Konfigureer Azure Firewall vir gevorderde netwerkbeskerming

Konfigureer Azure Firewall vir gevorderde netwerkbeskerming

08/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en gebruik van Azure Firewall vir gevorderde netwerkbeskerming. Azure Firewall is 'n bestuurde, wolkgebaseerde netwerksekuriteitsdiens wat Laag 4- en Laag 7-bedreigingsbeskerming bied vir Azure-netwerkhulpbronne, wat sentralisering van netwerkbeheer en implementering van konsekwente sekuriteitsbeleide oor wolkomgewings moontlik maak [1].

Inleiding

In 'n steeds groeiende wolklandskap is netwerksekuriteit 'n fundamentele pilaar vir die beskerming van toepassings en data. Azure Firewall bied 'n robuuste oplossing vir die inspeksie en beheer van netwerkverkeer, wat dien as 'n sentrale punt van afdwinging vir sekuriteitsbeleide. Dit gaan verder as basiese netwerksekuriteitsgroepe (NSG's) deur gevorderde kenmerke te verskaf soos volledig gekwalifiseerde domeinnaam (FQDN)-gebaseerde verkeersfiltrering, bedreigingsintelligensie, intrusieopsporing en -voorkomingstelsel (IDPS), en TLS-inspeksie, wat dit noodsaaklik maak vir veilige netwerkargitekture in Azure, veral in Hub-en-Spok-modelle [2].

Hierdie praktiese gids dek die ontplooiing van Azure Firewall, die opstel van netwerk- en toepassingreëls, die aktivering van bedreigingsintelligensie en IDPS, integrasie met ander Azure-dienste, en beste praktyke vir netwerkbestuur. Stap-vir-stap instruksies, voorbeelde van Azure CLI-opdragte en voorbeelde sal verskaf word sodat die leser 'n effektiewe netwerkbeskermingstrategie kan implementeer en valideer, wat die aanvaloppervlak verminder en die kuberveerkragtigheid van hul Azure-infrastruktuur versterk.

Waarom is Azure Firewall noodsaaklik vir gevorderde netwerkbeskerming?

  • Gevorderde verkeersfiltrering: laat jou toe om netwerkverkeer te filtreer op grond van IP-adresse, poorte, protokolle, FQDN's en URL's, wat korrelbeheer bied.
  • Bedreigingsintelligensie: Blokkeer outomaties verkeer na en van bekende kwaadwillige domeine en IP-adresse gebaseer op Microsoft-bedreigingsintelligensiestrome.
  • IDPS (Intrusion Detection and Prevention System): Bespeur en blokkeer intydse handtekeninggebaseerde aanvalle, insluitend kwesbaarheidsuitbuiting en wanware.
  • TLS-inspeksie: Dekripteer uitgaande TLS/SSL-verkeer om verborge bedreigings te inspekteer en sekuriteitsbeleide af te dwing, en herenkripteer dit voordat dit na die bestemming gestuur word.
  • Gesentraliseerde ontplooiing: Kan in 'n virtuele spilpuntnetwerk ontplooi word om virtuele netwerke met veelvuldige speek te beskerm, wat bestuur en beleidstoepassing vereenvoudig.
  • Hoë beskikbaarheid en skaalbaarheid: Dit is 'n ten volle bestuurde diens, met geïntegreerde hoë beskikbaarheid en outomatiese skaalbaarheid om verkeerspyle te hanteer.
  • Azure Ecosystem Integration: Integreer naatloos met Azure Monitor, Azure Sentinel en Azure Firewall Manager vir gesentraliseerde monitering, analise en bestuur.

