Delen via

Zelfstudie: Azure Firewall en beleid implementeren en configureren met behulp van Azure Portal

Het beheren van toegang tot uitgaande netwerken is een belangrijk onderdeel van een algemeen netwerkbeveiligingsabonnement. U kunt bijvoorbeeld de toegang tot websites beperken. U kunt ook de toegang tot uitgaande IP-adressen en poorten beperken.

Eén manier waarop u uitgaande netwerktoegang vanuit een Azure-subnet kunt beheren, is met Azure Firewall en Firewall Policy. Met Azure Firewall en Firewall-beleid kunt u het volgende configureren:

  • Toepassingsregels die volledig gekwalificeerde domeinnamen (FQDN's) definiëren waartoe toegang kan worden verkregen via een subnet.
  • Netwerkregels die een bronadres, protocol, doelpoort en doeladres definiëren.

Netwerkverkeer is onderhevig aan de geconfigureerde firewallregels wanneer u het routeert naar de firewall als standaardgateway van het subnet.

Voor deze zelfstudie maakt u een vereenvoudigd VNet met twee subnetten voor eenvoudige implementatie.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Diagram van de firewallnetwerkinfrastructuur.

Voor productie-implementaties wordt een hub en spoke-model aanbevolen, waarbij de firewall zich in een eigen VNet bevindt. De werkbelastingservers bevinden zich in gepeerde VNets in dezelfde regio met een of meer subnetten.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en firewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com toe te staan
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om binnenkomende HTTP-toegang tot de testserver toe te staan
  • De firewall testen

U kunt deze procedure desgewenst voltooien met behulp van Azure PowerShell.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Het netwerk instellen

Maak eerst een resourcegroep met de resources die nodig zijn om de firewall te implementeren. Maak vervolgens een VNet, subnetten en een testserver.

Een brongroep maken

De resourcegroep bevat alle resources voor de zelfstudie.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer resourcegroepen in het menu van Azure Portal of zoek naar resourcegroepen en selecteer resourcegroepen op een willekeurige pagina en selecteer vervolgens Maken. Voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Voer Test-FW-RG in.
    Regio Selecteer een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.

  3. Selecteer Beoordelen + maken.

  4. Selecteer Maken.

Een VNet maken

Dit VNet heeft twee subnetten.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Netwerken.

  3. Zoek naar virtueel netwerk en selecteer Maken.

  4. Voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW-VN in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.

  5. Klik op Volgende.

  6. Selecteer Volgende op het tabblad Beveiliging.

  7. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  8. Selecteer onder Subnetten de standaardwaarde.

  9. Selecteer Azure Firewall op de pagina Subnet bewerken voor subnetdoeleinden.

    De firewall bevindt zich in dit subnet en de naam van het subnet moet AzureFirewallSubnet zijn.

  10. Voor het beginadres typt u 10.0.1.0.

  11. Selecteer Opslaan.

Maak hierna een subnet voor de server voor workloads.

  1. Selecteer Subnet toevoegen.
  2. Bij Subnetnaam typt u Workload-SN.
  3. Voor het beginadres typt u 10.0.2.0/24.
  4. Selecteer Toevoegen.
  5. Selecteer Beoordelen + maken.
  6. Selecteer Maken.

Azure Bastion implementeren

Implementeer de Azure Bastion Developer-editie om veilig verbinding te maken met de virtuele Srv-Work-machine voor testen.

  1. Voer Bastion in het zoekvak boven aan de portal in. Selecteer Bastions in de zoekresultaten.

  2. Selecteer Maken.

  3. Voer op de pagina Een Bastion maken de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Instantiegegevens
    Naam Voer Test-Bastion in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Rang Selecteer Ontwikkelaar.
    Virtueel netwerk Selecteer Test-FW-VN.
    Subnet Het AzureBastionSubnet wordt automatisch gemaakt met adresruimte 10.0.0.0/26.

  4. Selecteer Beoordelen + maken.

  5. Controleer de instellingen en selecteer Maken.

    Het duurt enkele minuten om de implementatie te voltooien.

Maak een virtuele machine

Maak nu de virtuele machine voor de werkbelasting en plaats deze in het subnet Workload-SN.

  1. In het zoekvak bovenaan de portal voert u virtuele machine in en selecteer virtuele machines in de zoekresultaten.

  2. Selecteer Virtuelemachine>.

  3. Voer deze waarden in of selecteer deze voor de virtuele machine:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Instantiegegevens
    Naam van de virtuele machine Voer Srv-Work in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Selecteer Standaard.
    Afbeelding Selecteer Ubuntu Server 24.04 LTS -x64 Gen2
    Grootte Selecteer een grootte voor de virtuele machine.
    Beheerdersaccount
    Username Voer azureuser in.
    Bron voor openbare SSH-sleutel Selecteer Nieuw sleutelpaar genereren.
    Naam van sleutelpaar Voer Srv-Work_key in.

