Freigeben über

Bereitstellen und Konfigurieren von Azure Firewall Basic und Richtlinie mithilfe des Azure-Portals

Azure Firewall Basic bietet den wesentlichen Schutz, den SMB-Kunden zu einem erschwinglichen Preis benötigen. Diese Lösung wird für SMB-Kundenumgebungen mit weniger als 250 MBit/s-Durchsatzanforderungen empfohlen. Stellen Sie die Standard-SKU für Umgebungen mit mehr als 250 MBit/s-Durchsatzanforderungen und der Premium-SKU für erweiterten Bedrohungsschutz bereit.

Das Filtern von Netzwerk- und Anwendungsdatenverkehr ist ein wichtiger Bestandteil eines allgemeinen Netzwerksicherheitsplans. Beispielsweise möchten Sie den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Eine Möglichkeit zum Steuern des eingehenden und ausgehenden Netzwerkzugriffs über ein Azure-Subnetz besteht in der Azure-Firewall- und Firewallrichtlinie. Mithilfe der Azure Firewall- und Firewallrichtlinie können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.
  • DNAT-Regeln übersetzen und filtern den vom Internet in Ihre Subnetze eingehenden Datenverkehr.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

In diesem Artikel erstellen Sie ein vereinfachtes einzelnes virtuelles Netzwerk mit drei Subnetzen für die einfache Bereitstellung. Firewall Basic muss mit einer Verwaltungs-NIC konfiguriert werden.

  • AzureFirewallSubnet: Das Subnetz mit der Firewall.
  • AzureFirewallManagementSubnet – für Dienstverwaltungsdatenverkehr.
  • Workload-SN: Das Subnetz mit dem Workloadserver. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Hinweis

Da Azure Firewall Basic im Vergleich zur Azure Firewall Standard- oder Premium-SKU eingeschränkte Datenverkehrsbehandlung aufweist, muss azureFirewallManagementSubnet den Kundendatenverkehr vom Microsoft-Verwaltungsdatenverkehr trennen, um keine Unterbrechungen zu gewährleisten. Dieser Verwaltungsdatenverkehr wird nur für die Kommunikation von Updates und Integritätsmetriken benötigt, die automatisch zu und von Microsoft erfolgt. Für diese IP sind keine anderen Verbindungen zulässig.

Verwenden Sie für Produktionsbereitstellungen ein Hub- und Speichenmodell, in dem sich die Firewall in einem eigenen virtuellen Netzwerk befindet. Die Workloadserver befinden sich in per Peering verknüpften virtuellen Netzwerken in derselben Region mit einem oder mehreren Subnetzen.

In diesem Artikel erfahren Sie, wie Sie:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer grundlegenden Firewall und einer grundlegenden Firewallrichtlinie
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel zum Zulassen des Zugriffs auf www.google.com
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel zum Zulassen eines Remotedesktops auf dem Testserver
  • Testen der Firewall

Wenn Es Ihnen lieber ist, können Sie dieses Verfahren mithilfe von Azure PowerShell abschließen.

Voraussetzungen

Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen für die Vorgehensweise.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen und wählen Sie Ressourcengruppen aus, und wählen Sie dann Erstellen aus.

  3. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppenname Geben Sie Test-FW-RG ein.
    Region Wählen Sie eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.

  4. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Bereitstellung von Firewall und Richtlinien

Stellen Sie die Firewall bereit, und erstellen Sie die zugeordnete Netzwerkinfrastruktur.

  1. Wählen Sie im Azure-Portalmenü oder im Bereich "Start " die Option "Ressource erstellen" aus.

  2. Geben Sie firewall in das Suchfeld ein und drücken Sie die Eingabetaste.

  3. Wählen Sie Firewall aus, und klicken Sie anschließend auf Erstellen.

  4. Geben Sie unter Erstellen einer Firewall die folgenden Werte ein, oder wählen Sie sie aus:

    Setting Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Name Geben Sie Test-FW01 ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Firewallebene Grundlegend
    Firewallverwaltung Verwenden einer Firewallrichtlinie zum Verwalten dieser Firewall
    Firewallrichtlinie Wählen Sie Neue hinzufügen aus. Geben Sie "fw-test-pol" ein, wählen Sie Ihre Region aus, und bestätigen Sie, dass die Richtlinienebene standardmäßig auf "Einfach" festgelegt ist.
    Virtuelles Netzwerk auswählen Wählen Sie "Neu erstellen" aus. Geben Sie Test-FW-VN für den Namen 10.0.0.0/16 für den Adressraum und 10.0.0.0/26 für den Subnetzadressraum ein.
    Öffentliche IP-Adresse Wählen Sie "Neu hinzufügen" aus, und geben Sie " fw-pip " für den Namen ein.
    Verwaltung – Subnetzadressraum 10.0.1.0/26
    Öffentliche IP-Adresse für die Verwaltung Wählen Sie "Neu hinzufügen" aus, und geben Sie " fw-mgmt-pip " für den Namen ein.

