通过

教程:使用 Azure DDoS Protection 部署防火墙

本文可帮助你创建具有受 DDoS 保护virtual network的Azure Firewall。 Azure DDoS Protection支持增强的 DDoS 缓解功能,例如自适应优化、攻击警报通知和监视,以保护防火墙免受大规模 DDoS 攻击。

重要

使用网络保护 SKU 时,Azure DDoS Protection会产生费用。 仅在租户中受保护的公共 IP 超过 100 个时,才会收取超额费用。 如果将来不使用本教程中的资源,请确保将其删除。 有关定价的信息,请参阅 Azure DDoS Protection 定价。 有关Azure DDoS protection的详细信息,请参阅 什么是 Azure DDoS Protection?

在本教程中,你将创建一个包含两个子网的单个简化 VNet,以便于部署。 Azure为virtual network启用 DDoS 网络保护。

  • AzureFirewallSubnet - 防火墙在此子网中。
  • Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。

具有 DDoS 防护的防火墙网络基础结构的示意图。

对于生产部署,建议使用 hub 和辐射模型,其中防火墙位于其自己的 VNet 中。 工作负荷服务器在包含一个或多个子网的同一区域中的对等 VNet 内。

本教程中,您将学习如何:

  • 设置测试网络环境
  • 部署防火墙和防火墙策略
  • 创建默认路由
  • 配置网络规则以允许access外部 DNS 服务器
  • 配置 NAT 规则以允许远程桌面连接到测试服务器
  • 测试防火墙

如果需要,可以使用 Azure PowerShell 完成此过程。

先决条件

如果没有Azure订阅,请在开始前创建试用订阅

设置网络

首先,创建一个资源组用于包含部署防火墙所需的资源。 然后创建 VNet、子网和测试服务器。

创建资源组

资源组包含本教程所需的所有资源。

  1. 登录到 Azure portal

  2. 在“Azure portal”菜单上,选择资源组或从任意页面中搜索并选择resource groups,然后选择Add。 输入或选择下列值:

    设置 价值
    Subscription 选择Azure订阅。
    资源组 输入Test-FW-RG
    区域 选择区域。 你创建的所有其他资源必须位于同一区域中。

  3. 选择“查看 + 创建”

  4. 选择 创建

创建 DDoS 防护计划

  1. 在门户顶部的搜索框中,输入 DDoS 保护。 在搜索结果中选择“DDoS 防护计划”,然后选择“+创建”。

  2. 在“创建 DDoS 防护计划”页的“基本信息”选项卡上,输入或选择以下信息:

    设置 价值
    项目详细信息
    Subscription 选择Azure订阅。
    资源组 选择Test-FW-RG。
    实例详细信息
    Name 输入 myDDoSProtectionPlan
    区域 选择区域。

  3. 请选择“审核 + 创建”,然后选择“创建”以部署 DDoS 防护计划。

创建 VNet

此 VNet 将包含两个子网。

注释

AzureFirewallSubnet 子网的大小为 /26。 有关子网大小的详细信息,请参阅 Azure Firewall FAQ

  1. 在Azure portal菜单上或从 Home 页上,选择 创建资源

  2. 选择“网络”。

  3. 搜索 Virtual network 并选择它。

  4. 选择“创建”,然后输入或选择以下值:

    设置 价值
    Subscription 选择Azure订阅。
    资源组 选择Test-FW-RG。
    Name 输入“Test-FW-VN”。
    区域 选择先前使用的相同位置。

  5. 选择下一步: IP 地址

  6. 对于“IPv4 地址空间”,请接受默认值“10.1.0.0/16”。

  7. 在“子网”下,选择“默认”。

  8. 对于子网名称,将名称更改为AzureFirewallSubnet。 防火墙将位于此子网中,子网名称必须是 AzureFirewallSubnet。

  9. 对于“地址范围”,请键入“10.1.1.0/26”。

  10. 选择“保存”

    接下来,创建工作负荷服务器的子网。

  11. 选择“添加子网”。

  12. 对于“子网名称”,请键入“Workload-SN”

  13. 对于“子网地址范围”,请键入“10.1.2.0/24”。

  14. 选择 并添加

  15. 选择 “下一步:安全性”。

  16. 在“DDoS 网络保护”中,选择“启用”。

  17. 在“myDDoSProtectionPlan”中选择“DDoS 防护计划”。

  18. 选择“查看 + 创建”

  19. 选择 创建

创建虚拟机

现在创建工作负荷虚拟机,将其置于“Workload-SN”子网中

  1. 在Azure portal菜单上或从 Home 页上,选择 创建资源

  2. 选择“Windows Server 2019 Datacenter”。

  3. 输入或选择虚拟机的以下值:

    设置 价值
    Subscription 选择Azure订阅。
    资源组 选择Test-FW-RG。
    虚拟机名称 输入“Srv-Work”。
    区域 选择先前使用的相同位置。
    用户名 输入用户名。
    密码 输入密码。

  4. 在“公用入站端口”,“入站端口规则”下,选择“无”

  5. 接受其他默认值,然后选择“下一步: 磁盘”。

  6. 接受磁盘默认值,然后选择“下一步: 网络”。

  7. 请确保为虚拟网络选择 Test-FW-VN,并且子网为 Workload-SN

  8. 对于“公共 IP”,请选择“无”。

  9. 接受其他默认值,然后选择“下一步: 管理”。

  10. 在“ 管理 ”选项卡下,选择“ 禁用 ”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”

