उन्नत नेटवर्क सुरक्षा के लिए Azure फ़ायरवॉल को कॉन्फ़िगर करना

उन्नत नेटवर्क सुरक्षा के लिए Azure फ़ायरवॉल को कॉन्फ़िगर करना

08/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य उन्नत नेटवर्क सुरक्षा के लिए एज़्योर फ़ायरवॉल को कॉन्फ़िगर करने और उपयोग करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। Azure फ़ायरवॉल एक प्रबंधित, क्लाउड-आधारित नेटवर्क सुरक्षा सेवा है जो Azure नेटवर्क संसाधनों के लिए लेयर 4 और लेयर 7 खतरे से सुरक्षा प्रदान करती है, जो नेटवर्क नियंत्रण के केंद्रीकरण और क्लाउड वातावरण में लगातार सुरक्षा नीतियों के कार्यान्वयन को सक्षम करती है [1]।

परिचय

लगातार बढ़ते क्लाउड परिदृश्य में, नेटवर्क सुरक्षा अनुप्रयोगों और डेटा की सुरक्षा के लिए एक मूलभूत स्तंभ है। Azure फ़ायरवॉल सुरक्षा नीतियों के प्रवर्तन के केंद्रीय बिंदु के रूप में कार्य करते हुए, नेटवर्क ट्रैफ़िक के निरीक्षण और नियंत्रण के लिए एक मजबूत समाधान प्रदान करता है। यह पूरी तरह से योग्य डोमेन नाम (एफक्यूडीएन) आधारित ट्रैफिक फ़िल्टरिंग, खतरे की खुफिया जानकारी, घुसपैठ का पता लगाने और रोकथाम प्रणाली (आईडीपीएस), और टीएलएस निरीक्षण जैसी उन्नत सुविधाएं प्रदान करके बुनियादी नेटवर्क सुरक्षा समूहों (एनएसजी) से आगे निकल जाता है, जो इसे एज़्योर में सुरक्षित नेटवर्क आर्किटेक्चर के लिए आवश्यक बनाता है, खासकर हब-एंड-स्पोक मॉडल में [2]।

यह व्यावहारिक मार्गदर्शिका Azure फ़ायरवॉल को तैनात करने, नेटवर्क और एप्लिकेशन नियमों को कॉन्फ़िगर करने, खतरे की खुफिया जानकारी और IDPS को सक्षम करने, अन्य Azure सेवाओं के साथ एकीकृत करने और नेटवर्क प्रशासन के लिए सर्वोत्तम प्रथाओं को कवर करेगी। चरण-दर-चरण निर्देश, उदाहरण Azure CLI कमांड और उदाहरण प्रदान किए जाएंगे ताकि पाठक एक प्रभावी नेटवर्क सुरक्षा रणनीति को लागू और मान्य कर सकें, हमले की सतह को कम कर सकें और अपने Azure बुनियादी ढांचे की साइबर लचीलापन को मजबूत कर सकें।

उन्नत नेटवर्क सुरक्षा के लिए Azure फ़ायरवॉल महत्वपूर्ण क्यों है?

  • उन्नत ट्रैफ़िक फ़िल्टरिंग: आपको आईपी पते, पोर्ट, प्रोटोकॉल, एफक्यूडीएन और यूआरएल के आधार पर नेटवर्क ट्रैफ़िक को फ़िल्टर करने की अनुमति देता है, जो बारीक नियंत्रण प्रदान करता है।
  • खतरे की खुफिया जानकारी: माइक्रोसॉफ्ट खतरे की खुफिया फ़ीड के आधार पर ज्ञात दुर्भावनापूर्ण डोमेन और आईपी पते पर स्वचालित रूप से ट्रैफ़िक को ब्लॉक करता है।
  • आईडीपीएस (घुसपैठ का पता लगाने और रोकथाम प्रणाली): भेद्यता शोषण और मैलवेयर सहित वास्तविक समय के हस्ताक्षर-आधारित हमलों का पता लगाता है और उन्हें रोकता है।
  • टीएलएस निरीक्षण: छिपे हुए खतरों का निरीक्षण करने और सुरक्षा नीतियों को लागू करने के लिए आउटगोइंग टीएलएस/एसएसएल ट्रैफ़िक को डिक्रिप्ट करता है, गंतव्य पर भेजने से पहले इसे फिर से एन्क्रिप्ट करता है।
  • केंद्रीकृत तैनाती: प्रबंधन और नीति प्रवर्तन को सरल बनाने, मल्टीपल स्पोकन वर्चुअल नेटवर्क की सुरक्षा के लिए हब वर्चुअल नेटवर्क में तैनात किया जा सकता है।
  • उच्च उपलब्धता और स्केलेबिलिटी: यह पूरी तरह से प्रबंधित सेवा है, जिसमें ट्रैफ़िक स्पाइक्स को संभालने के लिए एकीकृत उच्च उपलब्धता और स्वचालित स्केलेबिलिटी है।
  • एज़्योर इकोसिस्टम इंटीग्रेशन: केंद्रीकृत निगरानी, ​​​​विश्लेषण और प्रबंधन के लिए एज़्योर मॉनिटर, एज़्योर सेंटिनल और एज़्योर फ़ायरवॉल मैनेजर के साथ सहजता से एकीकृत होता है।

