部署和配置Azure Firewall,azure webapp部署安裝包

部署和配置Azure Firewall

Azure 防火墻是托管的基于云的網(wǎng)絡安全服務，可保護 Azure 虛擬網(wǎng)絡資源。 它是一個服務形式的完全有狀態(tài)防火墻，具有內(nèi)置的高可用性和不受限制的云可伸縮性。

使用Azure Firewall可以跨訂閱和虛擬網(wǎng)絡集中創(chuàng)建、實施和記錄應用程序與網(wǎng)絡連接策略。 Azure 防火墻對虛擬網(wǎng)絡資源使用靜態(tài)公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網(wǎng)絡的流量。 該服務與用于日志記錄和分析的 Azure Monitor 完全集成

Azure防火墻提供Microsoft描述的以下功能：

內(nèi)置高可用性：無需額外的負載平衡器

受限制的云可伸縮性：Azure防火墻可以根據(jù)需要進行擴展

應用程序FQDN過濾規(guī)則：您可以限制出站W(wǎng)eb流量

網(wǎng)絡流量過濾規(guī)則：您可以按源和目標IP地址，端口和協(xié)議允許或拒絕網(wǎng)絡過濾規(guī)則

FQDN標記：您可以輕松使用標記來允許或拒絕流量

出站SNAT支持：出站IP地址轉(zhuǎn)換為Azure防火墻公共IP

入站DNAT支持：防火墻公共IP地址的入站流量轉(zhuǎn)換為內(nèi)部IP地址。

Azure Monitor日志記錄：所有事件都與Azure Monitor集成

在本文中，我們將探討以下步驟：

創(chuàng)建資源組

創(chuàng)建一個vNet

創(chuàng)建3個子網(wǎng)

創(chuàng)建2個虛擬機

部署防火墻

配置默認路由

創(chuàng)建應用程序規(guī)則

測試防火墻

以下是該架構(gòu)的概述：

創(chuàng)建資源組首先我們需要創(chuàng)建一個資源組，此資源組用來承載本次實驗的所有資源。打開Azure Portal,然后點擊“資源組”—“新建資源組”訂閱：選擇我們使用的Azure訂閱資源組名稱：輸入需要使用的資源組名稱區(qū)域：選擇資源的創(chuàng)建位置然后點擊創(chuàng)建：創(chuàng)建虛擬網(wǎng)絡我們需要創(chuàng)建一個包含三個子網(wǎng)的虛擬網(wǎng)絡，具體如下：

名稱：鍵入此虛擬網(wǎng)絡的友好名稱

地址空間：輸入所需的地址空間

訂閱：選擇您的Azure訂閱

資源組：選擇我們之前創(chuàng)建的RG

位置：選擇資源所在的位置

子網(wǎng)：此步驟非常重要，因為您必須使用名為“AzureFirewallSubnet”的固定名稱。創(chuàng)建完虛擬網(wǎng)絡后我們還需要創(chuàng)建第二個子網(wǎng)（SRVVNet 10.1.2.0/24）和第三個子網(wǎng)（Jump 10.1.3.0/24）,創(chuàng)建完成后如下圖所示：創(chuàng)建虛擬機在前面的步驟中我們創(chuàng)建了一個包含三個子網(wǎng)的資源組和虛擬網(wǎng)絡。現(xiàn)在，我們需要創(chuàng)建兩個虛擬機。第一個是將用于連接到第二個虛擬機的Jump服務器。Jump機器稱為“JUMP01”使用Azure向?qū)?chuàng)建虛擬機：在“網(wǎng)絡”區(qū)域中，選擇“JumpVNet”并創(chuàng)建新的“公共IP地址”，以便從Internet訪問Jump服務器。另外我們需要允許RDP協(xié)議：使用同上述步驟相同的步驟創(chuàng)建虛擬機16SRV01:此虛擬機必須位于“SRVVNet”子網(wǎng)中,我們無需打開任何公共入站端口。部署Azure Firewall下面我們需要開始部署Azure Firewall。在Azure Portal中點擊“所有服務”，搜索“Firewalls”:點擊“添加“來創(chuàng)建我們所需的Aazure Firewall并輸入如下信息:

選擇您的Azure訂閱

選擇以前創(chuàng)建的資源組

輸入防火墻的友好名稱

選擇以前創(chuàng)建的虛擬網(wǎng)絡

并且不要忘記創(chuàng)建公共IP地址創(chuàng)建完成后如下圖所示，我們需要記錄下此防火墻的專用IP以便于后續(xù)配置的使用：

創(chuàng)建路由表在Azure Portal中搜索“路由表“：創(chuàng)建一個名為“GoToFirewall”的新路由表。此路由表將包含服務器將選擇路由流量的默認路由創(chuàng)建路由表后，必須將服務器子網(wǎng)關(guān)聯(lián)到此路由表。轉(zhuǎn)到“ 子網(wǎng) ”部分，然后單擊“ 關(guān)聯(lián) ”選擇“虛擬網(wǎng)絡“和”子網(wǎng)“：配置完成后如下圖所示：現(xiàn)在，我們必須向虛擬設(shè)備添加默認路由。轉(zhuǎn)到“ 路線 ”部分，然后單擊“ 添加 ”:輸入以下信息：

路由名稱：它是默認路由的友好名稱

地址前綴：要指示默認路由，必須輸入0.0.0.0/0

下一跳類型：選擇“虛擬設(shè)備”

下一跳地址：輸入先前復制的專用IP地址配置完成后如下圖所示：創(chuàng)建應用程序規(guī)則集合防火墻已部署，因此我們可以添加應用程序規(guī)則以過濾出站W(wǎng)eb流量。轉(zhuǎn)到“ 規(guī)則 ”部分，然后單擊“ 添加應用程序規(guī)則集合 ”：輸入此規(guī)則的友好名稱，然后設(shè)置優(yōu)先級并選擇操作（允許或拒絕）。接下來，您必須指明源地址，協(xié)議和目標FQDN。在我的情況下，我想允許從16SRV01虛擬機到www.mspcloud.club的網(wǎng)絡流量。要解析FQDN，計算機必須能夠聯(lián)系DNS服務器。在本文中，我創(chuàng)建了一個網(wǎng)絡規(guī)則，允許從服務器子網(wǎng)到OpenDNS服務器的DNS請求。測試防火墻首先，我們需要從公共IP地址連接到Jump服務器，然后，我可以啟動一個新的MSTSC窗口，使用私有IP地址連接到SRV01機器。最后一步是檢查先前在Azure防火墻中創(chuàng)建的應用程序規(guī)則。我只需要打開一個Web瀏覽器并輸入網(wǎng)站URL。在我的情況下，我可以確認我的博客正在回復，但如果嘗試瀏覽Google，則會顯示錯誤消息。我應該創(chuàng)建一個允許www.google.com的應用程序規(guī)則。借助Azure防火墻，您可以非常輕松快速地保護Azure資源。您還可以使用Azure PowerShell自動執(zhí)行任務。Azure防火墻允許您創(chuàng)建應用程序規(guī)則和網(wǎng)絡規(guī)則來控制入站和出站網(wǎng)絡流量。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。