Voorvereistes

Om Azure Firewall vir gevorderde netwerkbeskerming op te stel, benodig u die volgende items:

  1. Aktiewe Azure-intekening: 'n Azure-intekening om hulpbronne te skep en te bestuur.
  2. Administratiewe toegang: 'n Rekening met die rol van 'Eienaar' of 'Bydraer' in die Azure-intekening, of in die hulpbrongroep waar die Firewall en VNets ontplooi sal word.
  3. Azure Virtual Networks (VNets): Ten minste een VNet om Azure Firewall te ontplooi en ideaal gesproke 'n Hub-en-Spok-argitektuur vir demonstrasie.
  4. Opsioneel: Virtuele masjiene (VM'e): VM'e wat in gesproke VNet's ontplooi word om firewall-reëls te toets.
  5. Azure CLI of Azure PowerShell: Geïnstalleerde en gekonfigureerde opdragreëlnutsgoed om met Azure te kommunikeer.

Stap vir stap: Azure Firewall konfigureer vir gevorderde beskerming

Kom ons ontplooi 'n Azure Firewall en konfigureer sy hoofkenmerke.

1. Voorbereiding van die Hub-en-Spok-argitektuur

'n Hub-en-Spok-argitektuur is 'n algemene netwerktopologie in Azure, waar die hub-VNet gedeelde dienste (soos Azure Firewall) bevat en die spaak-VNets die werkladings bevat. Verkeer tussen die speke en na die internet word deur die spilpunt gelei.

  1. Skep hulpbrongroep: Skep 'n hulpbrongroep vir alle hulpbronne. bash az-groep skep --naam RG-Firewall-Artigos --ligging eastus
  2. Skep VNet Hub: Skep 'n VNet vir die spilpunt met 'n toegewyde subnet vir Azure Firewall (AzureFirewallSubnet). bash az netwerk vnet skep --naam VNet-Hub --hulpbrongroep RG-Firewall-Artigos --adresvoorvoegsel 10.0.0.0/16 --ligging eastus az netwerk vnet subnet skep --naam AzureFirewallSubnet --vnet-naam VNet-Hub --hulpbrongroep RG-Firewall-Articles --adres-voorvoegsel 10.0.1.0/24
  3. Skep VNet Spoke: Skep 'n VNet vir die speek met 'n subnet vir die VM'e. bash az netwerk vnet skep --naam VNet-Spoke --hulpbrongroep RG-Firewall-Artigos --adres-voorvoegsel 10.1.0.0/16 --ligging eastus az netwerk vnet subnet skep --naam WorkloadSubnet --vnet-naam VNet-Spoke --hulpbrongroep RG-Firewall-Articles --adres-voorvoegsel 10.1.1.0/24
  4. Konfigureer VNet Peering: Koppel die hub VNet en die speek VNet via peering. bash az netwerk vnet peering skep --naam HubToSpoke --hulpbrongroep RG-Firewall-Articles --vnet-naam VNet-Hub --remote-vnet VNet-Spoke --laat-vnet-toegang toe az netwerk vnet peering skep --naam SpokeToHub --resource-group RG-Firewall-Articles --vnet-naam VNet-Spoke --remote-vnet VNet-Hub --laat-vnet-toegang toe

2. Ontplooi Azure Firewall

  1. Skep Azure Firewall: Ontplooi die Azure Firewall op die AzureFirewallSubnet van die hub VNet. bash az netwerk firewall skep --naam AzureFirewall-01 --hulpbrongroep RG-Firewall-Artigos --ligging eastus --sku Standaard az netwerk firewall ip-config skep --firewall-naam AzureFirewall-01 --naam AzureFirewall-IP --hulpbrongroep RG-Firewall-Artikels --vnet-naam VNet-Hub --publieke-ip-adres az-firewall-pip

    • Let wel: Die az netwerk firewall ip-config create opdrag sal outomaties 'n publieke IP vir die Firewall skep as jy 'n naam verskaf (bv. az-firewall-pip).

  2. Kry Firewall Private IP: Let op die Azure Firewall private IP aangesien dit vir roetering gebruik sal word. bash az netwerk firewall show --naam AzureFirewall-01 --resource-group RG-Firewall-Artigos --navraag ipConfigurations[0].privateIpAddress -o tsv

3. Konfigureer roetering vir Azure Firewall

Vir gesproke VNet-verkeer om deur Azure Firewall te gaan, moet ons 'n roetetabel skep en dit met die spreeksubnet assosieer.

