Freigeben über

Bereitstellen und Konfigurieren von Azure Firewall Basic und Richtlinie mithilfe des Azure-Portals

Azure Firewall Basic bietet den wesentlichen Schutz, den SMB-Kunden zu einem erschwinglichen Preis benötigen. Diese Lösung wird für SMB-Kundenumgebungen mit weniger als 250 MBit/s-Durchsatzanforderungen empfohlen. Es wird empfohlen, die Standard-SKU für Umgebungen mit mehr als 250 MBit/s-Durchsatzanforderungen und der Premium-SKU für den erweiterten Bedrohungsschutz bereitzustellen.

Das Filtern von Netzwerk- und Anwendungsdatenverkehr ist ein wichtiger Bestandteil eines allgemeinen Netzwerksicherheitsplans. Vielleicht möchten Sie beispielsweise den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Eine Möglichkeit zum Steuern des eingehenden und ausgehenden Netzwerkzugriffs über ein Azure-Subnetz besteht in der Azure-Firewall- und Firewallrichtlinie. Mit der Azure-Firewall- und Firewallrichtlinie können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.
  • DNAT-Regeln übersetzen und filtern den vom Internet in Ihre Subnetze eingehenden Datenverkehr.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

Für diese Vorgehensweise erstellen Sie ein vereinfachtes einzelnes VNet mit drei Subnetzen für die einfache Bereitstellung. Firewall Basic muss mit einer Verwaltungs-NIC konfiguriert werden.

  • AzureFirewallSubnet: Das Subnetz mit der Firewall.
  • AzureFirewallManagementSubnet – für Dienstverwaltungsdatenverkehr.
  • Workload-SN: Das Subnetz mit dem Workloadserver. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Hinweis

Da die Azure Firewall Basic im Vergleich zur Azure Firewall Standard- oder Premium-SKU eingeschränkten Datenverkehr aufweist, muss azureFirewallManagementSubnet den Kundendatenverkehr vom Microsoft-Verwaltungsdatenverkehr trennen, um keine Unterbrechungen dafür zu gewährleisten. Dieser Verwaltungsdatenverkehr wird nur für die Kommunikation von Updates und Integritätsmetriken benötigt, die automatisch zu und von Microsoft erfolgt. Für diese IP sind keine anderen Verbindungen zulässig.

Für Produktionsbereitstellungen wird ein Hub- und Speichenmodell empfohlen, bei dem sich die Firewall in einem eigenen VNet befindet. Die Workloadserver befinden sich in per Peering verknüpften VNETs in derselben Region mit einem oder mehreren Subnetzen.

In dieser Vorgehensweise erfahren Sie, wie Sie:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer grundlegenden Firewall und einer grundlegenden Firewallrichtlinie
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel zum Zulassen des Zugriffs auf www.google.com
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel zum Zulassen eines Remotedesktops auf dem Testserver
  • Testen der Firewall

Sie können für dieses Verfahren auch Azure PowerShell verwenden.

Voraussetzungen

Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen für die Vorgehensweise.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im Azure-Portalmenü "Ressourcengruppen " aus, oder suchen Sie nach Ressourcengruppen, und wählen Sie " Ressourcengruppen " auf einer beliebigen Seite aus. Wählen Sie dann Erstellen aus.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie für den Ressourcengruppennamen"Test-FW-RG" ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Wählen Sie "Erstellen" aus.

Bereitstellung von Firewall und Richtlinien

Stellen Sie die Firewall bereit, und erstellen Sie die zugehörige Netzwerkinfrastruktur.