  5. Übernehmen Sie die anderen Standardwerte, und wählen Sie dann "Überprüfen+ erstellen" aus.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann "Erstellen" aus, um die Firewall zu erstellen.

    Die Bereitstellung dauert einige Minuten.

  7. Wechseln Sie nach Abschluss der Bereitstellung zur Ressourcengruppe "Test-FW-RG ", und wählen Sie die Firewall "Test-FW01 " aus.

  8. Beachten Sie die Privaten und öffentlichen IP-Adressen der Firewall (fw-pip). Diese Adressen werden später verwendet.

Erstellen eines Subnetzes für den Workloadserver

Erstellen Sie als Nächstes ein Subnetz für den Workloadserver.

  1. Wechseln Sie zur Ressourcengruppe "Test-FW-RG ", und wählen Sie das virtuelle Netzwerk "Test-FW-VN " aus.
  2. Wählen Sie Subnetze und dann +Subnetz aus.
  3. Geben Sie für Subnetznamen ein Workload-SN. Geben Sie für 10.0.2.0/24 ein.
  4. Wählen Sie Speichern aus.

Erstellen eines virtuellen Computers

Erstellen Sie den virtuellen Workloadcomputer, und platzieren Sie ihn im Workload-SN-Subnetz .

  1. Wählen Sie im Azure-Portalmenü oder "Start" die Option "Ressource erstellen" aus.

  2. Wählen Sie "Windows Server 2019 Datacenter" aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:

    Setting Wert
    Ressourcengruppe Test-FW-RG
    Name des virtuellen Computers Srv-Work
    Region Identisch mit vorheriger
    Bild Windows Server 2019 Datacenter
    Administratorbenutzername Geben Sie einen Benutzernamen ein.
    Kennwort Eingeben eines Kennworts

  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.

  5. Übernehmen Sie die Standardwerte auf der Registerkarte "Datenträger ", und wählen Sie "Weiter: Netzwerk" aus.

  6. Wählen Sie für Virtuelles Netzwerk die Option Test-FW-VN aus. Wählen Sie für Subnetzdie Option Workload-SN aus. Wählen Sie für öffentliche IPdie Option "Keine" aus.

  7. Übernehmen Sie die Standardwerte über "Verwaltung", und wählen Sie dann auf der Registerkarte " Überwachung " die Option "Für Startdiagnose deaktivieren" aus. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

  8. Wählen Sie nach Abschluss der Bereitstellung die Srv-Work-Ressource aus, und notieren Sie sich die private IP-Adresse für die spätere Verwendung.

Erstellen einer Standardroute

Konfigurieren Sie für das Workload-SN-Subnetz die ausgehende Standardroute, um die Firewall zu durchlaufen.

  1. Suchen und wählen Sie „Routentabellen“ aus, und wählen Sie dann „Erstellen“ aus.

  2. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Name Geben Sie Firewall-route ein.

  3. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen. Wählen Sie nach Abschluss der Bereitstellung die Option Zu Ressource wechseln.

  4. Wählen Sie auf der Seite Firewallroute die Option Subnetze aus, und klicken Sie dann auf Zuordnen.

  5. Wählen Sie Virtuelles Netzwerk>Test-FW-VN aus. Wählen Sie für Subnetzdie Option Workload-SN aus.

    Von Bedeutung

    Wählen Sie nur das Workload-SN-Subnetz für diese Route aus, andernfalls funktioniert Ihre Firewall nicht ordnungsgemäß.

  6. Wählen Sie OK aus.

  7. Klicken Sie auf Routen und dann auf Hinzufügen. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Routenname fw-dg
    Adresspräfix für das Ziel IP-Adressen
    Ziel-IP-Adressen/CIDR-Bereiche 0.0.0.0/0
    Typ des nächsten Sprungs Virtuelle Appliance (Azure Firewall ist ein verwalteter Dienst, aber virtuelle Appliance funktioniert hier.)
    Adresse des nächsten Hops Die private IP-Adresse der Firewall, die Sie zuvor erwähnt haben.