पूर्वावश्यकताएँ

उन्नत नेटवर्क सुरक्षा के लिए Azure फ़ायरवॉल को कॉन्फ़िगर करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. सक्रिय Azure सदस्यता: संसाधन बनाने और प्रबंधित करने के लिए एक Azure सदस्यता।
  2. प्रशासनिक पहुंच: एज़्योर सदस्यता में या संसाधन समूह में मालिक या योगदानकर्ता की भूमिका वाला एक खाता जहां फ़ायरवॉल और वीनेट तैनात किए जाएंगे।
  3. एज़्योर वर्चुअल नेटवर्क (वीनेट्स): एज़्योर फ़ायरवॉल को तैनात करने के लिए कम से कम एक वीनेट और प्रदर्शन के लिए आदर्श रूप से एक हब-एंड-स्पोक आर्किटेक्चर।
  4. वैकल्पिक: वर्चुअल मशीन (वीएम): फ़ायरवॉल नियमों का परीक्षण करने के लिए वीएम को स्पोक वीनेट में तैनात किया गया है।
  5. Azure CLI या Azure PowerShell: Azure के साथ इंटरैक्ट करने के लिए कमांड-लाइन टूल इंस्टॉल और कॉन्फ़िगर किया गया।

चरण दर चरण: उन्नत सुरक्षा के लिए Azure फ़ायरवॉल को कॉन्फ़िगर करना

आइए एक Azure फ़ायरवॉल तैनात करें और इसकी मुख्य विशेषताओं को कॉन्फ़िगर करें।

1. हब-एंड-स्पोक आर्किटेक्चर तैयार करना

हब-एंड-स्पोक आर्किटेक्चर Azure में एक सामान्य नेटवर्क टोपोलॉजी है, जहां हब VNet में साझा सेवाएँ (जैसे Azure फ़ायरवॉल) होती हैं और स्पोक VNet में कार्यभार होता है। स्पोक्स और इंटरनेट के बीच यातायात हब के माध्यम से रूट किया जाता है।

  1. संसाधन समूह बनाएं: सभी संसाधनों के लिए एक संसाधन समूह बनाएं। बैश एज़ समूह बनाएं --नाम आरजी-फ़ायरवॉल-आर्टिगोस --स्थान ईस्टस
  2. वीएन बनाएंऔर हब: Azure फ़ायरवॉल (AzureFirewallSubnet) के लिए एक समर्पित सबनेट के साथ हब के लिए एक VNet बनाएं। बैश एज़ नेटवर्क वीनेट बनाएं --नाम वीनेट-हब --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --पता-उपसर्ग 10.0.0.0/16 --स्थान ईस्टस az नेटवर्क vnet सबनेट बनाएं --नाम AzureFirewallSubnet --vnet-नाम VNet-हब --संसाधन-समूह RG-फ़ायरवॉल-आर्टिकल्स --पता-उपसर्ग 10.0.1.0/24
  3. वीनेट स्पोक बनाएं: वीएम के लिए सबनेट के साथ स्पोक के लिए एक वीनेट बनाएं। बैश एज़ नेटवर्क वीनेट बनाएं --नाम वीनेट-स्पोक --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --पता-उपसर्ग 10.1.0.0/16 --स्थान ईस्टस एज़ नेटवर्क वीनेट सबनेट बनाएं --नाम वर्कलोडसबनेट --वीनेट-नाम वीनेट-स्पोक --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिकल्स --पता-उपसर्ग 10.1.1.0/24
  4. वीनेट पीयरिंग कॉन्फ़िगर करें: हब वीनेट और स्पोक वीनेट को पीयरिंग के माध्यम से कनेक्ट करें। बैश एज़ नेटवर्क वीनेट पीयरिंग क्रिएट --नाम हबटूस्पोक --रिसोर्स-ग्रुप आरजी-फ़ायरवॉल-आर्टिकल्स --वीनेट-नाम वीनेट-हब --रिमोट-वीनेट वीनेट-स्पोक --allow-vnet-access एज़ नेटवर्क वीनेट पीयरिंग क्रिएट --नाम स्पोकटूहब --रिसोर्स-ग्रुप आरजी-फ़ायरवॉल-आर्टिकल्स --वीनेट-नाम वीनेट-स्पोक --रिमोट-वीनेट वीनेट-हब --allow-vnet-access

