请参阅 [color=var(--theme-info-dark)]Azure 防火墙常见问题解答

  • 在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
  • 选择“网络”。
  • 搜索“虚拟网络”并将其选中。
  • 选择“创建”,然后输入或选择以下值:
    [size=0.875em]展开表
    [td]
    设置
    订阅选择 Azure 订阅。
    资源组选择“Test-FW-RG”。
    名称输入“Test-FW-VN”。
    区域选择先前使用的相同位置。
  • 在完成时选择“下一步:IP 地址”。
  • 对于“IPv4 地址空间”,请接受默认值“10.0.0.0/16”。
  • 在“子网”下,选择“默认值”。
  • 对于“子网名称”,将名称更改为 AzureFirewallSubnet 。 防火墙将位于此子网中,子网名称必须是 AzureFirewallSubnet。
  • 对于“地址范围”,请键入 10.0.1.0/26。
  • 选择“保存”。
    接下来,创建工作负荷服务器的子网。
  • 选择“添加子网”。
  • 对于“子网名称”,请键入“Workload-SN”。
  • 键入“10.0.2.0/24”作为“子网地址范围” 。
  • 选择 添加 。
  • 选择“查看 + 创建” 。
  • 选择“创建”。

创建虚拟机
现在创建工作负荷虚拟机,将其置于“Workload-SN”子网中。
  • 在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
  • 选择“Windows Server 2019 Datacenter”。
  • 输入或选择虚拟机的以下值:
    [size=0.875em]展开表
    [td]
    设置
    订阅选择 Azure 订阅。
    资源组选择“Test-FW-RG”。
    虚拟机名称输入“Srv-Work”。
    区域选择先前使用的相同位置。
    用户名输入用户名。
    Password输入密码。
  • 在“公用入站端口”,“入站端口规则”下 ,选择“无”。
  • 接受其他默认值,然后选择“下一步:磁盘” 。
  • 接受磁盘默认值,然后选择“下一步:网络”。
  • 请确保为虚拟网络选择“Test-FW-VN”,并且子网为“Workload-SN”。
  • 对于“公共 IP”,请选择“无”。
  • 接受其他默认值,然后选择“下一步:管理” 。
  • 选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。
  • 检查摘要页上的设置,然后选择“创建”。
  • 部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。

部署防火墙和策略
将防火墙部署到 VNet。
  • 在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
  • 在搜索框中键入“防火墙”,然后按 Enter。
  • 选择“防火墙”,然后选择“创建” 。
  • 在“创建防火墙”页上,使用下表配置防火墙:
    [size=0.875em]展开表
    [td]
    设置
    订阅选择 Azure 订阅。
    资源组选择“Test-FW-RG”。
    名称输入“Test-FW01”。
    区域选择先前使用的相同位置。
    防火墙管理选择“使用防火墙策略来管理此防火墙”。
    防火墙策略选择“新增”,并输入“fw-test-pol”。
    选择前面使用的同一区域。
    选择虚拟网络选择“使用现有”,然后选择“Test-FW-VN”。
    公共 IP 地址选择“新增”,并为“名称”输入“fw-pip”。
  • 接受其他默认值,然后选择“查看 + 创建”。
  • 查看摘要,然后选择“创建”以创建防火墙。
    需要花费几分钟时间来完成部署。
  • 部署完成后,转到“Test-FW-RG”资源组,然后选择“Test-FW01”防火墙。
  • 记下防火墙专用 IP 地址和公共 IP 地址。 稍后将使用这些地址。

创建默认路由
对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。
  • 在 Azure 门户菜单上,选择“所有服务”或在任何页面中搜索并选择“所有服务”。
  • 在“网络”下,选择“路由表”。
  • 选择“创建”,然后输入或选择以下值:
    [size=0.875em]展开表
    [td]
    设置
    订阅选择 Azure 订阅。
    资源组选择“Test-FW-RG”。
    区域选择先前使用的相同位置。
    名称输入“Firewall-route”。
  • 选择“查看 + 创建”。
  • 选择“创建”。