  1. Wählen Sie im Menü des Azure-Portals oder über die Startseite die Option Ressource erstellen aus.

  2. Geben Sie Firewall in das Suchfeld ein, und drücken Sie die EINGABETASTE.

  3. Wählen Sie Firewall aus, und klicken Sie anschließend auf Erstellen.

  4. Verwenden Sie auf der Seite " Firewall erstellen " die folgende Tabelle, um die Firewall zu konfigurieren:

    Setting Wert
    Subscription <Ihr Abonnement>
    Ressourcengruppe Test-FW-RG
    Name Test-FW01
    Region Wählen Sie denselben Speicherort aus, den Sie zuvor verwendet haben.
    Firewallebene Grundlegend
    Firewallverwaltung Verwenden einer Firewallrichtlinie zum Verwalten dieser Firewall
    Firewallrichtlinie Neues hinzufügen:
    fw-test-pol
    Ihre ausgewählte Region
    Richtlinienebene sollte standardmäßig auf Basis festgelegt werden.
    Virtuelles Netzwerk auswählen Neu erstellen
    Name: Test-FW-VN
    Adressraum: 10.0.0.0/16
    Subnetzadressraum: 10.0.0.0/26
    Öffentliche IP-Adresse Neues hinzufügen:
    Name: fw-pip
    Verwaltung – Subnetzadressraum 10.0.1.0/26
    Öffentliche IP-Adresse für die Verwaltung Neues hinzufügen
    fw-mgmt-pip

  5. Übernehmen Sie die anderen Standardwerte, und wählen Sie dann "Überprüfen+ erstellen" aus.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann "Erstellen" aus, um die Firewall zu erstellen.

    Die Bereitstellung dauert einige Minuten.

  7. Wechseln Sie nach Abschluss der Bereitstellung zur Ressourcengruppe "Test-FW-RG ", und wählen Sie die Firewall "Test-FW01 " aus.

  8. Beachten Sie die Privaten und öffentlichen IP-Adressen der Firewall (fw-pip). Sie werden diese Adressen später verwenden.

Erstellen eines Subnetzes für den Workloadserver

Erstellen Sie als Nächstes ein Subnetz für den Workloadserver.

  1. Wechseln Sie zur Ressourcengruppe "Test-FW-RG", und wählen Sie das virtuelle Netzwerk "Test-FW-VN " aus.
  2. Wählen Sie Subnetze aus.
  3. Wählen Sie "Subnetz" aus.
  4. Geben Sie im Feld Subnet nameWorkload-SN ein.
  5. Geben Sie für subnetzadressbereichden Typ 10.0.2.0/24 ein.
  6. Wählen Sie Speichern aus.

Erstellen eines virtuellen Computers

Erstellen Sie nun den virtuellen Workloadcomputer, und platzieren Sie ihn im Workload-SN-Subnetz .

  1. Wählen Sie im Menü des Azure-Portals oder über die Startseite die Option Ressource erstellen aus.

  2. Wählen Sie "Windows Server 2019 Datacenter" aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:

    Setting Wert
    Ressourcengruppe Test-FW-RG
    Name des virtuellen Computers Srv-Work
    Region Identisch mit vorheriger
    Bild Windows Server 2019 Datacenter
    Administratorbenutzername Geben Sie einen Benutzernamen ein.
    Kennwort Eingeben eines Kennworts

  4. Wählen Sie unter Eingehende Portregeln, bei Öffentliche eingehende Ports, die Option Keine aus.

  5. Übernehmen Sie die anderen Standardwerte, und wählen Sie "Weiter: Datenträger" aus.

  6. Übernehmen Sie die Standardeinstellungen des Datenträgers, und wählen Sie "Weiter: Netzwerk" aus.

  7. Stellen Sie sicher, dass Test-FW-VN für das virtuelle Netzwerk ausgewählt ist und das Subnetz Workload-SN ist.

  8. Wählen Sie für öffentliche IPdie Option "Keine" aus.

  9. Übernehmen Sie die anderen Standardwerte, und wählen Sie "Weiter: Verwaltung" aus.

  10. Wählen Sie Weiter: Überwachung aus.

  11. Wählen Sie Deaktivieren aus, um die Startdiagnose zu deaktivieren. Übernehmen Sie die anderen Standardwerte, und wählen Sie "Überprüfen+ erstellen" aus.