2. एज़्योर फ़ायरवॉल तैनात करना

  1. Azure फ़ायरवॉल बनाएं: हब VNet के AzureFirewallSubnet पर Azure फ़ायरवॉल तैनात करें। बैश az नेटवर्क फ़ायरवॉल बनाएं --नाम Azureफ़ायरवॉल-01 --संसाधन-समूह RG-फ़ायरवॉल-आर्टिगोस --स्थान ईस्टस --sku मानक az नेटवर्क फ़ायरवॉल ip-config बनाएँ --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --नाम Azureफ़ायरवॉल-IP --संसाधन-समूह RG-फ़ायरवॉल-आर्टिकल्स --vnet-नाम VNet-हब --सार्वजनिक-आईपी-पता az-फ़ायरवॉल-पिप

    • नोट: यदि आप कोई नाम प्रदान करते हैं (उदाहरण के लिए एज़-फ़ायरवॉल-पिप) तो एज़ नेटवर्क फ़ायरवॉल आईपी-कॉन्फिग क्रिएट कमांड स्वचालित रूप से फ़ायरवॉल के लिए एक सार्वजनिक आईपी बनाएगा।

  2. फ़ायरवॉल निजी आईपी प्राप्त करें: Azure फ़ायरवॉल निजी आईपी को नोट कर लें क्योंकि इसका उपयोग रूटिंग के लिए किया जाएगा। बैश एज़ नेटवर्क फ़ायरवॉल शो --नाम Azureफ़ायरवॉल-01 --संसाधन-समूह RG-फ़ायरवॉल-आर्टिगोस --क्वेरी ipConfigurations[0].privateIpAddress -o tsv

3. Azure फ़ायरवॉल के लिए रूटिंग कॉन्फ़िगर करना

स्पोकन VNet ट्रैफ़िक को Azure फ़ायरवॉल से गुज़रने के लिए, हमें एक रूट टेबल बनाने और इसे स्पोकन सबनेट के साथ जोड़ने की आवश्यकता है।

  1. रूट टेबल बनाएं: एक रूट टेबल बनाएं। बैश एज़ नेटवर्क रूट-टेबल बनाएं --नाम फ़ायरवॉलरूटटेबल --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --स्थान ईस्टस
  2. डिफ़ॉल्ट रूट जोड़ें: एक डिफ़ॉल्ट रूट (0.0.0.0/0) जोड़ें जो सभी ट्रैफ़िक को Azure फ़ायरवॉल निजी IP पर निर्देशित करता है। बैश # <FIREWALL_PRIVATE_IP> को पिछले चरण में प्राप्त निजी आईपी से बदलें FIREWALL_PRIVATE_IP=$(az नेटवर्क फ़ायरवॉल शो --name AzureFirewall-01 --resource-group RG-फ़ायरवॉल-Artigos --query ipConfigurations[0].privateIpAddress -o tsv) एज़ नेटवर्क रूट-टेबल रूट क्रिएट --नाम डिफॉल्टरूटटूफायरवॉल --रिसोर्स-ग्रुप आरजी-फ़ायरवॉल-आर्टिगोस --रूट-टेबल-नाम फ़ायरवॉलरूटटेबल --एड्रेस-प्रीफिक्स 0.0.0.0/0 --नेक्स्ट-हॉप-टाइप वर्चुअलएप्लायंस --नेक्स्ट-हॉप-आईपी-एड्रेस $FIREWALL_PRIVATE_IP
  3. रूट टेबल को स्पोक सबनेट से संबद्ध करें: रूट टेबल को वीनेट-स्पोक के वर्कलोडसबनेट से संबद्ध करें। बैश एज़ नेटवर्क वीनेट सबनेट अपडेट --नाम वर्कलोडसबनेट --वीनेट-नाम वीनेट-स्पोक --रिसोर्स-ग्रुप आरजी-फ़ायरवॉल-आर्टिकल्स --रूट-टेबल फ़ायरवॉलरूटटेबल

