使用 Azure 门户部署和配置 Azure 防火墙基本版和策略
Azure 防火墙基本版以合理的价格提供 SMB 客户所需的基本保护。 此解决方案建议用于吞吐量要求低于 250 Mbps 的 SMB 客户环境。 建议为吞吐量要求超过 250 Mbps 的环境部署标准 SKU,为高级威胁防护部署高级 SKU。
筛选网络和应用程序流量是整个网络安全计划的重要组成部分。 例如,你可能想要限制对网站的访问, 或者限制可以访问的出站 IP 地址和端口。
可控制 Azure 子网的入站和出站网络访问的一种方法是使用 Azure 防火墙和防火墙策略。 通过 Azure 防火墙和防火墙策略,可配置:
- 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
- 网络规则,用于定义源地址、协议、目标端口和目标地址。
- DNAT 规则,用于转换和筛选到子网的入站 Internet 流量。
将网络流量路由到用作子网默认网关的防火墙时,网络流量受到配置的防火墙规则的控制。
在本操作指南中,你将创建一个包含三个子网的简化 VNet,以便于部署。 防火墙基本版强制要求配置管理 NIC。
- AzureFirewallSubnet - 防火墙在此子网中。
- AzureFirewallManagementSubnet - 用于服务管理流量。
- Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。
注意
由于与 Azure 防火墙标准版或高级版 SKU 相比,Azure 防火墙基本版的流量有限,因此它要求 AzureFirewallManagementSubnet 将客户流量与 Azure 管理流量分开,以确保其不会中断。 此管理流量是仅与 Azure 自动进行更新和运行状况指标通信所必需的。 此 IP 上不允许其他连接。
对于生产部署,我们建议使用中心辐射模型,其中,防火墙在其自身的 VNet 中。 工作负荷服务器在包含一个或多个子网的同一区域中的对等 VNet 内。
在本操作指南中,你将学习如何:
- 设置测试网络环境
- 部署基本防火墙和基本防火墙策略
- 创建默认路由
- 配置一个应用程序规则以允许访问 www.baidu.com
- 配置网络规则,以允许访问外部 DNS 服务器
- 将 NAT 规则配置为允许远程桌面连接到测试服务器
- 测试防火墙
如果需要,可以使用 Azure PowerShell 完成此过程。
先决条件
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
创建资源组
资源组包含操作指南的所有资源。
- 登录到 Azure 门户。
- 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 然后选择“创建”。
- 对于“订阅”,请选择自己的订阅。
- 对于“资源组名称”,请输入“Test-FW-RG”。
- 对于“区域”,选择一个区域。 你创建的所有其他资源必须位于同一区域中。
- 选择“查看 + 创建”。
- 选择“创建”。
部署防火墙和策略
部署防火墙并创建关联的网络基础结构。
在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
在搜索框中键入“防火墙”,然后按 Enter。
选择“防火墙”,然后选择“创建” 。
在“创建防火墙”页上,使用下表配置防火墙:
设置 值 订阅 <用户的订阅> 资源组 Test-FW-RG 名称 Test-FW01 区域 选择前面使用的同一位置 防火墙层 基本 防火墙管理 使用防火墙策略来管理此防火墙 防火墙策略 添加新项:
fw-test-pol
你选择的区域
策略层应默认为“基本”选择虚拟网络 新建
名称:Test-FW-VN
地址空间:10.0.0.0/16
子网地址空间:10.0.0.0/26公共 IP 地址 添加新项:
名称:fw-pip管理 - 子网地址空间 10.0.1.0/26 管理公共 IP 地址 添加新内容
fw-mgmt-pip接受其他默认值,然后选择“查看 + 创建”。
查看摘要,然后选择“创建”以创建防火墙。
需要花费几分钟时间来完成部署。
部署完成后,转到“Test-FW-RG”资源组,然后选择“Test-FW01”防火墙。
记下防火墙专用 IP 地址和公共 IP (fw-pip) 地址。 稍后将使用这些地址。
为工作负荷服务器创建子网
接下来,创建工作负荷服务器的子网。
- 转到“Test-FW-RG”资源组,然后选择“Test-FW-VN”虚拟网络。
- 选择“子网”。
- 选择“子网”。
- 对于“子网名称”,请键入“Workload-SN”。
- 键入“10.0.2.0/24”作为“子网地址范围” 。
- 选择“保存”。
创建虚拟机
现在创建工作负荷虚拟机,将其置于“Workload-SN”子网中。
在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
选择“Windows Server 2019 Datacenter”。
输入虚拟机的以下值:
设置 值 资源组 Test-FW-RG 虚拟机名称 Srv-Work 区域 与前面相同 映像 Windows Server 2019 Datacenter 管理员用户名 键入用户名 密码 键入密码 在“公用入站端口”,“入站端口规则”下 ,选择“无”。
接受其他默认值,然后选择“下一步:磁盘” 。
接受磁盘默认值,然后选择“下一步:网络”。
请确保为虚拟网络选择“Test-FW-VN”,并且子网为“Workload-SN”。
对于“公共 IP”,请选择“无”。
接受其他默认值,然后选择“下一步:管理” 。
在完成时选择“下一步:监视”。
选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。
检查摘要页上的设置,然后选择“创建”。
