共用方式為

使用 Azure 门户部署和配置Azure Firewall基本和策略

Azure Firewall基本版在负担得起的价格点为 SMB 客户提供必要的保护。 此解决方案建议用于吞吐量要求低于 250 Mbps 的 SMB 客户环境。 为满足 250 Mbps 吞吐量要求的环境部署 标准 SKU ,并为高级威胁防护部署 高级 SKU

筛选网络和应用程序流量是整个网络安全计划的重要组成部分。 例如,你可能想要限制对网站的访问。 您可能希望限制可以访问的出站 IP 地址和端口。

从Azure子网控制入站和出站网络访问的一种方法是使用Azure Firewall和防火墙策略。 通过使用Azure Firewall和防火墙策略,可以配置:

  • 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
  • 网络规则,用于定义源地址、协议、目标端口和目标地址。
  • DNAT 规则用于将入站 Internet 流量转换和筛选到您的子网。

将网络流量路由到用作子网默认网关的防火墙时,网络流量受到配置的防火墙规则的控制。

在本文中,你将创建一个简化的单一虚拟网络,其中包含三个子网,以便轻松部署。 防火墙基本版强制要求配置管理 NIC。

  • AzureFirewallSubnet - 防火墙在此子网中。
  • AzureFirewallManagementSubnet - 用于服务管理流量。
  • Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。

注意

与Azure Firewall标准或高级 SKU 相比,Azure Firewall Basic 的流量处理有限,因此它要求 AzureFirewallManagementSubnet将客户流量与Microsoft管理流量分开,以确保不会造成中断。 此管理流量仅用于与 Microsoft 双向自动进行的更新和运行状况指标通信。 此 IP 上不允许其他连接。

对于生产部署,请使用 中心辐射模型,其中防火墙位于其自己的虚拟网络中。 工作负载服务器位于同一区域的对等虚拟网络中,并包含一个或多个子网。

在这篇文章中,你将学会如何:

  • 设置测试网络环境
  • 部署基本防火墙和基本防火墙策略
  • 创建默认路由
  • 配置一个应用程序规则以允许访问 www.baidu.com
  • 配置网络规则,以允许访问外部 DNS 服务器
  • 将 NAT 规则配置为允许远程桌面连接到测试服务器
  • 测试防火墙

如果愿意,可以使用 Azure PowerShell 来完成此过程。

先决条件

如果没有Azure订阅,请在开始前创建 free 帐户

创建资源组

资源组包含操作指南的所有资源。

  1. 登录到 Azure 门户

  2. 搜索并选择 资源组,然后选择“ 创建”。

  3. 输入或选择下列值:

    设置
    订阅 选择订阅。
    资源组名称 输入Test-FW-RG
    区域 选择区域。 你创建的所有其他资源必须位于同一区域中。

  4. 选择“查看 + 创建”,然后选择“创建”。

部署防火墙和策略

部署防火墙并创建关联的网络基础结构。

  1. 在Azure门户菜单或从 Home 窗格中,选择 创建资源

  2. 键入 firewall 搜索框,然后按 Enter

  3. 选择“防火墙”,然后选择“创建” 。

  4. “创建防火墙”上,输入或选择以下值:

    设置
    订阅 选择订阅。
    资源组 选择Test-FW-RG。
    名称 输入Test-FW01
    区域 选择先前使用的相同位置。
    防火墙层 基本
    防火墙管理 使用防火墙策略来管理此防火墙
    防火墙策略 选择“添加新订阅”。 输入 fw-test-pol,选择你的区域,并确认策略层默认为 “基本”。
    选择虚拟网络 选择“新建”。 输入 Test-FW-VN 作为名称,为地址空间输入 10.0.0.0/16 ,为子网地址空间输入 10.0.0.0/26
    公共 IP 地址 选择“ 添加新 ”,然后输入 fw-pip 以获取名称。
    管理 - 子网地址空间 10.0.1.0/26
    管理公共 IP 地址 选择“ 添加新 ”,然后输入 fw-mgmt-pip 作为名称。

  5. 接受其他默认值,然后选择“ 查看 + 创建”。

  6. 查看摘要,然后选择“创建”以创建防火墙。

    部署需要几分钟时间。

  7. 部署完成后,转到 Test-FW-RG 资源组,然后选择 Test-FW01 防火墙。

  8. 记下防火墙专用 IP 地址和公共 IP (fw-pip) 地址。 您稍后将使用这些地址。

为工作负荷服务器创建子网

接下来,创建工作负荷服务器的子网。

  1. 转到 Test-FW-RG 资源组,然后选择 Test-FW-VN 虚拟网络。
  2. 选择 “子网”,然后选择“ + 子网”。
  3. 对于 子网名称,请输入 Workload-SN。 对于 子网地址范围,请输入 10.0.2.0/24
  4. 选择“保存”。

创建虚拟机

创建工作负荷虚拟机并将其放置在 Workload-SN 子网中。

  1. 在Azure门户菜单或 Home 上,选择创建资源

  2. 选择 Windows Server 2019 Datacenter

  3. 输入虚拟机的以下值:

    设置
    资源组 Test-FW-RG
    虚拟机名称 Srv-Work
    区域 与前面相同
    图像 Windows Server 2019 Datacenter
    管理员用户名 键入用户名
    密码 键入密码