4. Azure फ़ायरवॉल नियमों को कॉन्फ़िगर करना

Azure फ़ायरवॉल ट्रैफ़िक को नियंत्रित करने के लिए नियमों के संग्रह का उपयोग करता है। नियम तीन प्रकार के होते हैं: 'नेटवर्क नियम', 'एप्लिकेशन नियम' और 'NAT नियम'।

4.1. नेटवर्क नियम

लेयर 3 और लेयर 4 ट्रैफ़िक (आईपी, पोर्ट, प्रोटोकॉल) को नियंत्रित करें।

  1. DNS के लिए आउटबाउंड ट्रैफ़िक की अनुमति दें: नाम समाधान के लिए आवश्यक। बैश एज़ नेटवर्क फ़ायरवॉल नेटवर्क-नियम बनाएं --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --संग्रह-नाम "अनुमति-डीएनएस" --नाम "अनुमति-डीएनएस-आउटबाउंड" --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिकल्स --प्राथमिकता 100 --कार्रवाई अनुमति दें --स्रोत-पता "*" --गंतव्य-पता "*" --प्रोटोकॉल यूडीपी --गंतव्य-पोर्ट 53

  2. एक विशिष्ट आईपी पर आउटगोइंग ट्रैफ़िक की अनुमति दें: उदाहरण: एक पैच सर्वर तक पहुंच की अनुमति दें। बैश एज़ नेटवर्क फ़ायरवॉल नेटवर्क-नियम बनाएं --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --संग्रह-नाम "अनुमति-पैच-सर्वर" --नाम "अनुमति-पैच-सर्वर-आउटबाउंड" --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिकल्स --प्राथमिकता 110 --कार्रवाईअनुमति दें --स्रोत-पते "10.1.1.0/24" --गंतव्य-पते "20.1.2.3" --प्रोटोकॉल टीसीपी --गंतव्य-पोर्ट 443

4.2. आवेदन नियम

FQDNs पर आधारित नियंत्रण परत 7 ट्रैफ़िक (HTTP/HTTPS)।

  1. Microsoft साइटों तक पहुंच की अनुमति दें: उदाहरण: learn.microsoft.com तक पहुंच की अनुमति दें। बैश az नेटवर्क फ़ायरवॉल एप्लिकेशन-नियम बनाएं --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --संग्रह-नाम "अनुमति-Microsoft-साइटें" --नाम "अनुमति दें-Microsoft" --संसाधन-समूह RG-फ़ायरवॉल-आर्टिकल्स --प्राथमिकता 100 --कार्रवाई अनुमति दें --स्रोत-पते "10.1.1.0/24" --प्रोटोकॉल Http=80 HTTPS=443 --fqdn-टैग "Microsoft.वेबसाइटें" --target-fqdns "learn.microsoft.com"

    • टिप: Fqdn-tags सामान्य सेवाओं के लिए Microsoft द्वारा पूर्व-निर्धारित FQDN के समूह हैं।

  2. दुर्भावनापूर्ण वेबसाइटों तक पहुंच को ब्लॉक करें: डिफ़ॉल्ट रूप से, Azure फ़ायरवॉल उन सभी चीजों को ब्लॉक कर देता है जिनकी स्पष्ट रूप से अनुमति नहीं है। हालाँकि, आप विशिष्ट FQDNs के लिए स्पष्ट इनकार नियम बना सकते हैं। बैश एज़ नेटवर्क फ़ायरवॉल एप्लिकेशन-नियम बनाएं --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --संग्रह-नाम "ब्लॉक-दुर्भावनापूर्ण-साइटें" --नाम "ब्लॉक-खराब-साइट" --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिकल्स --प्राथमिकता 200 --क्रिया अस्वीकार --स्रोत-पता "10.1.1.0/24" --प्रोटोकॉल Https=443 --target-fqdns "बैडसाइट.कॉम"