  8. Wählen Sie Hinzufügen aus.

Konfigurieren einer Anwendungsregel

Diese Anwendungsregel gewährt ausgehenden Zugriff auf www.google.com.

  1. Öffnen Sie "Test-FW-RG", und wählen Sie die Firewallrichtlinie "fw-test-pol " aus.

  2. Wählen Sie "Anwendungsregeln" und dann " Regelsammlung hinzufügen" aus.

  3. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Name App-Coll01
    Priorität 200
    Regelsammlungsaktion Erlauben

  4. Geben Sie unter "Regeln" die folgenden Werte ein, oder wählen Sie sie aus:

    Setting Wert
    Name Allow-Google
    Quelltyp IP-Adresse
    Quelle 10.0.2.0/24
    Protokoll:Port http, https
    Zieltyp FQDN
    Bestimmungsort www.google.com

  5. Wählen Sie Hinzufügen aus.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind spezifisch für die Plattform, und Sie können sie nicht für andere Zwecke verwenden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Konfigurieren einer Netzwerkregel

Diese Netzwerkregel gewährt ausgehenden Zugriff auf zwei IP-Adressen an Port 53 (DNS).

  1. Wählen Sie "Netzwerkregeln" und dann "Regelsammlung hinzufügen" aus.

  2. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Name Net-Coll01
    Priorität 200
    Regelsammlungsaktion Erlauben
    Regelsammlungsgruppe DefaultNetworkRuleCollectionGroup

  3. Geben Sie unter "Regeln" die folgenden Werte ein, oder wählen Sie sie aus:

    Setting Wert
    Name Allow-DNS
    Quelltyp IP-Adresse
    Quelle 10.0.2.0/24
    Protokoll UDP
    Zielports 53
    Zieltyp IP-Adresse
    Bestimmungsort 209.244.0.3,209.244.0.4 (öffentliche DNS-Server, betrieben von Level3)

  4. Wählen Sie Hinzufügen aus.

Konfigurieren einer DNAT-Regel

Diese Regel verbindet einen Remotedesktop über die Firewall mit dem Srv-Work virtuellen Computer.

  1. Wählen Sie DNAT-Regeln aus, und wählen Sie dann "Regelsammlung hinzufügen" aus.

  2. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

    Setting Wert
    Name rdp
    Priorität 200
    Regelsammlungsgruppe DefaultDnatRuleCollectionGroup

  3. Geben Sie unter "Regeln" die folgenden Werte ein, oder wählen Sie sie aus:

    Setting Wert
    Name rdp-nat
    Quelltyp IP-Adresse
    Quelle *
    Protokoll TCP
    Zielports 3389
    Zieltyp IP-Adresse
    Bestimmungsort Die öffentliche IP-Adresse der Firewall (fw-pip)
    Übersetzte Adresse Die private IP-Adresse von Srv-Work
    Übersetzter Port 3389

  4. Wählen Sie Hinzufügen aus.

Ändern der primären und sekundären DNS-Adresse für die Srv-Work-Netzwerkschnittstelle

Konfigurieren Sie zu Testzwecken in diesem Artikel die primären und sekundären DNS-Adressen des Servers. Diese Konfiguration ist keine allgemeine Azure Firewall-Anforderung.

  1. Wechseln Sie im Azure-Portal zu "Ressourcengruppen", entweder über das Menü oder durch Suchen, und wählen Sie dann "Test-FW-RG" aus.
  2. Wählen Sie die Netzwerkschnittstelle für den virtuellen Srv-Work-Computer aus.
  3. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  4. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  5. Geben Sie 209.244.0.3 in das Textfeld "DNS-Server hinzufügen" ein und 209.244.0.4 im nächsten Textfeld.
  6. Wählen Sie Speichern aus.
  7. Starten Sie den virtuellen Computer "Srv-Work " neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

  1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall (fw-pip), und melden Sie sich beim virtuellen Computer Srv-Work an.

  2. Öffnen Sie Microsoft Edge, und rufen Sie die Seite https://www.google.com auf. Die Google-Startseite wird angezeigt.

  3. Navigieren Sie zu http://www.microsoft.com.

    Die Firewall blockiert Sie.

Nun haben Sie überprüft, ob die Firewallregeln funktionieren:

  • Sie können einen Remotedesktop mit dem virtuellen computer Srv-Work verbinden.
  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können Ihre Firewallressourcen für weitere Tests beibehalten. Wenn Sie sie nicht mehr benötigen, löschen Sie die Ressourcengruppe "Test-FW-RG ", um alle firewallbezogenen Ressourcen zu löschen.

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium

  • Last updated on