使用 Azure 门户部署和配置 Azure 防火墙基本版和策略

Azure 防火墙基本版以合理的价格提供 SMB 客户所需的基本保护。 此解决方案建议用于吞吐量要求低于 250 Mbps 的 SMB 客户环境。 建议为吞吐量要求超过 250 Mbps 的环境部署标准 SKU,为高级威胁防护部署高级 SKU

筛选网络和应用程序流量是整个网络安全计划的重要组成部分。 例如,你可能想要限制对网站的访问, 或者限制可以访问的出站 IP 地址和端口。

可控制 Azure 子网的入站和出站网络访问的一种方法是使用 Azure 防火墙和防火墙策略。 通过 Azure 防火墙和防火墙策略,可配置:

  • 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
  • 网络规则,用于定义源地址、协议、目标端口和目标地址。
  • DNAT 规则,用于转换和筛选到子网的入站 Internet 流量。

将网络流量路由到用作子网默认网关的防火墙时,网络流量受到配置的防火墙规则的控制。

在本操作指南中,你将创建一个包含三个子网的简化 VNet,以便于部署。 防火墙基本版强制要求配置管理 NIC。

  • AzureFirewallSubnet - 防火墙在此子网中。
  • AzureFirewallManagementSubnet - 用于服务管理流量。
  • Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。

注意

由于与 Azure 防火墙标准版或高级版 SKU 相比,Azure 防火墙基本版的流量有限,因此它要求 AzureFirewallManagementSubnet 将客户流量与 Azure 管理流量分开,以确保其不会中断。 此管理流量是仅与 Azure 自动进行更新和运行状况指标通信所必需的。 此 IP 上不允许其他连接。

对于生产部署,我们建议使用中心辐射模型,其中,防火墙在其自身的 VNet 中。 工作负荷服务器在包含一个或多个子网的同一区域中的对等 VNet 内。

在本操作指南中,你将学习如何:

  • 设置测试网络环境
  • 部署基本防火墙和基本防火墙策略
  • 创建默认路由
  • 配置一个应用程序规则以允许访问 www.baidu.com
  • 配置网络规则,以允许访问外部 DNS 服务器
  • 将 NAT 规则配置为允许远程桌面连接到测试服务器
  • 测试防火墙

如果需要,可以使用 Azure PowerShell 完成此过程。

先决条件

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

创建资源组

资源组包含操作指南的所有资源。

  1. 登录到 Azure 门户
  2. 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 然后选择“创建”。
  3. 对于“订阅”,请选择自己的订阅。
  4. 对于“资源组名称”,请输入“Test-FW-RG”。
  5. 对于“区域”,选择一个区域。 你创建的所有其他资源必须位于同一区域中。
  6. 选择“查看 + 创建”。
  7. 选择“创建”。

部署防火墙和策略

部署防火墙并创建关联的网络基础结构。

  1. 在 Azure 门户菜单或“主页”页上,选择“创建资源” 。

  2. 在搜索框中键入“防火墙”,然后按 Enter

  3. 选择“防火墙”,然后选择“创建” 。

  4. 在“创建防火墙”页上,使用下表配置防火墙:

    设置
    订阅 <用户的订阅>
    资源组 Test-FW-RG
    名称 Test-FW01
    区域 选择前面使用的同一位置
    防火墙层 基本
    防火墙管理 使用防火墙策略来管理此防火墙
    防火墙策略 添加新项
    fw-test-pol
    你选择的区域
    策略层应默认为“基本”
    选择虚拟网络 新建
    名称:Test-FW-VN
    地址空间:10.0.0.0/16
    子网地址空间:10.0.0.0/26
    公共 IP 地址 添加新项
    名称:fw-pip
    管理 - 子网地址空间 10.0.1.0/26
    管理公共 IP 地址 添加新内容
    fw-mgmt-pip
  5. 接受其他默认值,然后选择“查看 + 创建”。

  6. 查看摘要,然后选择“创建”以创建防火墙。

    需要花费几分钟时间来完成部署。

  7. 部署完成后,转到“Test-FW-RG”资源组,然后选择“Test-FW01”防火墙。

  8. 记下防火墙专用 IP 地址和公共 IP (fw-pip) 地址。 稍后将使用这些地址。

为工作负荷服务器创建子网

接下来,创建工作负荷服务器的子网。

  1. 转到“Test-FW-RG”资源组,然后选择“Test-FW-VN”虚拟网络。
  2. 选择“子网”。
  3. 选择“子网”。
  4. 对于“子网名称”,请键入“Workload-SN”。
  5. 键入“10.0.2.0/24”作为“子网地址范围” 。
  6. 选择“保存”。

创建虚拟机

现在创建工作负荷虚拟机,将其置于“Workload-SN”子网中。

  1. 在 Azure 门户菜单或“主页”页上,选择“创建资源” 。

  2. 选择“Windows Server 2019 Datacenter”。

  3. 输入虚拟机的以下值:

    设置
    资源组 Test-FW-RG
    虚拟机名称 Srv-Work
    区域 与前面相同
    映像 Windows Server 2019 Datacenter
    管理员用户名 键入用户名
    密码 键入密码
  4. 在“公用入站端口”,“入站端口规则”下 ,选择“无”。

  5. 接受其他默认值,然后选择“下一步:磁盘”

  6. 接受磁盘默认值,然后选择“下一步:网络”。

  7. 请确保为虚拟网络选择“Test-FW-VN”,并且子网为“Workload-SN”。

  8. 对于“公共 IP”,请选择“无”。

  9. 接受其他默认值,然后选择“下一步:管理”

