Condividi tramite

Distribuzione e configurazione di Azure Firewall Basic e delle relative politiche tramite il portale di Azure

Firewall di Azure Basic offre la protezione essenziale necessaria ai clienti SMB a un prezzo conveniente. Questa soluzione è consigliata per gli ambienti dei clienti SMB con requisiti di velocità effettiva inferiori a 250 Mbps. Distribuire lo SKU Standard per gli ambienti con requisiti di capacità di trasmissione superiori a 250 Mbps e lo SKU Premium per la protezione avanzata dalle minacce.

Il filtro del traffico di rete e applicazione è una parte importante di un piano di sicurezza di rete complessivo. Ad esempio, è possibile limitare l'accesso ai siti Web. In alternativa, potrebbe essere utile limitare gli indirizzi IP e le porte in uscita a cui è possibile accedere.

Un modo per controllare l'accesso alla rete in ingresso e in uscita da una subnet di Azure consiste nell'usare Firewall di Azure e Criteri firewall. Usando Firewall di Azure e i criteri firewall, è possibile configurare:

  • Regole di applicazione che definiscono i nomi di dominio completi (FQDN) accessibili da una subnet.
  • Regole di rete che definiscono l'indirizzo di origine, il protocollo, la porta di destinazione e l'indirizzo di destinazione.
  • Regole DNAT per convertire e filtrare il traffico Internet in ingresso nelle subnet.

Il traffico di rete è sottoposto alle regole del firewall configurate quando si instrada il traffico di rete al firewall come gateway predefinito della subnet.

In questo articolo viene creata una singola rete virtuale semplificata con tre subnet per semplificare la distribuzione. Firewall Basic prevede un requisito obbligatorio per la configurazione con una scheda di interfaccia di rete di gestione.

  • AzureFirewallSubnet: in questa subnet si trova il firewall.
  • AzureFirewallManagementSubnet : per il traffico di gestione dei servizi.
  • Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.

Annotazioni

Poiché il Firewall di Azure Basic ha una gestione del traffico limitata rispetto allo SKU Standard o Premium di Firewall di Azure, richiede la AzureFirewallManagementSubnet per separare il traffico dei clienti dal traffico di gestione Microsoft, per evitare interruzioni. Questo traffico di gestione è necessario per la comunicazione di aggiornamenti e metriche di integrità che si verifica automaticamente solo da e verso Microsoft. Nessun'altra connessione è consentita su questo INDIRIZZO IP.

Per le distribuzioni di produzione, usare un modello hub-spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano in reti virtuali connesse tramite peering nella stessa area, con una o più subnet.

In questo articolo vengono illustrate le operazioni seguenti:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall di base e una politica firewall di base
  • Creare una route predefinita
  • Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
  • Configurare una regola di rete per consentire l'accesso a server DNS esterni
  • Configurare una regola NAT per consentire l'accesso in desktop remoto al server di test
  • Testare il firewall

Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

Il gruppo di risorse contiene tutte le risorse per la guida pratica.

  1. Accedi al portale di Azure.

  2. Cercare e selezionare Gruppi di risorse e quindi selezionare Crea.

  3. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Subscription Selezionare la sottoscrizione.
    Nome del gruppo di risorse Immettere Test-FW-RG.
    Area geografica Scegliere un'area. Tutte le altre risorse create devono trovarsi nella stessa area.

  4. Seleziona Rivedi e crea e quindi seleziona Crea.

Distribuire il firewall e le politiche di sicurezza

Distribuire il firewall e creare l'infrastruttura di rete associata.