  1. Skep roetetabel: Skep 'n roetetabel. bash az netwerk roete-tabel skep --naam FirewallRouteTable --hulpbrongroep RG-Firewall-Artigos --ligging ooste
  2. Voeg verstekroete by: Voeg 'n verstekroete (0.0.0.0/0) by wat alle verkeer na die Azure Firewall private IP lei. bash # Vervang <FIREWALL_PRIVATE_IP> met die private IP wat in die vorige stap verkry is FIREWALL_PRIVATE_IP=$(az netwerk firewall show --naam AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv) az netwerk roete-tabel roete skep --naam DefaultRouteToFirewall --hulpbron-groep RG-Firewall-Artigos --roete-tabel-naam FirewallRouteTable --adres-voorvoegsel 0.0.0.0/0 --next-hop-tipe VirtualAppliance --next-hop-IP-adres $FIREWALL_PRIVATE
  3. Associate Route Table to Spoke Subnet: Assosieer die roetetabel aan die WorkloadSubnet van VNet-Spoke. bash az netwerk vnet subnet update --naam WerkladingSubnet --vnet-naam VNet-Spoke --hulpbrongroep RG-Firewall-Articles --roete-tabel FirewallRouteTable

4. Konfigureer Azure Firewall-reëls

Azure Firewall gebruik versamelings reëls om verkeer te beheer. Daar is drie tipes reëls: Netwerkreëls, Aansoekreëls en NAT-reëls.

4.1. Netwerkreëls

Beheer Laag 3 en Laag 4 verkeer (IP, poorte, protokolle).

  1. Laat uitgaande verkeer toe vir DNS: Noodsaaklik vir naamoplossing. bash az netwerk firewall netwerkreël skep --firewall-naam AzureFirewall-01 --versamelnaam "Laat-DNS" --naam "Laat-DNS-Uitgaan toe" --hulpbrongroep RG-Firewall-Artikels --prioriteit 100 --aksie Laat toe --bron-adresse "*" --bestemming-adresse "*" --bestemming-adresse-poort--5-protokols "*"

  2. Laat uitgaande verkeer na 'n spesifieke IP toe: Voorbeeld: laat toegang tot 'n pleisterbediener toe. bash az netwerk firewall netwerkreël skep --firewall-naam AzureFirewall-01 --versamelnaam "Allow-Patch-Server" --naam "Allow-Patch-Server-Outbound" --hulpbrongroep RG-Firewall-Articles --prioriteit 110 --aksieLaat --bron-adresse "10.1.1.0/24" --bestemming-adresse "20.1.2.3" --protokolle TCP --bestemming-poorte 443 toe

4.2. Toepassingsreëls

Beheer Laag 7-verkeer (HTTP/HTTPS) gebaseer op FQDN's.

  1. Laat toegang tot Microsoft-werwe toe: Voorbeeld: laat toegang tot learn.microsoft.com toe. bash az netwerk-firewall-toepassing-reël skep --firewall-naam AzureFirewall-01 --versamelnaam "Allow-Microsoft-Sites" --naam "Allow-Learn-Microsoft" --hulpbrongroep RG-Firewall-Artikels --prioriteit 100 --aksie Laat toe --bron-adresse "10.1.1.0/H23tt=80ps H23tt=80ps"--4pttps H23 --fqdn-tags "Microsoft.Websites" --target-fqdns "learn.microsoft.com"

    • Wenk: Fqdn-tags is groepe FQDN'e wat vooraf deur Microsoft vir algemene dienste gedefinieer is.

  2. Blokkeer toegang tot kwaadwillige webwerwe: By verstek blokkeer Azure Firewall alles wat nie uitdruklik toegelaat word nie. U kan egter eksplisiete ontkenningsreëls vir spesifieke FQDN's skep. bash az netwerk-firewall-toepassingsreël skep --firewall-naam AzureFirewall-01 --versamelnaam "Blokkeer-kwaadwillige-werwe" --naam "Blok-slegte-werf" --hulpbrongroep RG-brandmuur-artikels --prioriteit 200 --aksie Ontken --bron-adresse "10.1.4.43tt/protokol" --target-fqdns "badsite.com"

4.3. NAT (Network Address Translation) reëls

Laat jou toe om inkomende verkeer na interne hulpbronne (DNAT - Destination NAT) te lei.