  4. Selecteer onder Regels voor binnenkomende poort, Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  7. Zorg ervoor dat Test-FW-VN is geselecteerd voor het virtuele netwerk en dat het subnet Workload-SN is.

  8. Selecteer Geen voor Openbaar IP.

  9. Selecteer Beoordelen + maken.

  10. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  11. Wanneer u hierom wordt gevraagd, selecteert u Privésleutel downloaden en bron maken. Sla het bestand met de persoonlijke sleutel op uw computer op.

  12. Nadat de implementatie is voltooid, selecteert u de Srv-Work-resource en noteert u het privé-IP-adres voor later gebruik.

Een webserver installeren

Maak verbinding met de virtuele machine en installeer een webserver om te testen.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.

  2. Selecteer de virtuele Srv-Work-machine .

  3. Selecteer Operations>Run command>RunShellScript.

  4. Voer in het scriptvak de volgende opdrachten in:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  5. Selecteer Voeruit.

  6. Wacht totdat het script is voltooid.

De firewall en het beleid implementeren

Implementeer de firewall in het VNet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Typ firewall in het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Instantiegegevens
    Naam Voer Test-FW01 in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Firewall-artikelnummer Selecteer Standaard.
    Firewallbeheer Selecteer Een firewallbeleid gebruiken om deze firewall te beheren.
    Firewallbeleid Selecteer Nieuwe toevoegen en voer fw-test-pol in.
    Selecteer dezelfde regio die u eerder hebt gebruikt. Selecteer OK.
    Een virtueel netwerk kiezen Selecteer Gebruik bestaande, en selecteer daarna Test-FW-VN. Negeer de waarschuwing over Force Tunneling. De waarschuwing wordt in een latere stap opgelost.
    Openbaar IP-adres Selecteer Nieuwe toevoegen en voer fw-pip in voor de Naam. Selecteer OK.

  5. Schakel het Selectievakje Firewallbeheer-NIC uit.

  6. Accepteer de andere standaardwaarden en selecteer daarna Volgende: Tags.

  7. Selecteer Volgende: Beoordelen en maken.

  8. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het implementeren duurt een paar minuten.

  9. Zodra de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01.

  10. Noteer het privé- en openbare IP-adres van de firewall. U gebruikt deze adressen later.

Een standaardroute maken

Voor het subnet Workload-SN configureert u de standaardroute voor uitgaand verkeer om via de firewall te gaan.

  1. Selecteer in het menu van Azure-portal de optie Alle services of zoek naar en selecteer Alle services vanaf elke willekeurige pagina.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Maken en voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Instantiegegevens
    Naam Voer firewallroute in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.

  4. Selecteer Beoordelen + maken.

  5. Selecteer Maken.

Nadat de implementatie is voltooid, selecteert u Ga naar de resource.

  1. Selecteer subnetten op de pagina Firewallroute onder Instellingen en selecteer vervolgens Koppelen.

  2. Voor virtueel netwerk selecteert u Test-FW-VN.

  3. Bij Subnet selecteert u Workload-SN.

  4. Selecteer OK.

  5. Selecteer Routes en vervolgens Toevoegen.

  6. Voer voor routenaam fw-dg in.

  7. Selecteer IP-adressen voor doeltype.

  8. Voor doel-IP-adressen/CIDR-bereiken voorvoegsel, voer 0.0.0.0/0 in.

  9. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  10. Voer bij Volgend hopadres het privé-IP-adres in voor de firewall die u eerder hebt genoteerd.

  11. Selecteer Toevoegen.

Een toepassingsregel configureren

Dit is de toepassingsregel waarmee uitgaande toegang tot www.google.com wordt toegestaan.

  1. Open de resourcegroep Test-FW-RG en selecteer het Firewallbeleid fw-test-pol.
  2. Selecteertoepassingsregels onder >.
  3. Selecteer Een regelverzameling toevoegen.
  4. Voor Naam, voer App-Coll01 in.
  5. Voer voor Prioriteit200 in.
  6. Selecteer Regelverzameling actie en kies Toestaan.
  7. Onder Regels, voor Naam, voert u Allow-Google in.
  8. Selecteer IP-adres bij Brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Voer http, https in voor Protocol:port.
  11. Selecteer FQDN voor doeltype.
  12. Voer voor Bestemming de tekst in www.google.com
  13. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN’s zijn specifiek voor het platform en kunnen niet voor andere doeleinden worden gebruikt. Zie FQDN's voor infrastructuur voor meer informatie.

