Condividi tramite

Distribuire e configurare Firewall di Azure Premium

Firewall di Azure Premium è un firewall di nuova generazione con funzionalità necessarie per ambienti altamente sensibili e regolamentati. Esso comprende le seguenti funzionalità:

  • Ispezione TLS: decrittografa il traffico in uscita, elabora i dati, quindi crittografa i dati e li invia alla destinazione.
  • IDPS : un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) che è possibile usare per monitorare le attività di rete per attività dannose, registrare informazioni su questa attività, segnalarlo e, facoltativamente, tentare di bloccarlo.
  • Filtro URL: estende la funzionalità di filtro FQDN di Firewall di Azure per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com.
  • categorie Web: gli amministratori possono consentire o negare l'accesso degli utenti a categorie di siti Web, ad esempio siti Web di gioco d'azzardo, siti Web di social media e altri.

Per altre informazioni, vedere Funzionalità di Firewall di Azure Premium.

Usare un modello per distribuire un ambiente di test con una rete virtuale centrale (10.0.0.0/16) con tre subnet:

  • Subnet del ruolo di lavoro (10.0.10.0/24)
  • Una subnet di Azure Bastion (10.0.20.0/24)
  • Una subnet del firewall (10.0.100.0/24)

Importante

La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

In questo ambiente di test viene usata una singola rete virtuale centrale per semplicità. Ai fini della produzione, una topologia hub e spoke con reti virtuali con peering è più comune.

Diagramma che mostra una rete virtuale centrale con subnet di lavoro, Bastion e firewall.

La macchina virtuale di lavoro è un client che invia richieste HTTP/S attraverso il firewall.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Distribuire l'infrastruttura

Un modello distribuisce un ambiente di test completo per Firewall di Azure Premium abilitato con IDPS, ispezione TLS, filtro URL e categorie Web:

  • Un nuovo Azure Firewall Premium e un criterio di firewall con impostazioni predefinite per consentire una facile convalida delle sue funzionalità principali (IDPS, ispezione TLS, filtro URL e categorie Web).
  • Tutte le dipendenze, inclusi Key Vault e un'identità gestita. In un ambiente di produzione, è possibile che queste risorse siano già disponibili e non siano necessarie nello stesso modello.
  • Una Root CA autofirmata generata e distribuita nel Deposito di chiavi creato.
  • Una CA intermedia derivata generata e distribuita in una macchina virtuale di test Windows (WorkerVM).
  • Viene distribuito anche Un Bastion Host (BastionHost) ed è possibile usarlo per connettersi al computer di test Windows (WorkerVM).

Pulsante per distribuire il modello di Resource Manager in Azure.

Testare il firewall

È ora possibile testare idps, ispezione TLS, filtri Web e categorie Web.

Aggiungere impostazioni di diagnostica del firewall

Per raccogliere i log del firewall, aggiungere le impostazioni di diagnostica per raccogliere i log del firewall.

  1. Selezionare DemoFirewall. In Monitoraggio selezionare Impostazioni di diagnostica.
  2. Selezionare Aggiungi impostazione di diagnostica.
  3. Per Nome dell'impostazione di diagnostica immettere fw-diag.
  4. Sotto Log, selezionare AzureFirewallApplicationRule e AzureFirewallNetworkRule.
  5. In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics.
  6. Seleziona Salva.

Test IDPS

Per testare IDPS, distribuire il proprio server Web di test interno con un certificato server appropriato. Questo test include l'invio di traffico dannoso a un server Web, quindi non eseguire questo test in un server Web pubblico. Per ulteriori informazioni sui requisiti dei certificati di Azure Firewall Premium, vedere certificati di Azure Firewall Premium.

Usare curl per controllare varie intestazioni HTTP e simulare il traffico dannoso.

