共用方式為

使用 Azure 入口網站部署和設定 Azure 防火牆基本版和原則

Azure 防火牆基本版以實惠的價格提供 SMB 客戶所需的基本保護。 建議將此解決方案用於輸送量需求低於 250 Mbps 的 SMB 客戶環境。 建議針對輸送量需求超過 250 Mbps 的環境部署 標準 SKU ,並針對進階威脅防護部署進 階 SKU

過濾網路和應用程式流量是整體網路安全計劃的重要組成部分。 例如,您可以限制對網站的存取。 或者,限制可存取的輸出 IP 位址和連接埠。

您可以從 Azure 子網控制輸入和輸出網路存取的其中一種方式,就是使用 Azure 防火牆和防火牆原則。 使用 Azure 防火牆和防火牆原則,您可以設定:

  • 應用程式規則,用以定義可從子網路存取的完整網域名稱 (FQDN)。
  • 網路規則,用以定義來源位址、通訊協定、目的地連接埠和目的地位址。
  • DNAT 規則,用於將傳入網際網路流量轉譯及篩選至您的子網路。

當您將網路流量路由傳送到防火牆作為子網路預設閘道時,網路流量必須遵守設定的防火牆規則。

在此教程中,您會建立具有三個子網路的簡化單一 VNet,以簡化部署流程。 防火牆基本版有設定管理 NIC 的強制性需求。

  • AzureFirewallSubnet - 防火牆位於此子網路。
  • AzureFirewallManagementSubnet - 適用於服務管理流量。
  • Workload-SN - 工作負載伺服器位於此子網路。 此子網路的網路流量會通過防火牆。

備註

由於 Azure 防火牆基本版的流量相較於 Azure 防火牆標準版或進階版 SKU 有限,因此需要 AzureFirewallManagementSubnet 將客戶流量與 Microsoft 管理流量分開,以確保不會中斷。 只有自動發生往返 Microsoft 的更新和健康情況計量通訊才需要此管理流量。 此 IP 上不允許其他連線。

針對生產部署,建議使用 中樞和輪輻模型 ,其中防火牆位於自己的 VNet 中。 工作負載伺服器位於相同區域中的對等互連 VNet,其中包含一個或多個子網路。

在本操作說明中,您將瞭解如何:

  • 設定測試網路環境
  • 部署基本防火牆和基本防火牆原則
  • 建立預設路由
  • 設定應用程式規則以允許存取 www.google.com
  • 設定允許存取外部 DNS 伺服器的網路規則
  • 設定 NAT 規則以允許遠端桌面平台連線至測試伺服器
  • 測試防火牆

如果您想要的話,可以使用 Azure PowerShell 完成本程序。

先決條件

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

建立資源群組

資源群組包含操作說明的所有資源。

  1. 登入 Azure 入口網站
  2. 在 Azure 入口網站功能表上,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。 然後選擇 [建立]
  3. 在 [訂用帳戶] 中,選取您的訂用帳戶。
  4. 針對 [資源群組名稱],輸入 Test-FW-RG
  5. 針對 [區域],選取區域。 您建立的所有其他資源都必須位於相同的區域中。
  6. 選擇 檢閱 + 創建
  7. 選取 ,創建

部署防火牆和原則

部署防火牆並建立關聯的網路基礎結構。

  1. 在 Azure 入口網站選單上,或從 [首頁 ] 頁面上,選取 [建立資源]。

  2. 在搜尋方塊中輸入 firewall,然後按 Enter

  3. 選取 [防火牆],然後選取 [建立]

  4. [建立防火牆 ] 頁面上,使用下表來設定防火牆:

    Setting 價值觀
    Subscription <您的訂閱>
    資源群組 測試-FW-RG
    名稱 Test-FW01
    區域 選取您先前使用的相同位置
    防火牆層 基本
    防火牆管理 使用防火牆原則來管理此防火牆
    防火牆原則 新增:
    fw-test-pol
    您選擇的地區
    原則層應預設為 基本
    選擇虛擬網路 新建
    名稱: Test-FW-VN
    位址空間: 10.0.0.0/16
    子網路位址空間: 10.0.0.0/26
    公用 IP 位址 新增:
    名稱fw-pip
    管理 - 子網路位址空間 10.0.1.0/26
    管理公用 IP 位址 新增
    fw-mgmt-pip