  11. 检查摘要页上的设置,然后选择“创建”。

  12. 部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用

部署防火墙和策略

将防火墙部署到 VNet。

  1. 在Azure portal菜单上或从 Home 页上,选择 创建资源

  2. 在搜索框中键入“防火墙”,然后按 Enter

  3. 选择 防火墙,然后选择 创建

  4. 在“创建防火墙”页上,使用下表配置防火墙:

    设置 价值
    Subscription 选择Azure订阅。
    资源组 选择Test-FW-RG。
    Name 输入Test-FW01
    区域 选择先前使用的相同位置。
    防火墙管理 选择“使用防火墙策略来管理此防火墙”。
    防火墙策略 选择新增,然后输入fw-test-pol
    选择前面使用的同一区域。
    选择虚拟网络 选择“使用现有”,然后选择“Test-FW-VN”。
    公共 IP 地址 选择新增,并为名称输入fw-pip

  5. 接受其他默认值,然后选择“查看 + 创建”

  6. 查看摘要,然后选择“创建”以创建防火墙。

    需要花费几分钟时间来完成部署。

  7. 部署完成后,转到“Test-FW-RG”资源组,然后选择“Test-FW01”防火墙。

  8. 记下防火墙专用 IP 地址和公共 IP 地址。 稍后将使用这些地址。

创建默认路由

对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。

  1. 在Azure portal菜单上,选择“所有服务或从任何页面中搜索并选择所有服务

  2. 网络下,选择 路由表

  3. 选择“创建”,然后输入或选择以下值:

    设置 价值
    Subscription 选择Azure订阅。
    资源组 选择Test-FW-RG。
    区域 选择先前使用的相同位置。
    Name 输入Firewall-route

  4. 选择“查看 + 创建”

  5. 选择 创建

部署完成后,选择“ 转到资源”。

  1. 在“防火墙路由”页上,选择“子网”,然后选择“关联”。
  2. 选择 Virtual network>Test-FW-VN
  3. 对于“子网”,请选择“Workload-SN”。 请确保仅为此路由选择“Workload-SN” 子网,否则防火墙将无法正常工作。
  4. 选择“确定”
  5. 依次选择“路由”、“添加”
  6. 在“路由名称”字段中,输入fw-dg。
  7. 对于“地址前缀”,请输入“0.0.0.0/0”。
  8. 对于“下一跳类型”,请选择“虚拟设备”。 Azure Firewall实际上是托管服务,但虚拟设备在这种情况下有效。
  9. 对于“下一跳地址”,请输入前面记下的防火墙私有 IP 地址。
  10. 选择“确定”

配置网络规则

这是允许对两个 IP 地址进行出站访问并通过 53 端口(DNS)的网络规则。

  1. 选择“网络规则”
  2. 选择“添加规则集合”。
  3. 对于“名称”,请输入“Net-Coll01”。
  4. 对于“优先级”,请输入“200”。
  5. 对于“规则集合操作”,请选择“允许”
  6. 对于“规则收集组”,选择“DefaultNetworkRuleCollectionGroup”
  7. 在“规则”下,为“名称”输入“Allow-DNS”。
  8. 对于“源类型”,请选择“IP 地址”
  9. 对于“源”,请输入“10.0.2.0/24”。
  10. 对于“协议”,请选择“UDP”。
  11. 对于“目标端口”,请输入“53”。
  12. 对于“目标类型”,请选择“IP 地址”。
  13. 对于“目标”,请输入“209.244.0.3,209.244.0.4”。
    这些是由 CenturyLink 操作的公共 DNS 服务器。
  14. 选择 并添加

配置 DNAT 规则

此规则允许通过防火墙将remote desktop连接到 Srv-Work 虚拟机。

  1. 选择“DNAT 规则”
  2. 选择“添加规则集合”。
  3. 对于“名称”,请输入“rdp”。
  4. 对于“优先级”,请输入“200”。
  5. 对于“规则集合组”,选择“DefaultDnatRuleCollectionGroup”。
  6. 在“规则”下,为“名称”输入“rdp-nat”。
  7. 对于“源类型”,请选择“IP 地址”
  8. 对于“源”,请输入
  9. 对于 协议,请选择 TCP
  10. 对于“目标端口”,请输入“3389”。
  11. 对于“目标类型”,请选择“IP 地址”。
  12. 对于“目标”,请输入防火墙公共 IP 地址。
  13. 对于“已翻译的地址”,请输入“Srv-work”的专用 IP 地址。
  14. 对于“已翻译的端口”,请输入“3389”。
  15. 选择 并添加

更改 Srv-Work 网络接口的主要和辅助 DNS 地址

为了在本教程中进行测试,请配置服务器的主要和辅助 DNS 地址。 这不是一般的 Azure Firewall 的要求。

  1. 在“Azure portal”菜单上,选择“资源组或从任何页面中搜索并选择resource groups。 选择“Test-FW-RG”资源组。
  2. 选择 Srv-Work 虚拟机的网络接口
  3. 在“设置”下,选择“DNS 服务器”。
  4. 在“DNS 服务器”下,选择“自定义”。
  5. 在“添加 DNS 服务器”文本框中输入“209.244.0.3”,在下一个文本框中输入“209.244.0.4”。
  6. 选择“保存”
  7. 重启 Srv-Work 虚拟机。

清理资源

可以将防火墙资源保留到下一教程使用。不再需要时,请删除 Test-FW-RG 资源组,以删除与防火墙相关的所有资源。

后续步骤

部署并配置 Azure Firewall Premium

  • Last updated on