通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户部署和配置 Azure 防火墙基本和策略

Azure 防火墙基本版以合理的价格提供 SMB 客户所需的基本保护。 此解决方案建议用于吞吐量要求低于 250 Mbps 的 SMB 客户环境。 为满足 250 Mbps 吞吐量要求的环境部署 标准 SKU ,并为高级威胁防护部署 高级 SKU

筛选网络和应用程序流量是整个网络安全计划的重要组成部分。 例如,你可能想要限制对网站的访问。 您可能希望限制可以访问的出站 IP 地址和端口。

可控制 Azure 子网的入站和出站网络访问的一种方法是使用 Azure 防火墙和防火墙策略。 通过使用 Azure 防火墙和防火墙策略,可以配置:

  • 应用程序规则,用于定义可从子网访问的完全限定域名 (FQDN)。
  • 网络规则,用于定义源地址、协议、目标端口和目标地址。
  • 用于转换和筛选流向子网的入站 Internet 流量的 DNAT 规则。

将网络流量路由到用作子网默认网关的防火墙时,网络流量受到配置的防火墙规则的控制。

在本文中,你将创建一个简化的单一虚拟网络,其中包含三个子网,以便轻松部署。 防火墙基本版强制要求配置管理 NIC。

  • AzureFirewallSubnet - 防火墙在此子网中。
  • AzureFirewallManagementSubnet - 用于服务管理流量。
  • Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。

注释

与 Azure 防火墙标准版或高级 SKU 相比,Azure 防火墙基本版的流量处理有限,因此它要求 AzureFirewallManagementSubnet 将客户流量与Microsoft管理流量分开,以确保不会中断。 此管理流量是仅与 Microsoft 自动进行更新和运行状况指标通信所必需的。 此 IP 上不允许其他连接。

对于生产部署,请使用 中心辐射模型,其中防火墙位于其自己的虚拟网络中。 工作负载服务器位于同一区域的对等虚拟网络中,并包含一个或多个子网。

在这篇文章中,你将学会如何:

  • 设置测试网络环境
  • 部署基本防火墙和基本防火墙策略
  • 创建默认路由
  • 配置一个应用程序规则以允许访问 www.google.com
  • 配置网络规则,以允许访问外部 DNS 服务器
  • 将 NAT 规则配置为允许远程桌面连接到测试服务器
  • 测试防火墙

如果需要,可以使用 Azure PowerShell 完成此过程。

先决条件

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

创建资源组

资源组包含操作指南的所有资源。

  1. 登录到 Azure 门户

  2. 搜索并选择 资源组,然后选择“ 创建”。

  3. 输入或选择下列值:

    设置 价值
    订阅 选择订阅。
    资源组名称 输入Test-FW-RG
    区域 选择区域。 你创建的所有其他资源必须位于同一区域中。

  4. 选择“查看 + 创建”,然后选择“创建”。

部署防火墙和策略

部署防火墙并创建关联的网络基础结构。

  1. 在 Azure 门户菜单或 “主页 ”窗格中,选择“ 创建资源”。

  2. 键入 firewall 搜索框,然后按 Enter

  3. 选择 防火墙,然后选择 创建

  4. “创建防火墙”上,输入或选择以下值:

    设置 价值
    订阅 选择订阅。
    资源组 选择Test-FW-RG。
    名字 输入Test-FW01
    区域 选择先前使用的相同位置。
    防火墙层 基本
    防火墙管理 使用防火墙策略来管理此防火墙
    防火墙策略 选择“添加新订阅”。 输入 fw-test-pol,选择你的区域,并确认策略层默认为 “基本”。
    选择虚拟网络 选择“新建”。 输入 Test-FW-VN 作为名称,为地址空间输入 10.0.0.0/16 ,为子网地址空间输入 10.0.0.0/26
    公共 IP 地址 选择“ 添加新 ”,然后输入 fw-pip 以获取名称。
    管理 - 子网地址空间 10.0.1.0/26
    管理公共 IP 地址 选择“ 添加新 ”,然后输入 fw-mgmt-pip 作为名称。

  5. 接受其他默认值,然后选择“ 查看 + 创建”。

  6. 查看摘要,然后选择“创建”以创建防火墙。

    部署需要几分钟时间。

  7. 部署完成后,转到 Test-FW-RG 资源组,然后选择 Test-FW01 防火墙。

  8. 记下防火墙专用 IP 地址和公共 IP (fw-pip) 地址。 您稍后将使用这些地址。

为工作负荷服务器创建子网

接下来,创建工作负荷服务器的子网。

  1. 转到 Test-FW-RG 资源组,然后选择 Test-FW-VN 虚拟网络。
  2. 选择 “子网”,然后选择“ + 子网”。
  3. 对于 子网名称,请输入 Workload-SN。 对于 子网地址范围,请输入 10.0.2.0/24
  4. 选择“保存”

创建虚拟机

创建工作负荷虚拟机并将其放置在 Workload-SN 子网中。

  1. 在 Azure 门户菜单或 “主页”上,选择“ 创建资源”。

  2. 选择“Windows Server 2019 Datacenter”。

  3. 输入虚拟机的以下值:

    设置 价值
    资源组 Test-FW-RG
    虚拟机名称 Srv-Work
    区域 与前面相同
    图像 Windows Server 2019 数据中心
    管理员用户名 键入用户名
    密码 键入密码

