Freigeben über

Lernprogramm: Bereitstellen und Konfigurieren der Azure-Firewall und -Richtlinie mithilfe des Azure-Portals

Die Steuerung des ausgehenden Netzwerkzugriffs ist ein wichtiger Teil eines umfassenden Netzwerksicherheitsplans. Beispielsweise möchten Sie den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Sie können den ausgehenden Netzwerkzugriff über ein Azure-Subnetz mithilfe der Azure-Firewall- und Firewallrichtlinie steuern. Mithilfe der Azure Firewall- und Firewallrichtlinie können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

In diesem Lernprogramm erstellen Sie ein vereinfachtes einzelnes virtuelles Netzwerk (VNet) mit zwei Subnetzen für die einfache Bereitstellung.

  • AzureFirewallSubnet - die Firewall in diesem Subnetz.
  • Workload-SN - der Workloadserver in diesem Subnetz. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Diagramm, das eine Firewallnetzwerkinfrastruktur zeigt.

Verwenden Sie für Produktionsbereitstellungen ein Hub- und Speichenmodell, in dem sich die Firewall in einem eigenen VNet befindet. Die Workloadserver befinden sich in per Peering verknüpften VNETs in derselben Region mit einem oder mehreren Subnetzen.

In diesem Tutorial lernen Sie Folgendes:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer Firewall und einer Firewallrichtlinie
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel, um den Zugriff auf www.google.com zuzulassen
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel zum Zulassen des eingehenden HTTP-Zugriffs auf den Testserver
  • Testen der Firewall

Wenn Es Ihnen lieber ist, können Sie dieses Verfahren mithilfe von Azure PowerShell abschließen.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Einrichten des Netzwerks

Erstellen Sie zunächst eine Ressourcengruppe für die Ressourcen, die zum Bereitstellen der Firewall benötigt werden. Erstellen Sie dann ein virtuelles Netzwerk, Subnetze und einen Testserver.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen für das Tutorial.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im Azure-Portalmenü Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen , und wählen Sie dann "Erstellen" aus. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Geben Sie Test-FW-RG ein.
    Region Wählen Sie eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.

  3. Wählen Sie Bewerten + erstellen>Erstellen aus.

Erstellen eines VNET

Dieses VNet verfügt über zwei Subnetze.

Hinweis

Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  1. Wählen Sie im Azure-Portalmenü oder von "Start" die Option " Ressource erstellen", suchen Sie nach einem virtuellen Netzwerk, und wählen Sie " Erstellen" aus.

  2. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Name Geben Sie Test-FW-VN ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.

  3. Wählen Sie " Weiter" zweimal aus, um zur Registerkarte " IP-Adressen " zu gelangen.

  4. Übernehmen Sie für den IPv4-Adressraum den Standardwert 10.0.0.0/16.

  5. Wählen Sie unter Subnetze die Option Standard aus. Legen Sie im Bereich "Subnetz bearbeiten " den Subnetzzweck auf Azure Firewall fest.

    Die Firewall befindet sich in diesem Subnetz, und der Subnetzname muss AzureFirewallSubnet sein.

  6. Geben Sie für die Startadresse10.0.1.0 ein, und wählen Sie dann "Speichern" aus.

  7. Wählen Sie "Subnetz hinzufügen" aus, und geben Sie die folgenden Werte ein, und wählen Sie dann "Hinzufügen" aus:

    Einstellung Wert
    Subnetzname Workload-SN
    Startadresse 10.0.2.0/24

  8. Wählen Sie Bewerten + erstellen>Erstellen aus.

Bereitstellen von Azure Bastion

Stellen Sie die Azure Bastion Developer Edition bereit, um sicher eine Verbindung mit dem virtuellen Srv-Work-Computer herzustellen, um tests durchzuführen.