  10. 在完成时选择“下一步:监视”。

  11. 选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。

  12. 检查摘要页上的设置,然后选择“创建”。

  13. 部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。

创建默认路由

对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。

  1. 在 Azure 门户菜单上,选择“所有服务”或在任何页面中搜索并选择“所有服务”。
  2. 在“网络”下,选择“路由表”。
  3. 选择“创建”。
  4. 对于“订阅”,请选择自己的订阅。
  5. 对于“资源组”,请选择“Test-FW-RG”。
  6. 对于“区域”,请选择以前使用的同一位置。
  7. 对于“名称”,请键入 Firewall-route
  8. 选择“查看 + 创建”。
  9. 选择“创建”。

部署完成后,选择“转到资源”。

  1. 在“防火墙路由”页上,选择“子网”,然后选择“关联”。

  2. 选择“虚拟网络”>“Test-FW-VN”。

  3. 对于“子网”,请选择“Workload-SN”。 请确保仅为此路由选择“Workload-SN” 子网,否则防火墙将无法正常工作

  4. 选择“确定”。

  5. 依次选择“路由”、“添加” 。

  6. 对于“路由名称”,请键入 fw-dg

  7. 对于“地址前缀目标”,选择“IP 地址”。

  8. 对于“目标 IP 地址/CIDR 范围”,键入 0.0.0.0/0。

  9. 对于“下一跃点类型”,请选择“虚拟设备”。

    Azure 防火墙实际上是一个托管服务,但虚拟设备可在此场合下正常工作。

  10. 对于“下一跃点地址”,请键入前面记下的防火墙专用 IP 地址。

  11. 选择 添加

配置应用程序规则

这是允许出站访问 www.baidu.com 的应用程序规则。

  1. 打开 Test-FW-RG,然后选择 fw-test-pol 防火墙 。
  2. 选择“应用程序规则”。
  3. 选择“添加规则集合”。
  4. 对于“名称”,请键入 App-Coll01
  5. 对于“优先级”,请键入 200
  6. 对于规则集合操作,请选择允许
  7. 在“规则”下,为“名称”键入“Allow-Baidu”。
  8. 对于源类型,请选择“IP 地址”。
  9. 对于,请键入 10.0.2.0/24
  10. 对于“协议:端口”,请键入 http, https
  11. 对于“目标类型”,请选择“FQDN” 。
  12. 为“目标”键入 www.baidu.com
  13. 选择 添加

Azure 防火墙包含默认情况下允许的基础结构 FQDN 的内置规则集合。 这些 FQDN 特定于平台,不能用于其他目的。 有关详细信息,请参阅基础结构 FQDN

配置网络规则

这是允许在端口 53 (DNS) 上对两个 IP 地址进行出站访问的网络规则。

  1. 选择“网络规则”。
  2. 选择“添加规则集合”。
  3. 对于“名称”,请键入 Net-Coll01
  4. 对于“优先级”,请键入 200
  5. 对于规则集合操作,请选择允许
  6. 对于“规则收集组”,选择“DefaultNetworkRuleCollectionGroup” 。
  7. 在“规则”下,为“名称”键入 Allow-DNS
  8. 对于“源类型”,请选择“IP 地址” 。
  9. 对于,请键入 10.0.2.0/24
  10. 对于“协议”,请选择“UDP”。
  11. 对于“目标端口”,请键入 53
  12. 对于“目标类型”,请选择“IP 地址”。
  13. 对于“目标”,请键入 209.244.0.3,209.244.0.4 。
    这些是由 Level3 操作的公共 DNS 服务器。
  14. 选择 添加

配置 DNAT 规则

此规则允许通过防火墙将远程桌面连接到“Srv-Work”虚拟机。

  1. 选择“DNAT 规则”。
  2. 选择“添加规则集合”。
  3. 对于“名称”,请键入“rdp”。
  4. 对于“优先级”,请键入 200
  5. 对于“规则收集组”,选择“DefaultDnatRuleCollectionGroup” 。
  6. 在“规则”下,对于“名称”,键入“rdp-nat” 。
  7. 对于源类型,请选择“IP 地址”。
  8. 对于“源”,请键入 *
  9. 对于“协议”,请选择“TCP”。
  10. 对于“目标端口”,请键入 3389
  11. 对于“目标类型”,请选择“IP 地址”。
  12. 对于“目标”,请键入防火墙公共 IP 地址 (fw-pip)。
  13. 对于“已翻译的地址”,键入 Srv-work 的专用 IP 地址。
  14. 对于“已翻译的端口” ,键入 3389
  15. 选择 添加

更改 Srv-Work 网络接口的主要和辅助 DNS 地址

为了在本操作指南中进行测试,请配置服务器的主要和辅助 DNS 地址。 这并不是一项常规的 Azure 防火墙要求。

  1. 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 选择“Test-FW-RG”资源组。
  2. 选择 Srv-Work 虚拟机的网络接口。
  3. 在“设置”下,选择“DNS 服务器”。
  4. 在“DNS 服务器”下,选择“自定义”。
  5. 在“添加 DNS 服务器”文本框中键入 209.244.0.3,在下一个文本框中键入 209.244.0.4
  6. 选择“保存”。
  7. 重启 Srv-Work 虚拟机。

测试防火墙

现在测试防火墙,以确认它是否按预期方式工作。

  1. 将远程桌面连接到防火墙公共 IP 地址 (fw-pip),并登录到“Srv-Work”虚拟机。

  2. 打开 Internet Explorer 并浏览到 https://www.baidu.com

  3. 出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。

    应会看到百度主页。

现已验证防火墙规则可正常工作:

  • 可以将远程桌面连接到 Srv-Work 虚拟机。
  • 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
  • 可以使用配置的外部 DNS 服务器解析 DNS 名称。

清理资源

可保留防火墙资源供进一步测试。如果不再需要,请删除 Test-FW-RG 资源组,以删除与防火墙相关的所有资源。

后续步骤