部署和配置Azure Firewall,azure webapp部署安裝包-ESG跨境

部署和配置Azure Firewall,azure webapp部署安裝包

部署和配置Azure Firewall

Azure 防火墻是托管的基于云的網(wǎng)絡(luò)安全服務(wù)，可保護(hù) Azure 虛擬網(wǎng)絡(luò)資源。 它是一個服務(wù)形式的完全有狀態(tài)防火墻，具有內(nèi)置的高可用性和不受限制的云可伸縮性。

使用Azure Firewall可以跨訂閱和虛擬網(wǎng)絡(luò)集中創(chuàng)建、實(shí)施和記錄應(yīng)用程序與網(wǎng)絡(luò)連接策略。 Azure 防火墻對虛擬網(wǎng)絡(luò)資源使用靜態(tài)公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網(wǎng)絡(luò)的流量。 該服務(wù)與用于日志記錄和分析的 Azure Monitor 完全集成

Azure防火墻提供Microsoft描述的以下功能：

內(nèi)置高可用性：無需額外的負(fù)載平衡器

受限制的云可伸縮性：Azure防火墻可以根據(jù)需要進(jìn)行擴(kuò)展

應(yīng)用程序FQDN過濾規(guī)則：您可以限制出站W(wǎng)eb流量

網(wǎng)絡(luò)流量過濾規(guī)則：您可以按源和目標(biāo)IP地址，端口和協(xié)議允許或拒絕網(wǎng)絡(luò)過濾規(guī)則

FQDN標(biāo)記：您可以輕松使用標(biāo)記來允許或拒絕流量

出站SNAT支持：出站IP地址轉(zhuǎn)換為Azure防火墻公共IP

入站DNAT支持：防火墻公共IP地址的入站流量轉(zhuǎn)換為內(nèi)部IP地址。

Azure Monitor日志記錄：所有事件都與Azure Monitor集成

在本文中，我們將探討以下步驟：

創(chuàng)建資源組

創(chuàng)建一個vNet

創(chuàng)建3個子網(wǎng)

創(chuàng)建2個虛擬機(jī)

部署防火墻

配置默認(rèn)路由

創(chuàng)建應(yīng)用程序規(guī)則

測試防火墻

以下是該架構(gòu)的概述：

創(chuàng)建資源組首先我們需要創(chuàng)建一個資源組，此資源組用來承載本次實(shí)驗(yàn)的所有資源。打開Azure Portal,然后點(diǎn)擊“資源組”—“新建資源組”訂閱：選擇我們使用的Azure訂閱資源組名稱：輸入需要使用的資源組名稱區(qū)域：選擇資源的創(chuàng)建位置然后點(diǎn)擊創(chuàng)建：創(chuàng)建虛擬網(wǎng)絡(luò)我們需要創(chuàng)建一個包含三個子網(wǎng)的虛擬網(wǎng)絡(luò)，具體如下：

名稱：鍵入此虛擬網(wǎng)絡(luò)的友好名稱

地址空間：輸入所需的地址空間

訂閱：選擇您的Azure訂閱

資源組：選擇我們之前創(chuàng)建的RG

位置：選擇資源所在的位置

子網(wǎng)：此步驟非常重要，因?yàn)槟仨毷褂妹麨椤癆zureFirewallSubnet”的固定名稱。創(chuàng)建完虛擬網(wǎng)絡(luò)后我們還需要創(chuàng)建第二個子網(wǎng)（SRVVNet 10.1.2.0/24）和第三個子網(wǎng)（Jump 10.1.3.0/24）,創(chuàng)建完成后如下圖所示：創(chuàng)建虛擬機(jī)在前面的步驟中我們創(chuàng)建了一個包含三個子網(wǎng)的資源組和虛擬網(wǎng)絡(luò)?，F(xiàn)在，我們需要創(chuàng)建兩個虛擬機(jī)。第一個是將用于連接到第二個虛擬機(jī)的Jump服務(wù)器。Jump機(jī)器稱為“JUMP01”使用Azure向?qū)?chuàng)建虛擬機(jī)：在“網(wǎng)絡(luò)”區(qū)域中，選擇“JumpVNet”并創(chuàng)建新的“公共IP地址”，以便從Internet訪問Jump服務(wù)器。另外我們需要允許RDP協(xié)議：使用同上述步驟相同的步驟創(chuàng)建虛擬機(jī)16SRV01:此虛擬機(jī)必須位于“SRVVNet”子網(wǎng)中,我們無需打開任何公共入站端口。部署Azure Firewall下面我們需要開始部署Azure Firewall。在Azure Portal中點(diǎn)擊“所有服務(wù)”，搜索“Firewalls”:點(diǎn)擊“添加“來創(chuàng)建我們所需的Aazure Firewall并輸入如下信息:

選擇您的Azure訂閱

選擇以前創(chuàng)建的資源組

輸入防火墻的友好名稱

選擇以前創(chuàng)建的虛擬網(wǎng)絡(luò)

并且不要忘記創(chuàng)建公共IP地址創(chuàng)建完成后如下圖所示，我們需要記錄下此防火墻的專用IP以便于后續(xù)配置的使用：

創(chuàng)建路由表在Azure Portal中搜索“路由表“：創(chuàng)建一個名為“GoToFirewall”的新路由表。此路由表將包含服務(wù)器將選擇路由流量的默認(rèn)路由創(chuàng)建路由表后，必須將服務(wù)器子網(wǎng)關(guān)聯(lián)到此路由表。轉(zhuǎn)到“ 子網(wǎng) ”部分，然后單擊“ 關(guān)聯(lián) ”選擇“虛擬網(wǎng)絡(luò)“和”子網(wǎng)“：配置完成后如下圖所示：現(xiàn)在，我們必須向虛擬設(shè)備添加默認(rèn)路由。轉(zhuǎn)到“ 路線 ”部分，然后單擊“ 添加 ”:輸入以下信息：

路由名稱：它是默認(rèn)路由的友好名稱

地址前綴：要指示默認(rèn)路由，必須輸入0.0.0.0/0

下一跳類型：選擇“虛擬設(shè)備”

下一跳地址：輸入先前復(fù)制的專用IP地址配置完成后如下圖所示：創(chuàng)建應(yīng)用程序規(guī)則集合防火墻已部署，因此我們可以添加應(yīng)用程序規(guī)則以過濾出站W(wǎng)eb流量。轉(zhuǎn)到“ 規(guī)則 ”部分，然后單擊“ 添加應(yīng)用程序規(guī)則集合 ”：輸入此規(guī)則的友好名稱，然后設(shè)置優(yōu)先級并選擇操作（允許或拒絕）。接下來，您必須指明源地址，協(xié)議和目標(biāo)FQDN。在我的情況下，我想允許從16SRV01虛擬機(jī)到www.mspcloud.club的網(wǎng)絡(luò)流量。要解析FQDN，計(jì)算機(jī)必須能夠聯(lián)系DNS服務(wù)器。在本文中，我創(chuàng)建了一個網(wǎng)絡(luò)規(guī)則，允許從服務(wù)器子網(wǎng)到OpenDNS服務(wù)器的DNS請求。測試防火墻首先，我們需要從公共IP地址連接到Jump服務(wù)器，然后，我可以啟動一個新的MSTSC窗口，使用私有IP地址連接到SRV01機(jī)器。最后一步是檢查先前在Azure防火墻中創(chuàng)建的應(yīng)用程序規(guī)則。我只需要打開一個Web瀏覽器并輸入網(wǎng)站URL。在我的情況下，我可以確認(rèn)我的博客正在回復(fù)，但如果嘗試瀏覽Google，則會顯示錯誤消息。我應(yīng)該創(chuàng)建一個允許www.google.com的應(yīng)用程序規(guī)則。借助Azure防火墻，您可以非常輕松快速地保護(hù)Azure資源。您還可以使用Azure PowerShell自動執(zhí)行任務(wù)。Azure防火墻允許您創(chuàng)建應(yīng)用程序規(guī)則和網(wǎng)絡(luò)規(guī)則來控制入站和出站網(wǎng)絡(luò)流量。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。