  4. 在“入站端口规则”下,对于“公共入站端口”,选择“无” 。

  5. 接受“ 磁盘 ”选项卡上的默认值,然后选择“ 下一步:网络”。

  6. 对于虚拟网络,请选择“Test-FW-VN”。 对于“子网”,请选择“Workload-SN”。 对于“公共 IP”,请选择“无”。

  7. 通过 管理接受默认值,然后在“ 监视 ”选项卡上选择“ 禁用 ”进行启动诊断。 选择“查看 + 创建”,然后选择“创建”。

  8. 部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。

创建默认路由

对于Workload-SN子网,请配置出站默认路由,使其通过防火墙。

  1. 搜索并选择 “路由”表,然后选择“ 创建”。

  2. 输入或选择下列值:

    设置
    订阅 选择订阅。
    资源组 选择Test-FW-RG。
    区域 选择先前使用的相同位置。
    名称 输入 Firewall-route

  3. 选择“查看 + 创建”,然后选择“创建”。 部署完成后,选择“ 转到资源”。

  4. “防火墙路由 ”页上,选择 “子网”,然后选择“ 关联”。

  5. 选择虚拟网络:Test-FW-VN。 对于“子网”,请选择“Workload-SN”。

    重要

    仅选择此路由的 Workload-SN 子网,否则防火墙无法正常工作。

  6. 选择“确定”。

  7. 选择路由,然后选择添加。 输入或选择下列值:

    设置
    路由名称 fw-dg
    地址前缀的目的地 IP 地址
    目标 IP 地址/CIDR 范围 0.0.0.0/0
    下一个跃点类型 虚拟设备(Azure Firewall是托管服务,但虚拟设备在此处工作)。
    下一个跃点地址 前面提到的防火墙专用 IP 地址。

  8. 选择 添加

配置应用程序规则

此应用程序规则授予到 www.baidu.com 的出站访问权限。

  1. 打开 Test-FW-RG,然后选择 fw-test-pol 防火墙策略。

  2. 选择 “应用程序规则”,然后选择“ 添加规则集合”。

  3. 输入或选择下列值:

    设置
    名称 App-Coll01
    优先级 200
    规则集合操作 允许

  4. “规则”下,输入或选择以下值:

    设置
    名称 Allow-baidu
    源类型 IP 地址
    来源 10.0.2.0/24
    Protocol:port http, https
    目标类型 FQDN
    目的地 www.baidu.com

  5. 选择 添加

Azure Firewall(Azure 防火墙)内置了用于默认允许的基础结构 FQDN 的规则集合。 这些 FQDN 特定于平台,不能将其用于其他目的。 有关详细信息,请参阅基础结构 FQDN

配置网络规则

此网络规则向端口 53(DNS)的两个 IP 地址授予出站访问权限。

  1. 选择 “网络规则”,然后选择“ 添加规则集合”。

  2. 输入或选择下列值:

    设置
    名称 Net-Coll01
    优先级 200
    规则集合操作 允许
    规则汇集组 DefaultNetworkRuleCollectionGroup

  3. “规则”下,输入或选择以下值:

    设置
    名称 Allow-DNS
    源类型 IP 地址
    来源 10.0.2.0/24
    协议 UDP
    目标端口 53
    目标类型 IP 地址
    目的地 209.244.0.3,209.244.0.4 (由 Level3 运营的公共 DNS 服务器)

  4. 选择 添加

配置 DNAT 规则

此规则通过防火墙将远程桌面连接到 Srv-Work 虚拟机。

  1. 选择 DNAT 规则,然后选择 “添加规则集合”。

  2. 输入或选择下列值:

    设置
    名称 rdp
    优先级 200
    规则汇集组 DefaultDnatRuleCollectionGroup

  3. “规则”下,输入或选择以下值:

    设置
    名称 rdp-nat
    源类型 IP 地址
    来源 *
    协议 TCP
    目标端口 3389
    目标类型 IP 地址
    目的地 防火墙公共 IP 地址 (fw-pip)
    已翻译的地址 Srv-Work 专用 IP 地址
    已翻译的端口 3389

  4. 选择 添加

更改 Srv-Work 网络接口的主要和辅助 DNS 地址

出于本文中的测试目的,请配置服务器的主要和辅助 DNS 地址。 此配置不是常规Azure Firewall要求。

  1. 在 Azure 门户中,从菜单或搜索转到 Resource groups,然后选择 Test-FW-RG
  2. 选择 Srv-Work 虚拟机的网络接口。
  3. 在“设置”下,选择“DNS 服务器”。
  4. 在“DNS 服务器”下,选择“自定义”。
  5. 键入209.244.0.3“添加 DNS 服务器”文本框,然后在209.244.0.4下一个文本框中键入。
  6. 选择“保存”。
  7. 重启 Srv-Work 虚拟机。

测试防火墙

现在测试防火墙,以确认它是否按预期方式工作。

  1. 将远程桌面连接到防火墙公共 IP 地址(fw-pip),并登录到 Srv-Work 虚拟机。

  2. 打开Microsoft Edge并浏览到 https://www.baidu.com。 你会看到百度主页。

  3. 浏览到 http://www.microsoft.com

    防火墙会阻止你。

现在,你已验证防火墙规则是否正常工作:

  • 可以将远程桌面连接到 Srv-Work 虚拟机。
  • 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
  • 可以使用配置的外部 DNS 服务器解析 DNS 名称。

清理资源

可以保留防火墙资源以便进行进一步测试。 如果不再需要它们,请删除 Test-FW-RG 资源组以删除所有与防火墙相关的资源。

后续步骤

部署并配置 Azure Firewall Premium

  • Last updated on