  1. Nel menu del portale di Azure o nel riquadro Home selezionare Crea una risorsa.

  2. Digitare firewall nella casella di ricerca e premere INVIO.

  3. Selezionare Firewall e quindi selezionare Crea.

  4. In Crea firewall immettere o selezionare i valori seguenti:

    Impostazione Value
    Subscription Selezionare la sottoscrizione.
    Gruppo di risorse Selezionare Test-FW-RG.
    Nome Immettere Test-FW01.
    Area geografica Selezionare la stessa posizione usata in precedenza.
    Livello del firewall Basic
    Gestione del firewall Usare una politica firewall per gestire questo firewall
    Politica di firewall Seleziona Aggiungi nuovo. Immettere fw-test-pol, selezionare l'area e confermare che il livello di criteri predefinito sia Basic.
    Scegliere una rete virtuale Seleziona Crea nuovo. Immettere Test-FW-VN come nome, 10.0.0.0/16 per lo spazio indirizzi e 10.0.0.0/26 per lo spazio indirizzi della subnet.
    Indirizzo IP pubblico Selezionare Aggiungi nuovo e immettere fw-pip come nome.
    Gestione - Spazio indirizzi subnet 10.0.1.0/26
    Indirizzo IP pubblico per la gestione Selezionare Aggiungi nuovo e immettere fw-mgmt-pip come nome.

  5. Accettare gli altri valori predefiniti e quindi selezionare Rivedi e crea.

  6. Esaminare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse Test-FW-RG e selezionare il firewall Test-FW01 .

  8. Prendere nota degli indirizzi IP pubblici e privati del firewall (fw-pip). Questi indirizzi verranno usati in un secondo momento.

Creare una subnet per il server del carico di lavoro

Creare quindi una subnet per il server del carico di lavoro.

  1. Passare al gruppo di risorse Test-FW-RG e selezionare la rete virtuale Test-FW-VN .
  2. Selezionare Subnets e quindi + Subnet.
  3. Per Subnet name, inserisci Workload-SN. Per Intervallo indirizzi subnet, immettere 10.0.2.0/24.
  4. Seleziona Salva.

Creare una macchina virtuale

Creare la macchina virtuale workload e inserirla nella subnet Workload-SN.

  1. Nel menu del portale di Azure o Home selezionare Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    Impostazione Value
    Gruppo di risorse Test-FW-RG
    Nome della macchina virtuale Srv-Work
    Area geografica Uguale a quello precedente
    Immagine Windows Server 2019 Datacenter
    Nome utente amministratore Digitare un nome utente
    Parola chiave Digitare una password

  4. In Regole porta in ingresso, per Porte in ingresso pubbliche, selezionare Nessuna.

  5. Accettare le impostazioni predefinite nella scheda Dischi e selezionare Avanti: Rete.

  6. Per Rete virtuale selezionare Test-FW-VN. Per Subnet selezionare Workload-SN. In IP pubblicoselezionare Nessuno.

  7. Accettare le impostazioni predefinite tramite Gestione e quindi nella scheda Monitoraggioselezionare Disabilita per la diagnostica di avvio. Seleziona Rivedi e crea e quindi seleziona Crea.

  8. Al termine della distribuzione, selezionare la risorsa Srv-Work e prendere nota dell'indirizzo IP privato per usarlo in seguito.

Creare una route predefinita

Per la subnet Workload-SN , configurare la route predefinita in uscita per passare attraverso il firewall.

  1. Cercare e selezionare Tabelle di route, quindi selezionare Crea.

  2. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Subscription Selezionare la sottoscrizione.
    Gruppo di risorse Selezionare Test-FW-RG.
    Area geografica Selezionare la stessa posizione usata in precedenza.
    Nome Inserisci Firewall-route.

  3. Seleziona Rivedi e crea e quindi seleziona Crea. Al termine della distribuzione, selezionare Vai alla risorsa.

  4. Nella pagina Firewall-route selezionare Subnet, quindi selezionare Associa.

  5. Selezionare Rete virtuale>Test-FW-VN. Per Subnet selezionare Workload-SN.

    Importante

    Selezionare solo la subnet Workload-SN per questa route. In caso contrario, il firewall non funziona correttamente.

  6. Seleziona OK.

  7. Selezionare Route e quindi Aggiungi. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Nome del percorso fw-dg
    Destinazione prefisso indirizzo Indirizzi IP
    Indirizzi IP di destinazione/intervalli CIDR 0.0.0.0/0
    Tipo di passaggio successivo Appliance virtuale (Firewall di Azure è un servizio gestito, ma l'appliance virtuale funziona qui).
    Indirizzo del prossimo passaggio Indirizzo IP privato del firewall annotato in precedenza.