  1. Laat eksterne RDP-toegang tot 'n VM toe (met omsigtigheid!): Voorbeeld: Laat RDP toe aan 'n VM vanaf 'n spesifieke openbare IP. ``` bash # Skep 'n VM op die WorkloadSubnet om te toets az vm create --name TestVM --resource-group RG-Firewall-Articles --image UbuntuLTS --size Standard_B1s --vnet-name VNet-Spoke --subnet WorkloadSubnet --admin-gebruikersnaam azureuser --admin-wagwoord "P@ssw0rd12345!" --nee-wag

    Kry die VM se private IP

    VM_PRIVATE_IP=$(az vm show --name TestVM --resource-group RG-Firewall-Artigos --query privateIps -o tsv)

    Kry die Firewall openbare IP

    FIREWALL_PUBLIC_IP=$(az netwerk publieke ip wys --naam az-firewall-pip --hulpbrongroep RG-Firewall-Artigos --navraag ipAddress -o tsv)

    Skep die DNAT-reël

    az netwerk firewall nat-reël skep --firewall-naam AzureFirewall-01 --versamelnaam "Allow-RDP-Inbound" --naam "RDP-to-TestVM" --hulpbrongroep RG-Firewall-Articles --prioriteit 100 --aksie Dnat --bron-adresse "YOUR_PUBLIC_IPALLE-adres" --YOUR_PUBLIC_IPALLE-adres --protokolle TCP --bestemming-poorte 3389 --vertaal-adres $VM_PRIVATE_IP --vertaal-poort 3389 `` * **WAARSKUWING**: VervangYOUR_PUBLIC_IP` met jou regte publieke IP-adres om toegang te beperk. Moenie "*" in produksie vir DNAT-reëls gebruik nie.

5. Konfigureer Azure Firewall Premium (IDPS en TLS Inspection)

Vir gevorderde beskermingskenmerke soos IDPS en TLS Inspection, benodig jy Azure Firewall Premium.

  1. Gradeer Firewall SKU op (indien nodig): As jy 'n Standaard Firewall geskep het, kan jy dit opgradeer na Premium. bash az netwerk firewall update --naam AzureFirewall-01 --resource-group RG-Firewall-Artigos --sku Premium

  2. Konfigureer TLS-inspeksie: Vir TLS-inspeksie benodig jy 'n SSL/TLS-sertifikaat uitgereik deur 'n korporatiewe of publieke CA, gestoor in Azure Key Vault.

    • Voorvereiste: Gesertifiseer in Azure Key Vault (sien vorige artikel oor Azure Key Vault vir besonderhede).
    • Skep 'n Firewall-beleid en assosieer dit met die Firewall. bash az netwerk firewall policy create --name FirewallPolicy-01 --resource-group RG-Firewall-Artigos --location eastus az netwerk firewall-beleidopdatering --naam FirewallPolicy-01 --hulpbrongroep RG-Firewall-Artigos --threat-intel-mode Alert az netwerk firewall-opdatering --naam AzureFirewall-01 --hulpbrongroep RG-Firewall-Artigos --firewall-beleid FirewallPolicy-01
    • In die Azure-portaal, navigeer na Firewall Policy -> Settings -> TLS Inspection.
    • Aktiveer TLS-inspeksie en kies die wortelsertifikaat vir jou sleutelkluis.

  3. Konfigureer IDPS: IDPS is geaktiveer en gekonfigureer deur die Firewall-beleid.

    • In die Azure-portaal, gaan na Firewall Policy -> Settings -> IDPS.
    • Jy kan IDPS-modus instel (Alert of Alert and Deny) en pasgemaakte IDPS-handtekeningreëls skep.