  1. Geben Sie im Suchfeld oben im Portal Bastion ein, und wählen Sie bastions aus den Ergebnissen aus. Wählen Sie "Erstellen" aus, und geben Sie die folgenden Werte ein:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Instanzdetails
    Name Geben Sie "Test-Bastion" ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Tarif Wählen Sie Entwickler aus.
    Virtuelles Netzwerk Wählen Sie "Test-FW-VN" aus.
    Subnetz Das AzureBastionSubnet wird automatisch mit Adressraum 10.0.0.0/26 erstellt.

  2. Wählen Sie Bewerten + erstellen>Erstellen aus.

    Die Bereitstellung dauert einige Minuten.

Erstellen eines virtuellen Computers

Erstellen Sie den virtuellen Workloadcomputer, und platzieren Sie ihn im Workload-SN-Subnetz .

  1. Geben Sie im Suchfeld oben im Portal virtuelle Computer ein, wählen Sie virtuelle Computer aus, und wählen Sie dann "Virtuellen Computer> aus.

  2. Geben Sie die folgenden Werte für den virtuellen Computer ein oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Instanzdetails
    Name des virtuellen Computers Geben Sie Srv-Work ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
    Sicherheitstyp Wählen Sie "Standard" aus.
    Bild Select Ubuntu Server 24.04 LTS -x64 Gen2
    Size Wählen Sie eine Größe für den virtuellen Computer aus.
    Administratorkonto
    Username Geben Sie azureuser ein.
    Quelle für öffentlichen SSH-Schlüssel Wählen Sie Neues Schlüsselpaar generieren aus.
    Name des Schlüsselpaars Geben Sie "Srv-Work_key" ein.

  3. Legen Sie unter Eingehende PortregelnÖffentliche eingehende Ports auf Keine fest.

  4. Übernehmen Sie die anderen Standardwerte, und stellen Sie auf der Registerkarte "Netzwerk" sicher, dass "Test-FW-VN / " ausgewählt ist, und öffentliche IP-Adresse"Keine" ist.

  5. Wählen Sie Bewerten + erstellen>Erstellen aus. Wenn Sie dazu aufgefordert werden, wählen Sie "Privaten Schlüssel herunterladen" aus, und erstellen Sie die Ressource , und speichern Sie die Schlüsseldatei.

  6. Beachten Sie nach Abschluss der Bereitstellung die private IP-Adresse „Srv-Work“ für die spätere Verwendung.

Installieren eines Webservers

Stellen Sie eine Verbindung mit dem virtuellen Computer her, und installieren Sie einen Webserver zum Testen.

  1. Wählen Sie in der Ressourcengruppe "Test-FW-RG " den virtuellen Computer "Srv-Work " aus.

  2. Wählen Sie Vorgänge>Befehl ausführen>RunShellScript, geben Sie die folgenden Befehle ein, und wählen Sie dann Ausführen aus:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  3. Warten Sie, bis das Skript erfolgreich abgeschlossen wurde.

Bereitstellen der Firewall und Richtlinie

Stellen Sie die Firewall im virtuellen Netzwerk bereit.

  1. Wählen Sie im Azure-Portalmenü oder von "Start" die Option " Ressource erstellen", suchen Sie nach "Firewall" und wählen Sie " Erstellen" aus.

  2. Verwenden Sie unter "Firewall erstellen" die folgende Tabelle, um die Firewall zu konfigurieren:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Instanzdetails
    Name Geben Sie Test-FW01 ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Firewall-SKU Wählen Sie "Standard" aus.
    Firewallverwaltung Wählen Sie Firewallrichtlinie zum Verwalten dieser Firewall verwenden aus.
    Firewallrichtlinie Wählen Sie Neu hinzufügen aus, und geben Sie fw-test-pol ein.
    Wählen Sie die gleiche Region aus, die Sie zuvor verwendet haben. Wählen Sie OK aus.
    Virtuelles Netzwerk auswählen Wählen Sie Vorhandene verwenden und dann Test-FW-VN aus. Ignorieren Sie die Warnung bezüglich Force Tunneling. Die Warnung wird in einem späteren Schritt behoben..
    Öffentliche IP-Adresse Wählen Sie Neu hinzufügen aus, und geben Sie fw-pip für den Namen ein. Wählen Sie OK aus.