4.3. NAT (नेटवर्क एड्रेस ट्रांसलेशन) नियम

आपको आने वाले ट्रैफ़िक को आंतरिक संसाधनों (DNAT - गंतव्य NAT) पर निर्देशित करने की अनुमति देता है।

  1. बाहरी आरडीपी को वीएम तक पहुंच की अनुमति दें (सावधानी के साथ!): उदाहरण: एक विशिष्ट सार्वजनिक आईपी से आरडीपी को वीएम तक पहुंचने की अनुमति दें। ```बैश # परीक्षण के लिए वर्कलोडसबनेट पर एक वीएम बनाएं az vm create --name TestVM --resource-group RG-Firewall-Articles --image UbuntuLTS --size मानक_B1s --vnet-name VNet-Spoke --subnet WorkloadSubnet --admin-username azureuser --admin-password "P@ssw0rd12345!" --नहीं-रुको

    वीएम का निजी आईपी प्राप्त करें

    VM_PRIVATE_IP=$(az vm show --name TestVM --resource-group RG-Firewall-Artigos --query PrivateIps -o tsv)

    फ़ायरवॉल सार्वजनिक आईपी प्राप्त करें

    फ़ायरवॉल_पब्लिक_आईपी=$(एज़ नेटवर्क पब्लिक-आईपी शो --नाम एज़-फ़ायरवॉल-पीआईपी --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --क्वेरी आईपीएड्रेस -ओ टीएसवी)

    DNAT नियम बनाएं

    az नेटवर्क फ़ायरवॉल nat-rule create --फ़ायरवॉल-नाम Azureफ़ायरवॉल-01 --संग्रह-नाम "अनुमति-RDP-इनबाउंड" --नाम "RDP-to-TestVM" --संसाधन-समूह RG-फ़ायरवॉल-आर्टिकल्स --प्राथमिकता 100 --क्रिया Dnat --स्रोत-पता "आपका_PUBLIC_IP" --गंतव्य-पता $FIREWALL_PUBLIC_IP --प्रोटोकॉल टीसीपी --गंतव्य-पोर्ट 3389 --अनुवादित-पता $VM_PRIVATE_IP --अनुवादित-पोर्ट 3389 `` * **चेतावनी**: पहुंच को प्रतिबंधित करने के लिएYOUR_PUBLIC_IP` को अपने वास्तविक सार्वजनिक आईपी पते से बदलें। डीएनएटी नियमों के लिए उत्पादन में "*" का प्रयोग न करें।

5. एज़्योर फ़ायरवॉल प्रीमियम को कॉन्फ़िगर करना (आईडीपीएस और टीएलएस निरीक्षण)

आईडीपीएस और टीएलएस निरीक्षण जैसी उन्नत सुरक्षा सुविधाओं के लिए, आपको Azure फ़ायरवॉल प्रीमियम की आवश्यकता है।

  1. फ़ायरवॉल SKU अपग्रेड करें (यदि आवश्यक हो): यदि आपने एक मानक फ़ायरवॉल बनाया है, तो आप इसे प्रीमियम में अपग्रेड कर सकते हैं। बैश एज़ नेटवर्क फ़ायरवॉल अद्यतन --नाम Azureफ़ायरवॉल-01 --संसाधन-समूह RG-फ़ायरवॉल-आर्टिगोस --sku प्रीमियम

  2. टीएलएस निरीक्षण कॉन्फ़िगर करें: टीएलएस निरीक्षण के लिए, आपको कॉर्पोरेट या सार्वजनिक सीए द्वारा जारी एसएसएल/टीएलएस प्रमाणपत्र की आवश्यकता है, जो एज़्योर की वॉल्ट में संग्रहीत है।