Per testare IDPS per il traffico HTTP

  1. Nella macchina virtuale WorkerVM aprire una finestra del prompt dei comandi dell'amministratore.

  2. Inserire il seguente comando nel prompt dei comandi:

    curl -A "HaxerMen" <your web server address>

  3. Viene visualizzata la risposta del server Web.

  4. Passare ai log delle regole di rete del firewall nel portale di Azure per trovare un avviso simile al seguente:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Nota

    L'inizio della visualizzazione dei dati nei log può richiedere del tempo. Attendere almeno un paio di minuti per consentire ai log di iniziare a visualizzare i dati.

  5. Aggiungere una regola di firma per la firma 2032081:

    1. Selezionare DemoFirewallPolicye in Impostazioni selezionare IDPS.
    2. Selezionare la scheda Regole firma.
    3. In ID firma, digitare 2032081 nella casella di testo aperta.
    4. In Modalità selezionare Nega.
    5. Seleziona Salva.
    6. Attendere il completamento della distribuzione prima di continuare.

  6. In WorkerVM eseguire di nuovo il curl comando:

    curl -A "HaxerMen" <your web server address>

    Poiché la richiesta HTTP è ora bloccata dal firewall, l'output seguente viene visualizzato dopo la scadenza del timeout della connessione:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Passare ai log di monitoraggio nel portale di Azure e trovare il messaggio per la richiesta bloccata.

Per testare IDPS per il traffico HTTPS

Ripetere questi test curl usando HTTPS anziché HTTP. Ad esempio:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Verranno visualizzati gli stessi risultati ottenuti con i test HTTP.

Ispezione TLS con filtro URL

Usare la procedura seguente per testare l'ispezione TLS con il filtro URL.

  1. Modificare le regole dell'applicazione dei criteri firewall e aggiungere una nuova regola denominata AllowURL alla AllowWeb raccolta di regole. Configurare l'URL www.nytimes.com/section/worlddi destinazione, l'indirizzo *IP di origine, l'URL del tipo di destinazione, selezionare Ispezione TLS e protocolli http, https.

  2. Al termine della distribuzione, aprire un browser in WorkerVM e passare a https://www.nytimes.com/section/world. Verificare che la risposta HTML venga visualizzata come previsto nel browser.

  3. Nella portale di Azure è possibile visualizzare l'intero URL nei log di monitoraggio delle regole dell'applicazione:

    Messaggio di avviso che mostra l'URL

Alcune pagine HTML potrebbero risultare incomplete perché fanno riferimento ad altri URL negati. Per risolvere questo problema, usare gli approcci seguenti:

  • Se la pagina HTML contiene collegamenti ad altri domini, aggiungere questi domini a una nuova regola dell'applicazione che concede l'accesso a questi FQDN.

  • Se la pagina HTML contiene collegamenti a URL secondari, modificare la regola e aggiungere un asterisco all'URL. Ad esempio: targetURLs=www.nytimes.com/section/world*

    In alternativa, aggiungere un nuovo URL alla regola. Ad esempio:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Test delle categorie Web

Creare una regola dell'applicazione per consentire l'accesso ai siti Web sportivi.

  1. Nel portale aprire il gruppo di risorse e selezionare DemoFirewallPolicy.

  2. Selezionare Regole applicazione e quindi Aggiungi una raccolta regole.

  3. In Nome immettere GeneralWeb. Immettere 103 per Priorità. Per Gruppo di raccolta regole selezionare DefaultApplicationRuleCollectionGroup.

  4. In Regole immettere AllowSports per Nome. Immettere * per Origine. Immettere http, https per Protocollo. Selezionare Ispezione TLS. In Tipo di destinazione selezionare Categorie Web. In Destinazione selezionare Sport.

  5. Selezionare Aggiungi.

  6. Al termine della distribuzione, passare a WorkerVM, aprire un Web browser e passare a https://www.nfl.com.

    Si visualizza la pagina Web della NFL e il registro delle regole dell'applicazione indica che una regola di Categoria Web: Sport ha corrisposto e la richiesta è stata consentita.

Passaggi successivi

  • Last updated on