  3. Deaktivieren Sie das Kontrollkästchen "Firewallverwaltungs-NIC aktivieren", übernehmen Sie die anderen Standardwerte, und wählen Sie dann "Überprüfen+ Erstellen" aus>.

    Das Bereitstellen dieses Prozess dauert nur wenige Minuten.

  4. Wechseln Sie nach Abschluss der Bereitstellung zu Test-FW-RG, wählen Sie die Firewall "Test-FW01" aus, und notieren Sie sich die privaten und öffentlichen IP-Adressen für die spätere Verwendung.

Erstellen einer Standardroute

Konfigurieren Sie die ausgehende Standardroute für das Subnetz Workload-SN so, dass sie die Firewall durchläuft.

  1. Suchen und wählen Sie "Routentabellen" aus, wählen Sie "Erstellen" aus, und geben Sie die folgenden Werte ein:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Instanzdetails
    Name Geben Sie Firewall-route ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.

  2. Wählen Sie Bewerten + erstellen>Erstellen aus.

Klicken Sie nach Abschluss der Bereitstellung auf Zur Ressource wechseln.

  1. Wählen Sie im Bereich Firewallroute unter EinstellungenSubnetze>Zuordnen aus.

  2. Wählen Sie für virtuelles Netzwerk"Test-FW-VN" und für Subnetz"Workload-SN" aus. Wählen Sie OK aus.

  3. Wählen Sie "Routen>hinzufügen" aus, und geben Sie die folgenden Werte ein:

    Einstellung Wert
    Routenname fw-dg
    Zieltyp IP-Adressen
    Präfix für Ziel-IP-Adressen/CIDR-Bereiche 0.0.0.0/0
    Typ des nächsten Sprungs Virtuelles Gerät
    Adresse des nächsten Hops Die private IP-Adresse für die Firewall, die Sie zuvor erwähnt haben

    Hinweis

    Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.

  4. Wählen Sie Hinzufügen.

Konfigurieren einer Anwendungsregel

Diese Anwendungsregel gewährt ausgehenden Zugriff auf www.google.com.

  1. Öffnen Sie die Ressourcengruppe Test-FW-RG, und wählen Sie die Firewallrichtlinie fw-test-pol aus.

  2. Wählen Sie unter "Einstellungsregeln>" die Option "Anwendungsregeln>.

  3. Geben Sie die folgenden Werte ein:

    Einstellung Wert
    Name App-Coll01
    Priorität 200
    Regelsammlungsaktion Erlauben
    Regeln
    Name Allow-Google
    Quelltyp IP-Adresse
    Quelle 10.0.2.0/24
    Protokoll:Port http, https
    Zieltyp FQDN
    Bestimmungsort www.google.com

  4. Wählen Sie Hinzufügen.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind spezifisch für die Plattform und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Warten Sie, bis die Bereitstellung der Anwendungsregel abgeschlossen ist, bevor Sie fortfahren.

Konfigurieren einer Netzwerkregel

Diese Netzwerkregel gewährt ausgehenden Zugriff auf zwei IP-Adressen an Port 53 (DNS).

  1. Wählen Sie "Netzwerkregeln>" aus, um eine Regelsammlung hinzuzufügen.

  2. Geben Sie die folgenden Werte ein:

    Einstellung Wert
    Name Net-Coll01
    Priorität 200
    Regelsammlungsaktion Erlauben
    Regelsammlungsgruppe DefaultNetworkRuleCollectionGroup
    Regeln
    Name Allow-DNS
    Quelltyp IP-Adresse
    Quelle 10.0.2.0/24
    Protokoll UDP
    Zielports 53
    Zieltyp IP-Adresse
    Bestimmungsort 209.244.0.3.209.244.0.4 (öffentliche DNS-Server, betrieben von CenturyLink)

  3. Wählen Sie Hinzufügen.

Warten Sie, bis die Netzwerkregelbereitstellung abgeschlossen ist, bevor Sie fortfahren.