  5. 接受其他預設值,然後選取 [ 檢閱 + 建立]。

  6. 檢閱摘要,然後選取 [ 建立 ] 以建立防火牆。

    這需要幾分鐘才能部署。

  7. 部署完成後,請移至 Test-FW-RG 資源群組,然後選取 Test-FW01 防火牆。

  8. 請注意防火牆專用和公用 IP (fw-pip) 位址。 您稍後會使用這些位址。

建立工作量伺服器的子網路

接下來,建立工作負載伺服器的子網路。

  1. 移至 [測試-FW-RG 資源群組],然後選取 [測試-FW-VN ] 虛擬網路。
  2. 選取 [子網路]
  3. 選取 子網路
  4. 針對子網路名稱,輸入 Workload-SN。
  5. 針對 子網路位址範圍,輸入 10.0.2.0/24
  6. 選取 [儲存]。

建立虛擬機

現在建立工作負載虛擬機器,並將其放置在 Workload-SN 子網路中。

  1. 在 Azure 入口網站選單上,或從 [首頁 ] 頁面上,選取 [建立資源]。

  2. 選取 [Windows Server 2019 資料中心]。

  3. 依虛擬機器輸入這些值:

    Setting 價值觀
    資源群組 測試-FW-RG
    虛擬機器名稱 Srv-Work
    區域 和之前一樣
    影像 Windows Server 2019 資料中心
    管理員使用者名稱 輸入使用者名稱
    密碼 輸入密碼

  4. [輸入連接埠規則] 、[ 公用輸入連接埠] 底下,選取 [ ]。

  5. 接受其他預設值,然後選取 [下一步:磁碟]。

  6. 接受磁碟預設值,然後選取 [下一步:網路]。

  7. 請確定已針對虛擬網路選取 Test-FW-VN,且子網路是 Workload-SN。

  8. 針對 公用 IP,選取 [無]。

  9. 接受其他預設值,然後選取 [下一步:管理]。

  10. 選取 [下一步:監視]

  11. 選取 [停用],停用開機診斷。 接受其他預設值,然後選取 [ 檢閱 + 建立]。

  12. 檢閱摘要頁面上的設定,然後選取建立。

  13. 部署完成後,請選取 Srv-Work 資源,並記下私人 IP 位址以供稍後使用。

建立預設路由

對於 Workload-SN 子網路,請設定輸出預設路由以通過防火牆。

  1. 在 Azure 入口網站 功能表上,選取 [ 所有服務 ] 或從任何頁面搜尋並選取 [ 所有服務 ]。
  2. 在 [網路] 底下,選取 [路由表]
  3. 選取 ,創建
  4. 在 [訂用帳戶] 中,選取您的訂用帳戶。
  5. 針對 [資源群組],選取 [Test-FW-RG]
  6. 針對 Region(區域),選取您先前使用的相同地點。
  7. 針對 Name,輸入 Firewall-route
  8. 選擇 檢閱 + 創建
  9. 選取 ,創建

完成部署後,選取 [移至資源]

  1. 在 [防火牆路由] 頁面上,選取 [子網路],然後選取 [關聯]

  2. 選取 [ 虛擬網路>測試-FW-VN]。

  3. 針對子網路、選取 [工作負載-SN]。 請確定您只選取此路由的 Workload-SN 子網路,否則防火牆將無法正常運作。

  4. 請選擇 [確定]

  5. 選取路由,然後選取新增。

  6. 針對 Route name (路由名稱),輸入 fw-dg

  7. 針對 [位址前置詞目的地],選取 [IP 位址]。

  8. 針對 目的地 IP 位址/CIDR 範圍,輸入 0.0.0.0/0

  9. 在 [下一個躍點類型] 中,選取 [虛擬設備]

    Azure 防火牆實際上是受控服務,但虛擬設備在這種情況下可以運作。

  10. 針對 [下一個躍點位址],輸入您先前記下的防火牆的私有 IP 位址。

  11. 選取 ,然後新增

設定應用程式規則

這是允許出埠存取 www.google.com的應用程式規則。

  1. 開啟 Test-FW-RG,然後選取 fw-test-pol 防火牆原則。
  2. 選取 [ 應用程式規則]。
  3. 選取 [新增規則集合]。
  4. 針對 [名稱],輸入 App-Coll01
  5. 針對 [優先順序],輸入 200
  6. 針對 [規則收集動作],選取 [允許]。
  7. [規則] 底下,針對 [名稱],輸入 Allow-Google
  8. 針對 [來源類型],選取 [IP 位址]。
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 針對 Protocol:port,輸入 http, https
  11. 針對 [目的地類型],選取 [FQDN]。
  12. 針對 [目的地],輸入 www.google.com
  13. 選取 ,然後新增