    • पूर्वापेक्षा: Azure कुंजी वॉल्ट में प्रमाणित (विवरण के लिए Azure कुंजी वॉल्ट पर पिछला लेख देखें)।
    • एक फ़ायरवॉल नीति बनाएं और इसे फ़ायरवॉल के साथ संबद्ध करें। बैश एज़ नेटवर्क फ़ायरवॉल नीति बनाएं --नाम फ़ायरवॉलपॉलिसी-01 --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --स्थान ईस्टस एज़ नेटवर्क फ़ायरवॉल नीति अद्यतन --नाम फ़ायरवॉलपॉलिसी-01 --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --खतरा-इंटेल-मोड अलर्ट एज़ नेटवर्क फ़ायरवॉल अद्यतन --नाम Azureफ़ायरवॉल-01 --संसाधन-समूह आरजी-फ़ायरवॉल-आर्टिगोस --फ़ायरवॉल-नीति फ़ायरवॉलपॉलिसी-01
    • Azure पोर्टल में, फ़ायरवॉल नीति -> सेटिंग्स -> TLS निरीक्षण पर नेविगेट करें।
    • टीएलएस निरीक्षण सक्षम करें और अपने कुंजी वॉल्ट के लिए रूट प्रमाणपत्र का चयन करें।

  3. आईडीपीएस कॉन्फ़िगर करें: आईडीपीएस को फ़ायरवॉल नीति के माध्यम से सक्षम और कॉन्फ़िगर किया गया है।

    • Azure पोर्टल में, फ़ायरवॉल पॉलिसी -> सेटिंग्स -> IDPS पर नेविगेट करें।
    • आप आईडीपीएस मोड (अलर्ट या अलर्ट और अस्वीकार) को कॉन्फ़िगर कर सकते हैं और कस्टम आईडीपीएस हस्ताक्षर नियम बना सकते हैं।

6. इंटेलिजेंस को सक्रिय करनाधमकियों का

Azure फ़ायरवॉल ख़तरे की ख़ुफ़िया जानकारी को ज्ञात दुर्भावनापूर्ण IP पतों और FQDNs पर/से 'अलर्ट' या 'अलर्ट और अस्वीकार' ट्रैफ़िक के लिए कॉन्फ़िगर किया जा सकता है।

  1. Azure पोर्टल में, अपने Azure फ़ायरवॉल (AzureFirewall-01) पर जाएँ।
  2. बाएँ नेविगेशन फलक में, खतरा इंटेलिजेंस चुनें।
  3. मोड को चेतावनी और अस्वीकार पर सेट करें।

सत्यापन और परीक्षण

सुरक्षा नीतियों को सही ढंग से लागू किया जा रहा है यह सुनिश्चित करने के लिए आपके Azure फ़ायरवॉल कॉन्फ़िगरेशन को मान्य करना महत्वपूर्ण है।

1. नेटवर्क नियमों का परीक्षण

  1. डीएनएस कनेक्टिविटी टेस्ट: वर्कलोडसबनेट पर एक वीएम से, एक डोमेन नाम को हल करने का प्रयास करें। यदि DNS नियम कॉन्फ़िगर किया गया है तो यह काम करना चाहिए। बैश nslookup google.com

    • अपेक्षित परिणाम: डीएनएस रिज़ॉल्यूशन सफल।

  2. पोर्ट ब्लॉकिंग टेस्ट: ऐसे पोर्ट तक पहुंचने का प्रयास करें जिसकी बाहरी आईपी के लिए अनुमति नहीं है। बैश एनसी -वीजेड 8.8.8.8 80

    • अपेक्षित परिणाम: कनेक्शन अस्वीकृत या टाइमआउट।

2. परीक्षण आवेदन नियम

  1. FQDN एक्सेस स्वीकृत परीक्षण: वर्कलोडसबनेट पर एक वीएम से, ब्राउज़र के माध्यम से learn.microsoft.com तक पहुंचने का प्रयास करें।

    • अपेक्षित परिणाम: प्रवेश सफल।

  2. FQDN ब्लॉकिंग टेस्ट: Badsite.com तक पहुंचने का प्रयास करें (यदि आपने इसके लिए इनकार नियम कॉन्फ़िगर किया है)।

    • अपेक्षित परिणाम: ब्राउज़र में एक त्रुटि संदेश के साथ, फ़ायरवॉल द्वारा पहुंच अवरुद्ध कर दी गई।

3. NAT नियमों का परीक्षण (DNAT)

  1. Azure के बाहर के कंप्यूटर से (DNAT नियम में आपके द्वारा निर्दिष्ट सार्वजनिक IP के साथ), RDP/SSH के माध्यम से पोर्ट 3389/22 पर Azure फ़ायरवॉल सार्वजनिक IP से कनेक्ट करने का प्रयास करें।
    • अपेक्षित परिणाम: आंतरिक वीएम से सफल कनेक्शन।