Konfigurieren einer DNAT-Regel

Diese Regel stellt über die Firewall eine Verbindung mit dem Webserver auf dem virtuellen Computer "Srv-Work " her.

  1. Wählen Sie DNAT-Regeln>aus. Fügen Sie eine Regelsammlung hinzu.

  2. Geben Sie die folgenden Werte ein:

    Einstellung Wert
    Name HTTP
    Priorität 200
    Regelsammlungsgruppe DefaultDnatRuleCollectionGroup
    Regeln
    Name http-nat
    Quelltyp IP-Adresse
    Quelle *
    Protokoll TCP
    Zielports 80
    Bestimmungsort Die öffentliche IP-Adresse der Firewall
    Übersetzter Typ IP-Adresse
    Übersetzte Adresse Die private IP-Adresse von Srv-Work
    Übersetzter Port 80

  3. Wählen Sie Hinzufügen.

Ändern der primären und sekundären DNS-Adresse für die Netzwerkschnittstelle Srv-Work

In diesem Tutorial konfigurieren Sie zu Testzwecken die primäre und sekundäre DNS-Adresse des Servers. Diese Konfiguration ist keine allgemeine Azure Firewall-Anforderung.

  1. Wählen Sie in der Ressourcengruppe "Test-FW-RG " die Netzwerkschnittstelle für den virtuellen Srv-Work-Computer aus.
  2. Wählen Sie unter Einstellungen die Option DNS-Server>Benutzerdefiniert aus.
  3. Geben Sie 209.244.0.3 und 209.244.0.4 als DNS-Server ein, und wählen Sie dann "Speichern" aus.
  4. Starten Sie den virtuellen Computer Srv-Work neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

Teste die DNAT-Regel

  1. Geben Sie in einem Webbrowser auf Ihrem lokalen Computer die Eingabetaste http://<firewall-public-ip-address>ein.
  2. Sie sehen die benutzerdefinierte Webseite: Azure Firewall DNAT Test. Dies bestätigt, dass die DNAT-Regel funktioniert.

Testen der Anwendungs- und Netzwerkregeln

Verwenden Sie Azure Bastion, um eine sichere Verbindung mit dem virtuellen Srv-Work-Computer herzustellen und die Firewallregeln zu testen.

  1. Wählen Sie in der Ressourcengruppe "Test-FW-RG" den virtuellen Computer "Srv-Work" und dann "Verbinden über> aus.

  2. Geben Sie auf der Bastion-Seite die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    Authentifizierungstyp Wählen Sie den privaten SSH-Schlüssel aus der lokalen Datei aus.
    Username Geben Sie azureuser ein.
    Lokale Datei Wählen Sie "Durchsuchen" und dann die Datei "Srv-Work_key.pem " aus, die Sie während der VM-Erstellung heruntergeladen haben.

  3. Wählen Sie Verbinden aus.

    Eine neue Browserregisterkarte wird mit einer SSH-Sitzung zur virtuellen Maschine Srv-Work geöffnet.

  4. Geben Sie in der SSH-Sitzung den folgenden Befehl ein, um den Zugriff auf Google zu testen:

    curl -I https://www.google.com

    Es wird eine erfolgreiche HTTP-Antwort (200 OK) angezeigt, die angibt, dass die Anwendungsregel den Zugriff auf Google zulässt.

  5. Testen Sie nun den Zugriff auf Microsoft, der blockiert werden soll. Geben Sie Folgendes ein:

    curl -I https://www.microsoft.com

    Der Befehl bricht nach ca. 60 Sekunden aus oder schlägt fehl, was angibt, dass die Firewall den Zugriff blockiert.

Nun haben Sie überprüft, ob die Firewallregeln funktionieren:

  • Sie können über die DNAT-Regel auf den Webserver zugreifen.
  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können Ihre Firewallressourcen für das nächste Tutorial beibehalten. Wenn Sie sie nicht mehr benötigen, löschen Sie die Ressourcengruppe "Test-FW-RG ", um alle firewallbezogenen Ressourcen zu löschen.

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium

  • Last updated on