Wacht tot de implementatie van de toepassingsregel is voltooid voordat u de netwerkregel maakt in de volgende stappen.

Een netwerkregel configureren

Dit is de netwerkregel waarmee uitgaande toegang tot twee IP-adressen op poort 53 (DNS) wordt toegestaan.

  1. Selecteer Netwerkregels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voor Naam, voer Net-Coll01 in.
  4. Voer voor Prioriteit200 in.
  5. Selecteer Regelverzameling actie en kies Toestaan.
  6. Voor Regelverzamelgroep, selecteer DefaultNetworkRuleCollectionGroup.
  7. Voer onder Regels bij NaamAllow-DNS in.
  8. Selecteer IP-adres voor brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Bij Protocol selecteert u UDP.
  11. Voer voor Doelpoorten53 in.
  12. Bij Doeltype selecteert u IP-adres.
  13. Voer voor Bestemming 209.244.0.3.209.244.0.4 in.
    Dit zijn openbare DNS-servers die worden beheerd door CenturyLink.
  14. Selecteer Toevoegen.

Wacht totdat de implementatie van de netwerkregel is voltooid voordat u de DNAT-regel maakt in de volgende stappen.

Een DNAT-regel configureren

Met deze regel kunt u via de firewall verbinding maken met de webserver op de virtuele Srv-Work-machine .

  1. Selecteer de DNAT-regels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer http in bij Naam.
  4. Voer voor Prioriteit200 in.
  5. Selecteer DefaultDnatRuleCollectionGroup voor regelverzameling.
  6. Voer onder Regels voor naamhttp-nat in.
  7. Selecteer IP-adres bij Brontype.
  8. Voer voor Bron* in.
  9. Bij Protocol selecteert u TCP.
  10. Voer 80 in voor doelpoorten.
  11. Voer voor Bestemming het openbare IP-adres van de firewall in.
  12. Selecteer IP-adres voor vertaald type.
  13. Voer voor vertaald adres het privé-IP-adres van Srv-work in.
  14. Voer voor vertaalde poort80 in.
  15. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de netwerkinterface Srv-Work wijzigen

Voor testdoeleinden in deze zelfstudie configureert u het primaire en secundaire DNS-adres van de server. Dit is geen algemene Azure Firewall-vereiste.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele machine Srv-Work.
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Voer 209.244.0.3 in het tekstvak DNS-server toevoegen en 209.244.0.4 in het volgende tekstvak in.
  6. Selecteer Opslaan.
  7. Start de virtuele machine Srv-Work opnieuw.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

De DNAT-regel testen

  1. Open een webbrowser op uw lokale computer.
  2. Voer http://<firewall-public-ip-address><firewall-public-ip-address> in de adresbalk het openbare IP-adres in van de firewall die u eerder hebt genoteerd.
  3. U ziet nu de aangepaste webpagina: Azure Firewall DNAT Test. Dit bevestigt dat de DNAT-regel werkt en dat verkeer wordt doorgestuurd naar de virtuele Srv-Work-machine .

De toepassing en netwerkregels testen

Gebruik Azure Bastion om veilig verbinding te maken met de virtuele Srv-Work-machine en de firewallregels te testen.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.

  2. Selecteer de virtuele Srv-Work-machine .

  3. Selecteer Verbinding maken>via Bastion.

  4. Voer op de pagina Bastion de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Verificatietype Selecteer de persoonlijke SSH-sleutel in het lokale bestand.
    Username Voer azureuser in.
    Lokaal bestand Selecteer Bladeren en selecteer het Srv-Work_key.pem-bestand dat u hebt gedownload tijdens het maken van de virtuele machine.

  5. Selecteer Maak verbinding met.

    Er wordt een nieuw browsertabblad geopend met een SSH-sessie naar de virtuele Srv-Work-machine .

  6. Voer in de SSH-sessie de volgende opdracht in om de toegang tot Google te testen:

    curl -I https://www.google.com

    U ziet nu een geslaagd HTTP-antwoord (200 OK), waarmee wordt aangegeven dat de toepassingsregel toegang tot Google toestaat.

  7. Test nu de toegang tot Microsoft. Deze moet worden geblokkeerd. Binnenkomen:

    curl -I https://www.microsoft.com

    De opdracht moet na ongeveer 60 seconden een time-out hebben of mislukken, wat aangeeft dat de firewall de toegang blokkeert.

Nu u hebt geverifieerd dat de firewallregels werken:

  • U hebt toegang tot de webserver via de DNAT-regel.
  • Je kunt naar de enige toegestane FQDN bladeren, maar niet naar anderen.
  • Kunt u DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

Hulpbronnen opschonen

U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep Test-FW-RG om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren

  • Last updated on