  12. Überprüfen Sie die Einstellungen auf der Zusammenfassungsseite, und wählen Sie dann "Erstellen" aus.

  13. Wählen Sie nach Abschluss der Bereitstellung die Srv-Work-Ressource aus, und notieren Sie sich die private IP-Adresse für die spätere Verwendung.

Erstellen einer Standardroute

Konfigurieren Sie für das Workload-SN-Subnetz die ausgehende Standardroute, um die Firewall zu durchlaufen.

  1. Wählen Sie im Azure-Portalmenü "Alle Dienste " aus, oder suchen Sie nach allen Diensten auf einer beliebigen Seite.
  2. Wählen Sie unter Netzwerk die Option Routingtabellen aus.
  3. Wählen Sie "Erstellen" aus.
  4. Wählen Sie unter Abonnement Ihr Abonnement aus.
  5. Wählen Sie für die Ressourcengruppe"Test-FW-RG" aus.
  6. Wählen Sie für "Region" denselben Speicherort aus, den Sie zuvor verwendet haben.
  7. Geben Sie für "Name" die Firewallroute ein.
  8. Klicken Sie auf Überprüfen + erstellen.
  9. Wählen Sie "Erstellen" aus.

Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

  1. Wählen Sie auf der Seite Firewall-Route die Option Subnetze aus und klicken Sie dann auf Zuordnen.

  2. Wählen Sie Virtuelles Netzwerk>Test-FW-VN aus.

  3. Wählen Sie für Subnetzdie Option Workload-SN aus. Stellen Sie sicher, dass Sie nur das Workload-SN-Subnetz für diese Route auswählen, andernfalls funktioniert Ihre Firewall nicht ordnungsgemäß.

  4. Wählen Sie OK aus.

  5. Wählen Sie "Routen" und dann "Hinzufügen" aus.

  6. Geben Sie für den Namen der Routefw-dgein.

  7. Wählen Sie für das Adresspräfixziel die IP-Adressen aus.

  8. Geben Sie für Ziel-IP-Adressen/CIDR-Bereiche0.0.0.0/0 ein.

  9. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist tatsächlich ein verwalteter Dienst, aber die virtuelle Appliance funktioniert in dieser Situation.

  10. Geben Sie für "Nächster Hop"-Adresse die private IP-Adresse für die Zuvor erwähnte Firewall ein.

  11. Wählen Sie Hinzufügen aus.

Konfigurieren einer Anwendungsregel

Dies ist die Anwendungsregel, die den ausgehenden Zugriff auf www.google.com ermöglicht.

  1. Öffnen Sie " Test-FW-RG", und wählen Sie die Firewallrichtlinie "fw-test-pol " aus.
  2. Wählen Sie "Anwendungsregeln" aus.
  3. Wählen Sie " Regelsammlung hinzufügen" aus.
  4. Geben Sie unter "Name" den Namen "App-Coll01" ein.
  5. Geben Sie für Priorität200 ein.
  6. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  7. Geben Sie unter "Regeln" für "Name" "Allow-Google" ein.
  8. Wählen Sie für den Quelltypdie IP-Adresse aus.
  9. Geben Sie für Quelle10.0.2.0/24 ein.
  10. Geben Sie "http", "https" für "Protocol:port" ein.
  11. Wählen Sie für den Zieltypden FQDN aus.
  12. Geben Sie für Ziel etwas ein www.google.com
  13. Wählen Sie Hinzufügen aus.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Konfigurieren einer Netzwerkregel

Dies ist die Netzwerkregel, die ausgehenden Zugriff auf zwei IP-Adressen an Port 53 (DNS) zulässt.