部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。
创建默认路由
对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。
- 在 Azure 门户菜单上,选择“所有服务”或在任何页面中搜索并选择“所有服务”。
- 在“网络”下,选择“路由表”。
- 选择“创建”。
- 对于“订阅”,请选择自己的订阅。
- 对于“资源组”,请选择“Test-FW-RG”。
- 对于“区域”,请选择以前使用的同一位置。
- 对于“名称”,请键入 Firewall-route。
- 选择“查看 + 创建”。
- 选择“创建”。
部署完成后,选择“转到资源”。
在“防火墙路由”页上,选择“子网”,然后选择“关联”。
选择“虚拟网络”>“Test-FW-VN”。
对于“子网”,请选择“Workload-SN”。 请确保仅为此路由选择“Workload-SN” 子网,否则防火墙将无法正常工作
选择“确定”。
依次选择“路由”、“添加” 。
对于“路由名称”,请键入 fw-dg。
对于“地址前缀目标”,选择“IP 地址”。
对于“目标 IP 地址/CIDR 范围”,键入 0.0.0.0/0。
对于“下一跃点类型”,请选择“虚拟设备”。
Azure 防火墙实际上是一个托管服务,但虚拟设备可在此场合下正常工作。
对于“下一跃点地址”,请键入前面记下的防火墙专用 IP 地址。
选择 添加 。
配置应用程序规则
这是允许出站访问 www.baidu.com
的应用程序规则。
- 打开 Test-FW-RG,然后选择 fw-test-pol 防火墙 。
- 选择“应用程序规则”。
- 选择“添加规则集合”。
- 对于“名称”,请键入 App-Coll01。
- 对于“优先级”,请键入 200。
- 对于规则集合操作,请选择允许。
- 在“规则”下,为“名称”键入“Allow-Baidu”。
- 对于源类型,请选择“IP 地址”。
- 对于源,请键入 10.0.2.0/24。
- 对于“协议:端口”,请键入 http, https。
- 对于“目标类型”,请选择“FQDN” 。
- 为“目标”键入
www.baidu.com
- 选择 添加 。
Azure 防火墙包含默认情况下允许的基础结构 FQDN 的内置规则集合。 这些 FQDN 特定于平台,不能用于其他目的。 有关详细信息,请参阅基础结构 FQDN。
配置网络规则
这是允许在端口 53 (DNS) 上对两个 IP 地址进行出站访问的网络规则。
- 选择“网络规则”。
- 选择“添加规则集合”。
- 对于“名称”,请键入 Net-Coll01。
- 对于“优先级”,请键入 200。
- 对于规则集合操作,请选择允许。
- 对于“规则收集组”,选择“DefaultNetworkRuleCollectionGroup” 。
- 在“规则”下,为“名称”键入 Allow-DNS。
- 对于“源类型”,请选择“IP 地址” 。
- 对于源,请键入 10.0.2.0/24。
- 对于“协议”,请选择“UDP”。
- 对于“目标端口”,请键入 53。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,请键入 209.244.0.3,209.244.0.4 。
这些是由 Level3 操作的公共 DNS 服务器。 - 选择 添加 。
配置 DNAT 规则
此规则允许通过防火墙将远程桌面连接到“Srv-Work”虚拟机。
- 选择“DNAT 规则”。
- 选择“添加规则集合”。
- 对于“名称”,请键入“rdp”。
- 对于“优先级”,请键入 200。
- 对于“规则收集组”,选择“DefaultDnatRuleCollectionGroup” 。
- 在“规则”下,对于“名称”,键入“rdp-nat” 。
- 对于源类型,请选择“IP 地址”。
- 对于“源”,请键入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请键入 3389。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,请键入防火墙公共 IP 地址 (fw-pip)。
- 对于“已翻译的地址”,键入 Srv-work 的专用 IP 地址。
- 对于“已翻译的端口” ,键入 3389。
- 选择 添加 。
更改 Srv-Work 网络接口的主要和辅助 DNS 地址
为了在本操作指南中进行测试,请配置服务器的主要和辅助 DNS 地址。 这并不是一项常规的 Azure 防火墙要求。
- 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 选择“Test-FW-RG”资源组。
- 选择 Srv-Work 虚拟机的网络接口。
- 在“设置”下,选择“DNS 服务器”。
- 在“DNS 服务器”下,选择“自定义”。
- 在“添加 DNS 服务器”文本框中键入 209.244.0.3,在下一个文本框中键入 209.244.0.4。
- 选择“保存”。
- 重启 Srv-Work 虚拟机。
测试防火墙
现在测试防火墙,以确认它是否按预期方式工作。
将远程桌面连接到防火墙公共 IP 地址 (fw-pip),并登录到“Srv-Work”虚拟机。
打开 Internet Explorer 并浏览到
https://www.baidu.com
。出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。
应会看到百度主页。
现已验证防火墙规则可正常工作:
- 可以将远程桌面连接到 Srv-Work 虚拟机。
- 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
- 可以使用配置的外部 DNS 服务器解析 DNS 名称。
清理资源
可保留防火墙资源供进一步测试。如果不再需要,请删除 Test-FW-RG 资源组,以删除与防火墙相关的所有资源。