Azure 防火牆包含內建的規則集合,適用於依預設允許的基礎結構 FQDN。 這些 FQDN 是平台特定的,且無法用於其他用途。 如需詳細資訊,請參閱基礎結構 FQDN

設定網路規則

這是允許對埠 53 (DNS) 的兩個 IP 位址進行出站存取的網路規則。

  1. 選取 [ 網路規則]。
  2. 選取 [新增規則集合]。
  3. 針對 Name,輸入 Net-Coll01
  4. 針對 [優先順序],輸入 200
  5. 針對 [規則收集動作],選取 [允許]。
  6. 針對 [規則集合群組],選取 [DefaultNetworkRuleCollectionGroup]。
  7. [規則] 底下,針對 [名稱],輸入 Allow-DNS
  8. 針對 [來源類型],選取 [IP 位址]。
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 針對 通訊協定,選取 UDP
  11. 針對 目的地連接埠,輸入 53
  12. 針對 [目的地類型] ,選取 [IP 位址]。
  13. 針對 Destination,輸入 209.244.0.3,209.244.0.4
    這些是由 Level3 運營的公共 DNS 服務器。
  14. 選取 ,然後新增

設定 DNAT 規則

此規則可讓您透過防火牆將遠端桌面平台連線至 Srv-Work 虛擬機器。

  1. 選取 DNAT 規則
  2. 選取 [新增規則集合]。
  3. 針對 [名稱],輸入 rdp
  4. 針對 [優先順序],輸入 200
  5. 針對 [規則集合群組],選取 [DefaultDnatRuleCollectionGroup]。
  6. [規則] 底下,針對 [名稱],輸入 rdp-nat
  7. 針對 [來源類型],選取 [IP 位址]。
  8. 針對 [來源],輸入 *
  9. 在 [通訊協定] 中,選取 [TCP]
  10. 針對 目的地連接埠,輸入 3389
  11. 針對 [目的地類型],選取 [IP 位址]。
  12. 針對 [目的地],輸入防火牆公用 IP 位址 (fw-pip)。
  13. 針對 [已轉換的位址],輸入 Srv-work 私有 IP 位址。
  14. 針對 Translated port,輸入 3389
  15. 選取 ,然後新增

變更 Srv-Work 網路介面的主要和次要 DNS 位址

為了在本操作說明中的測試目的,請設定伺服器的主要和次要 DNS 位址。 這不是一般的 Azure 防火牆需求。

  1. 在 Azure 入口網站功能表上,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。 選取 Test-FW-RG 資源群組。
  2. 選取 Srv-Work 虛擬機器的網路介面。
  3. 選取 [設定] 底下的 [DNS 伺服器]
  4. 選取 [DNS 伺服器] 底下的 [自訂]
  5. 新增 DNS 伺服器文字方塊中輸入 209.244.0.3,然後在下一個文字方塊中輸入 209.244.0.4
  6. 選取 [儲存]。
  7. 重新啟動 Srv-Work 虛擬機器。

測試防火牆

現在請測試防火牆,以確認其運作符合預期。

  1. 將遠端桌面連線到防火牆公用 IP 位址 (fw-pip),然後登入 Srv-Work 虛擬機器。

  2. 開啟 Internet Explorer 並瀏覽至 https://www.google.com

  3. 在 Internet Explorer 安全性警示上選取 [確定>關閉 ]。

    您應該會看到 Google 主頁。

  4. 瀏覽至 http://www.microsoft.com

    您應該被防火牆阻止。

因此,現在您已確認防火牆規則正在運作:

  • 您可以將遠端桌面平台連線至 Srv-Work 虛擬機器。
  • 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。
  • 您可以使用設定的外部 DNS 伺服器來解析 DNS 名稱。

清理資源

您可以保留防火牆資源以供進一步測試,或者如果不再需要,請刪除 Test-FW-RG 資源群組以刪除所有防火牆相關資源。

後續步驟

部署及設定 Azure 防火牆進階版

  • Last updated on