  1. Wählen Sie "Netzwerkregeln" aus.
  2. Wählen Sie " Regelsammlung hinzufügen" aus.
  3. Geben Sie "Net-Coll01" für "Name" ein.
  4. Geben Sie für Priorität200 ein.
  5. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  6. Wählen Sie für die Regelsammlungsgruppe"DefaultNetworkRuleCollectionGroup" aus.
  7. Geben Sie unter "Regeln" für "Name" den Namen "Allow-DNS" ein.
  8. Wählen Sie für den QuelltypDIE IP-Adresse aus.
  9. Geben Sie für Quelle10.0.2.0/24 ein.
  10. Wählen Sie für ProtokollUDP aus.
  11. Geben Sie für Zielports53 ein.
  12. Wählen Sie für den Zieltypdie IP-Adresse aus.
  13. Geben Sie für Ziel209.244.0.3,209.244.0.4 ein.
    Hierbei handelt es sich um öffentliche DNS-Server, die von Level3 betrieben werden.
  14. Wählen Sie Hinzufügen aus.

Konfigurieren einer DNAT-Regel

Mit dieser Regel können Sie einen Remotedesktop über die Firewall mit dem Srv-Work virtuellen Computer verbinden.

  1. Wählen Sie die DNAT-Regeln aus.
  2. Wählen Sie " Regelsammlung hinzufügen" aus.
  3. Geben Sie "rdp" für "Name" ein.
  4. Geben Sie für Priorität200 ein.
  5. Wählen Sie für die Regelsammlungsgruppe"DefaultDnatRuleCollectionGroup" aus.
  6. Geben Sie unter "Regeln" für "Name" "rdp-nat" ein.
  7. Wählen Sie für den Quelltypdie IP-Adresse aus.
  8. Geben Sie für * ein.
  9. Für das -Protokollwählen Sie TCPaus.
  10. Geben Sie für Zielports3389 ein.
  11. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  12. Geben Sie für "Ziel" die öffentliche IP-Adresse der Firewall (fw-pip) ein.
  13. Geben Sie für übersetzte Adresse die private IP-Adresse "Srv-work " ein.
  14. Geben Sie für übersetzten Port3389 ein.
  15. Wählen Sie Hinzufügen aus.

Ändern der primären und sekundären DNS-Adresse für die Srv-Work-Netzwerkschnittstelle

Konfigurieren Sie zu Testzwecken in dieser Vorgehensweise die primären und sekundären DNS-Adressen des Servers. Dies ist keine allgemeine Azure Firewall-Anforderung.

  1. Wählen Sie im Azure-Portalmenü "Ressourcengruppen " aus, oder suchen Sie nach Ressourcengruppen, und wählen Sie " Ressourcengruppen " auf einer beliebigen Seite aus. Wählen Sie die Ressourcengruppe "Test-FW-RG " aus.
  2. Wählen Sie die Netzwerkschnittstelle für den virtuellen Srv-Work-Computer aus.
  3. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  4. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  5. Geben Sie 209.244.0.3 im Textfeld "DNS-Server hinzufügen " und im nächsten Textfeld 209.244.0.4 ein.
  6. Wählen Sie Speichern aus.
  7. Starten Sie den virtuellen Computer "Srv-Work " neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

  1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall (fw-pip), und melden Sie sich beim virtuellen Computer Srv-Work an.

  2. Öffnen Sie Internet Explorer, und navigieren Sie zu https://www.google.com.

  3. Wählen Sie "OK>Schließen " in den Sicherheitswarnungen von Internet Explorer aus.

    Sie sollten die Google-Startseite sehen.

  4. Navigieren Sie zu http://www.microsoft.com.

    Sie sollten durch die Firewall blockiert werden.

Damit haben Sie sich vergewissert, dass die Firewallregeln funktionieren:

  • Sie können einen Remotedesktop mit dem virtuellen computer Srv-Work verbinden.
  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können Ihre Firewallressourcen für weitere Tests aufbewahren oder wenn sie nicht mehr benötigt werden, die Ressourcengruppe "Test-FW-RG " löschen, um alle firewallbezogenen Ressourcen zu löschen.

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium

  • Last updated on