  4. 在“入站端口规则”下,对于“公共入站端口”,选择“无” 。

  5. 接受“ 磁盘 ”选项卡上的默认值,然后选择“ 下一步:网络”。

  6. 对于虚拟网络,请选择“Test-FW-VN”。 对于“子网”,请选择“Workload-SN”。 对于“公共 IP”,请选择“无”。

  7. 通过 管理接受默认值,然后在“ 监视 ”选项卡上选择“ 禁用 ”进行启动诊断。 选择“查看 + 创建”,然后选择“创建”。

  8. 部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。

创建默认路由

对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。

  1. 搜索并选择 “路由”表,然后选择“ 创建”。

  2. 输入或选择下列值:

    设置 价值
    订阅 选择订阅。
    资源组 选择Test-FW-RG。
    区域 选择先前使用的相同位置。
    名字 输入 Firewall-route

  3. 选择“查看 + 创建”,然后选择“创建”。 部署完成后,选择“ 转到资源”。

  4. “防火墙路由 ”页上,选择 “子网”,然后选择“ 关联”。

  5. 选择“虚拟网络”>“Test-FW-VN”。 对于“子网”,请选择“Workload-SN”。

    重要

    仅选择此路由的 Workload-SN 子网,否则防火墙无法正常工作。

  6. 选择“确定”

  7. 选择路由,然后选择添加。 输入或选择下列值:

    设置 价值
    路由名称 fw-dg
    地址前缀的目的地 IP 地址
    目标 IP 地址/CIDR 范围 0.0.0.0/0
    下一个跃点类型 虚拟设备 (Azure 防火墙是托管服务,但虚拟设备在此处工作)。
    下一个跃点地址 前面提到的防火墙专用 IP 地址。

  8. 选择 并添加

配置应用程序规则

此应用程序规则授予对 www.google.com 的出站访问权限。

  1. 打开 Test-FW-RG,然后选择 fw-test-pol 防火墙策略。

  2. 选择 “应用程序规则”,然后选择“ 添加规则集合”。

  3. 输入或选择下列值:

    设置 价值
    名字 App-Coll01
    优先级 200
    规则集合操作 允许

  4. “规则”下,输入或选择以下值:

    设置 价值
    名字 Allow-Google
    源类型 IP 地址
    来源 10.0.2.0/24
    Protocol:port http, https
    目标类型 FQDN
    目的地 www.google.com

  5. 选择 并添加

Azure 防火墙包含默认情况下允许的基础结构 FQDN 的内置规则集合。 这些 FQDN 特定于平台,不能将其用于其他目的。 有关详细信息,请参阅基础结构 FQDN

配置网络规则

此网络规则向端口 53(DNS)的两个 IP 地址授予出站访问权限。

  1. 选择 “网络规则”,然后选择“ 添加规则集合”。

  2. 输入或选择下列值:

    设置 价值
    名字 Net-Coll01
    优先级 200
    规则集合操作 允许
    规则汇集组 DefaultNetworkRuleCollectionGroup

  3. “规则”下,输入或选择以下值:

    设置 价值
    名字 Allow-DNS
    源类型 IP 地址
    来源 10.0.2.0/24
    协议 UDP
    目标端口 53
    目标类型 IP 地址
    目的地 209.244.0.3,209.244.0.4 (由 Level3 运营的公共 DNS 服务器)

  4. 选择 并添加

配置 DNAT 规则

此规则通过防火墙将远程桌面连接到 Srv-Work 虚拟机。

  1. 选择 DNAT 规则,然后选择 “添加规则集合”。

  2. 输入或选择下列值:

    设置 价值
    名字 rdp
    优先级 200
    规则汇集组 DefaultDnatRuleCollectionGroup

  3. “规则”下,输入或选择以下值:

    设置 价值
    名字 rdp-nat
    源类型 IP 地址
    来源 *
    协议 TCP
    目标端口 3389
    目标类型 IP 地址
    目的地 防火墙公共 IP 地址 (fw-pip)
    已翻译的地址 Srv-Work 专用 IP 地址
    已翻译的端口 3389

  4. 选择 并添加

更改 Srv-Work 网络接口的主要和辅助 DNS 地址

出于本文中的测试目的,请配置服务器的主要和辅助 DNS 地址。 此配置不是一般 Azure 防火墙要求。

  1. 在 Azure 门户中,从菜单或搜索转到 资源组,然后选择 Test-FW-RG
  2. 选择 Srv-Work 虚拟机的网络接口
  3. 在“设置”下,选择“DNS 服务器”。
  4. 在“DNS 服务器”下,选择“自定义”。
  5. 键入209.244.0.3“添加 DNS 服务器”文本框,然后在209.244.0.4下一个文本框中键入。
  6. 选择“保存”
  7. 重启 Srv-Work 虚拟机

测试防火墙

现在测试防火墙,以确认它是否按预期方式工作。

  1. 将远程桌面连接到防火墙公共 IP 地址(fw-pip),并登录到 Srv-Work 虚拟机。

  2. 打开 Microsoft Edge 并浏览到 https://www.google.com。 你会看到 Google 主页。

  3. 浏览到 http://www.microsoft.com

    防火墙会阻止你。

现在,你已验证防火墙规则是否正常工作:

  • 可以将远程桌面连接到 Srv-Work 虚拟机。
  • 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
  • 可以使用配置的外部 DNS 服务器解析 DNS 名称。

清理资源

可以保留防火墙资源以便进行进一步测试。 如果不再需要它们,请删除 Test-FW-RG 资源组以删除所有与防火墙相关的资源。

后续步骤

部署和配置 Azure 防火墙高级版

  • Last updated on