6. Aktivering van intelligensievan bedreigings

Azure Firewall-bedreigingsintelligensie kan gekonfigureer word vir Alert of Alert and Deny verkeer na/van bekende kwaadwillige IP-adresse en FQDN's.

  1. In die Azure-portaal, navigeer na jou Azure Firewall (AzureFirewall-01).
  2. Kies Bedreigingsintelligensie in die linkernavigasiepaneel.
  3. Stel die Mode na Alert and Deny.

Bekragtiging en toetsing

Die validering van jou Azure Firewall-konfigurasie is noodsaaklik om te verseker dat sekuriteitsbeleide korrek toegepas word.

1. Toets netwerkreëls

  1. DNS-verbindingstoets: Van 'n VM op WorkloadSubnet, probeer om 'n domeinnaam op te los. Dit behoort te werk as die DNS-reël opgestel is. bash nslookup google.com

    • Verwagte resultaat: DNS-resolusie suksesvol.

  2. Poortblokkeringstoets: Probeer om toegang te verkry tot 'n poort wat nie vir 'n eksterne IP toegelaat word nie. bash nc -vz 8.8.8.8 80

    • Verwagte resultaat: Verbinding geweier of uittel.

2. Toets Toepassing Reëls

  1. FQDN Toegang Toegelate Toets: Van 'n VM op WorkloadSubnet, probeer om toegang tot learn.microsoft.com via blaaier te kry. Verwagte resultaat: Toegang suksesvol.

  2. FQDN-blokkeertoets: Probeer toegang tot badsite.com (as jy die weieringsreël daarvoor opgestel het).

    • Verwagte resultaat: Toegang geblokkeer deur die firewall, met 'n foutboodskap in die blaaier.

3. Toets NAT-reëls (DNAT)

  1. Van 'n rekenaar buite Azure (met die publieke IP wat jy in die DNAT-reël gespesifiseer het), probeer om via RDP/SSH aan die Azure Firewall openbare IP op poort 3389/22 te koppel.
    • Verwagte resultaat: Suksesvolle verbinding met interne VM.

4. Kontroleer Azure Firewall Logs

Azure Firewall-logboeke is noodsaaklik vir die monitering van verkeer en die validering van reëls.

  1. In die Azure-portaal, navigeer na jou Azure Firewall (AzureFirewall-01).
  2. Kies Logs in die linkernavigasiepaneel.
  3. Jy kan Log Analytics gebruik om Firewall-logboeke te bevraagteken. Soek vir AzureFirewallNetworkRule- en AzureFirewallApplicationRule-gebeurtenisse om te sien watter reëls geaktiveer is en of verkeer toegelaat of geweier is.

5. Toets bedreigingsintelligensie en IDPS (Premium)

  1. Bedreigingsintelligensie: Probeer toegang verkry tot 'n IP of FQDN wat bekend is as kwaadwillig (gebruik 'n veilige wanware-toetswebwerf soos test.malware.testing.com of 'n bedreigingsintelligensie-toets-IP). Die Firewall moet toegang blokkeer.
  2. IDPS: Probeer om 'n aanval te simuleer wat deur IDPS opgespoor sal word (gebruik bv. 'n kwesbaarheidstoetsinstrument om 'n SQL-inspuiting op 'n webtoepassing op die speek-VM te probeer, indien van toepassing). Die Firewall moet 'n waarskuwing genereer en/of verkeer blokkeer.