部署完成后,选择“转到资源”。
  • 在“防火墙路由”页上,选择“子网”,然后选择“关联”。
  • 选择“虚拟网络”>“Test-FW-VN”。
  • 对于“子网”,请选择“Workload-SN”。 请确保仅为此路由选择“Workload-SN” 子网,否则防火墙将无法正常工作
  • 选择“确定”。
  • 依次选择“路由”、“添加” 。
  • 对于“路由名称”,请输入“fw-dg”。
  • 对于“地址前缀”,请输入“0.0.0.0/0”。
  • 对于“下一跃点类型”,请选择“虚拟设备”。 Azure 防火墙实际上是一个托管服务,但虚拟设备可在此场合下正常工作。
  • 对于“下一跃点地址”,请输入前面记下的防火墙专用 IP 地址。
  • 选择“确定”。
配置应用程序规则
这是允许出站访问 www.google.com 的应用程序规则。
  • 打开“Test-FW-RG”资源组,然后选择“fw-test-pol”防火墙策略。
  • 选择“应用程序规则”。
  • 选择“添加规则集合”。
  • 对于“名称”,请输入“App-Coll01”。
  • 对于“优先级”,请输入“200”。
  • 对于规则集合操作,请选择允许。
  • 在“规则”下,为“名称”输入“Allow-Google”。
  • 对于源类型,请选择“IP 地址”。
  • 对于“源”,请输入“10.0.2.0/24”。
  • 对于“协议:端口”,请输入“http, https”。
  • 对于“目标类型”,请选择“FQDN” 。
  • 对于“目标”,请输入 www.google.com
  • 选择 添加 。
Azure 防火墙包含默认情况下允许的基础结构 FQDN 的内置规则集合。 这些 FQDN 特定于平台,不能用于其他目的。 有关详细信息,请参阅[color=var(--theme-hyperlink)]基础结构 FQDN
配置网络规则
这是允许在端口 53 (DNS) 上对两个 IP 地址进行出站访问的网络规则。
  • 选择“网络规则”。
  • 选择“添加规则集合”。
  • 对于“名称”,请输入“Net-Coll01”。
  • 对于“优先级”,请输入“200”。
  • 对于规则集合操作,请选择允许。
  • 对于“规则收集组”,选择“DefaultNetworkRuleCollectionGroup” 。
  • 在“规则”下,为“名称”输入“Allow-DNS”。
  • 对于“源类型”,请选择“IP 地址” 。
  • 对于“源”,请输入“10.0.2.0/24”。
  • 对于“协议”,请选择“UDP”。
  • 对于“目标端口”,请输入“53”。
  • 对于“目标类型”,请选择“IP 地址”。
  • 对于“目标”,请输入“209.244.0.3,209.244.0.4”。
    这些是由 CenturyLink 操作的公共 DNS 服务器。
  • 选择 添加 。
配置 DNAT 规则
此规则允许通过防火墙将远程桌面连接到“Srv-Work”虚拟机。
  • 选择“DNAT 规则”。
  • 选择“添加规则集合”。
  • 对于“名称”,请输入“rdp”。
  • 对于“优先级”,请输入“200”。
  • 对于“规则收集组”,选择“DefaultDnatRuleCollectionGroup” 。
  • 在“规则”下,为“名称”输入“rdp-nat”。
  • 对于源类型,请选择“IP 地址”。
  • 对于“源”,请输入 *
  • 对于“协议”,请选择“TCP”。
  • 对于“目标端口”,请输入“3389”。
  • 对于“目标类型”,请选择“IP 地址”。
  • 对于“目标”,请输入防火墙公共 IP 地址。
  • 对于“已翻译的地址”,请输入“Srv-work”的专用 IP 地址。
  • 对于“已翻译的端口”,请输入“3389”。
  • 选择 添加 。
更改 Srv-Work 网络接口的主要和辅助 DNS 地址
为了在本教程中进行测试,请配置服务器的主要和辅助 DNS 地址。 这并不是一项常规的 Azure 防火墙要求。
  • 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 选择“Test-FW-RG”资源组。
  • 选择 Srv-Work 虚拟机的网络接口。
  • 在“设置”下,选择“DNS 服务器”。
  • 在“DNS 服务器”下,选择“自定义”。
  • 在“添加 DNS 服务器”文本框中输入“209.244.0.3”,在下一个文本框中输入“209.244.0.4”。
  • 选择“保存”。
  • 重启 Srv-Work 虚拟机。
测试防火墙
现在测试防火墙,以确认它是否按预期方式工作。
  • 将远程桌面连接到防火墙公共 IP 地址,并登录到“Srv-Work”虚拟机。
  • 打开 Internet Explorer 并浏览到 https://www.google.com
  • 出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。
    应会看到 Google 主页。
  • 防火墙应会阻止你访问。

现已验证防火墙规则可正常工作:
  • 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
  • 可以使用配置的外部 DNS 服务器解析 DNS 名称。
清理资源
可以将防火墙资源保留到下一教程使用。不再需要时,请删除 Test-FW-RG 资源组,以删除与防火墙相关的所有资源。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表