  8. Seleziona Aggiungi.

Configurare una regola di applicazione

Questa regola dell'applicazione concede l'accesso in uscita a www.google.com.

  1. Aprire Test-FW-RG e selezionare i criteri firewall fw-test-pol .

  2. Selezionare Regole applicazione e quindi Aggiungi una raccolta regole.

  3. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Nome App-Coll01
    Priorità 200
    Azione della collezione di regole Consenti

  4. In Regole immettere o selezionare i valori seguenti:

    Impostazione Value
    Nome Allow-Google
    Tipo di sorgente Indirizzo IP
    origine 10.0.2.0/24
    Protocollo:porta http, https
    Tipo di destinazione FQDN
    Destinazione www.google.com

  5. Seleziona Aggiungi.

Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi FQDN sono specifici della piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).

Configurare una regola di rete

Questa regola di rete concede l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).

  1. Selezionare Regole di rete e quindi Aggiungi una raccolta regole.

  2. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Nome Net-Coll01
    Priorità 200
    Azione della collezione di regole Consenti
    Gruppo raccolta di regole DefaultNetworkRuleCollectionGroup

  3. In Regole immettere o selezionare i valori seguenti:

    Impostazione Value
    Nome Allow-DNS
    Tipo di sorgente Indirizzo IP
    origine 10.0.2.0/24
    Protocollo UDP
    Porte di destinazione 53
    Tipo di destinazione Indirizzo IP
    Destinazione 209.244.0.3,209.244.0.4 (server DNS pubblici gestiti da Level3)

  4. Seleziona Aggiungi.

Configurare una regola DNAT

Questa regola connette un desktop remoto alla macchina virtuale Srv-Work tramite il firewall.

  1. Selezionare Regole DNAT e quindi Selezionare Aggiungi una raccolta regole.

  2. Immetti o seleziona i valori seguenti:

    Impostazione Value
    Nome rdp
    Priorità 200
    Gruppo raccolta di regole DefaultDnatRuleCollectionGroup

  3. In Regole immettere o selezionare i valori seguenti:

    Impostazione Value
    Nome rdp-nat
    Tipo di sorgente Indirizzo IP
    origine *
    Protocollo TCP
    Porte di destinazione 3389
    Tipo di destinazione Indirizzo IP
    Destinazione Indirizzo IP pubblico del firewall (fw-pip)
    Indirizzo convertito Indirizzo IP privato Srv-Work
    Porta convertita 3389

  4. Seleziona Aggiungi.

Modificare l'indirizzo DNS primario e secondario per l'interfaccia di rete Srv-Work

A scopo di test in questo articolo, configurare gli indirizzi DNS primari e secondari del server. Questa configurazione non è un requisito generale di Firewall di Azure.

  1. Nel portale di Azure passare a Gruppi di risorse, dal menu o eseguendo una ricerca e quindi selezionare Test-FW-RG.
  2. Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work .
  3. In Impostazioni selezionare Server DNS.
  4. In Server DNS selezionare Personalizzato.
  5. Digitare 209.244.0.3 nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
  6. Seleziona Salva.
  7. Riavviare la macchina virtuale Srv-Work .

Testare il firewall

A questo punto testare il firewall per verificare che funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall (fw-pip) e accedere alla macchina virtuale Srv-Work .

  2. Aprire Microsoft Edge e passare a https://www.google.com. Viene visualizzata la home page di Google.

  3. Passare a http://www.microsoft.com.

    Il firewall blocca l'utente.

Ora è stato verificato che le regole del firewall funzionano:

  • È possibile connettere un desktop remoto alla macchina virtuale Srv-Work.
  • È possibile passare al nome di dominio completo consentito ma non agli altri.
  • È possibile risolvere i nomi DNS usando il server DNS esterno configurato.

Pulire le risorse

È possibile mantenere le risorse del firewall per ulteriori test. Se non sono più necessari, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium

  • Last updated on