Sekuriteitswenke en beste praktyke

  • Hub-en-Spoke-model: Waar moontlik, gebruik die Hub-en-Spoke-model met Azure Firewall in die spilpunt om netwerkbeheer te sentraliseer en beleidbestuur te vereenvoudig.
  • Beginsel van die minste voorreg: Skep firewall-reëls met die minste voorreg moontlik, wat slegs noodsaaklike verkeer toelaat. Blokkeer alle verkeer by verstek en laat uitdruklik toe wat ook al nodig is.
  • Reëlprioritering: Verstaan ​​die reëlverwerkingsvolgorde (NAT > Netwerk > Toepassing) en prioriteit binne elke versameling om konflikte te vermy en te verseker dat die verlangde reëls toegepas word.
  • Bedreigingsintelligensie geaktiveer: Hou bedreigingsintelligensie geaktiveer in Alert and Deny-modus vir outomatiese beskerming teen bekende kwaadwillige bronne.
  • Azure Firewall Premium: Vir omgewings wat gevorderde beskerming vereis, gebruik die Premium SKU om voordeel te trek uit kenmerke soos IDPS en TLS Inspection.
  • TLS-inspeksie: Implementeer TLS-inspeksie vir uitgaande verkeer om bedreigings op te spoor wat in geënkripteerde sessies versteek is, maar beplan versigtig vir sertifikaatbestuur.
  • Monitering en oudit: Integreer Azure Firewall-logboeke met Azure Monitor en Azure Sentinel vir deurlopende monitering, sekuriteitsanalise en insidentreaksie.
  • Azure Firewall Manager: Vir omgewings met veelvuldige Firewalls en komplekse beleide, gebruik Azure Firewall Manager vir gesentraliseerde, hiërargiese beleidbestuur.
  • Dokumentasie: Handhaaf duidelike dokumentasie van jou firewall-reëls en die rasionaal vir elkeen.

Algemene probleemoplossing

** Verkeersblokkevan Onverwags: Gaan Azure Firewall-logboeke in Log Analytics na. Hulle sal aandui watter reël (hetsy netwerk, toepassing of bedreigingsintelligensie) die verkeer geblokkeer het. Pas die reël aan soos nodig. * Stadige verbinding: As jou verkeer stadig is, kontroleer Firewall CPU-gebruik in Azure Monitor. Die Firewall bereik dalk sy prestasielimiete. Oorweeg om die SKU te skaal of die reëls te optimaliseer. * NAT-reëls werk nie: Kontroleer dat die openbare IP en bestemming en vertaalde poorte korrek is. Maak seker dat die bron-IP in die NAT-reël korrek is (indien beperk). Gaan die teiken-VM na vir NSG's wat dalk verkeer blokkeer. * TLS-inspeksiekwessies: Maak seker dat die wortelsertifikaat korrek in Key Vault en Firewall-beleid opgestel is. Verifieer dat kliënte die wortel-CA wat vir TLS-inspeksie gebruik word, vertrou. * IDPS bespeur nie aanvalle nie: Kontroleer dat IDPS in Alert and Deny-modus is en dat relevante handtekeninge geaktiveer is. Maak seker dat die verkeer werklik deur die Firewall gaan. * Verkeerde roetering**: Gaan die roetetabel na wat met jou VM se subnet geassosieer word. Maak seker dat die verstekroete (0.0.0.0/0) na die Azure Firewall private IP verwys.

Gevolgtrekking

Azure Firewall is 'n kragtige en noodsaaklike hulpmiddel om 'n robuuste netwerksekuriteitsposisie in Azure te vestig. Deur gevorderde verkeersfiltrering, bedreigingsintelligensie, IDPS en TLS-inspeksie te implementeer, kan organisasies hul werkladings teen 'n wye reeks kuberbedreigings beskerm. Die aanneming van 'n Hub-en-Spoke-model met Azure Firewall in die middel, tesame met die toepassing van beste praktyke en deurlopende monitering, verseker dat netwerkverkeer effektief geïnspekteer en beheer word. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om Azure Firewall op te stel en te bestuur, wat die netwerksekuriteit en veerkragtigheid van hul Azure-omgewings teen die nuutste bedreigings versterk.

Verwysings:

[1] Microsoft Learn. Wat is Azure Firewall?. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/firewall/overview [2] Microsoft Learn. Azure Firewall argitektoniese oorsig. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/firewall/firewall-architecture [3] Microsoft Learn. Azure Firewall Premium-kenmerke. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/firewall/premium-features [4] Microsoft Learn. Filterering gebaseer op Azure Firewall bedreigingsintelligensie. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/firewall/threat-intel