4. Azure फ़ायरवॉल लॉग की जाँच करना

Azure फ़ायरवॉल लॉग ट्रैफ़िक की निगरानी और नियमों को मान्य करने के लिए आवश्यक हैं।

  1. Azure पोर्टल में, अपने Azure फ़ायरवॉल (AzureFirewall-01) पर जाएँ।
  2. बाएँ नेविगेशन फलक में, लॉग चुनें।
  3. आप फ़ायरवॉल लॉग को क्वेरी करने के लिए लॉग एनालिटिक्स का उपयोग कर सकते हैं। यह देखने के लिए कि कौन से नियम ट्रिगर किए गए थे और क्या ट्रैफ़िक को अनुमति दी गई थी या अस्वीकार किया गया था, AzureFirewallNetworkRule और AzureFirewallApplicationRule ईवेंट देखें।

5. खतरे की खुफिया जानकारी और आईडीपीएस का परीक्षण (प्रीमियम)

  1. खतरे की खुफिया जानकारी: दुर्भावनापूर्ण माने जाने वाले आईपी या एफक्यूडीएन तक पहुंचने का प्रयास करें (एक सुरक्षित मैलवेयर परीक्षण साइट जैसे test.malware.testing.com या खतरे की खुफिया परीक्षण आईपी का उपयोग करें)। फ़ायरवॉल को पहुंच अवरुद्ध करनी होगी.
  2. आईडीपीएस: एक ऐसे हमले का अनुकरण करने का प्रयास करें जिसे आईडीपीएस द्वारा पता लगाया जाएगा (उदाहरण के लिए, यदि लागू हो तो स्पोकन वीएम पर वेब एप्लिकेशन पर एसक्यूएल इंजेक्शन का प्रयास करने के लिए भेद्यता परीक्षण उपकरण का उपयोग करें)। फ़ायरवॉल को एक अलर्ट उत्पन्न करना होगा और/या ट्रैफ़िक को रोकना होगा।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • हब-एंड-स्पोक मॉडल: जब भी संभव हो, नेटवर्क नियंत्रण को केंद्रीकृत करने और नीति प्रबंधन को सरल बनाने के लिए हब में Azure फ़ायरवॉल के साथ हब-एंड-स्पोक मॉडल का उपयोग करें।
  • न्यूनतम विशेषाधिकार का सिद्धांत: न्यूनतम विशेषाधिकार के साथ फ़ायरवॉल नियम बनाएं, केवल आवश्यक ट्रैफ़िक की अनुमति दें। डिफ़ॉल्ट रूप से सभी ट्रैफ़िक को ब्लॉक करें और जो भी आवश्यक हो उसे स्पष्ट रूप से अनुमति दें।
  • नियम प्राथमिकता: टकराव से बचने और यह सुनिश्चित करने के लिए कि वांछित नियम लागू हैं, प्रत्येक संग्रह के भीतर नियम प्रसंस्करण क्रम (NAT > नेटवर्क > एप्लिकेशन) और प्राथमिकता को समझें।
  • खतरे की खुफिया जानकारी सक्षम: ज्ञात दुर्भावनापूर्ण स्रोतों के खिलाफ स्वचालित सुरक्षा के लिए खतरे की खुफिया जानकारी को 'अलर्ट और अस्वीकार' मोड में सक्षम रखें।
  • एज़्योर फ़ायरवॉल प्रीमियम: ऐसे वातावरण के लिए जिन्हें उन्नत सुरक्षा की आवश्यकता होती है, आईडीपीएस और टीएलएस निरीक्षण जैसी सुविधाओं का लाभ उठाने के लिए प्रीमियम एसकेयू का उपयोग करें।
  • टीएलएस निरीक्षण: एन्क्रिप्टेड सत्रों में छिपे खतरों का पता लगाने के लिए आउटबाउंड ट्रैफ़िक के लिए टीएलएस निरीक्षण लागू करें, लेकिन प्रमाणपत्र प्रबंधन के लिए सावधानीपूर्वक योजना बनाएं।
  • निगरानी और ऑडिटिंग: निरंतर निगरानी, ​​​​सुरक्षा विश्लेषण और घटना प्रतिक्रिया के लिए Azure मॉनिटर और Azure सेंटिनल के साथ Azure फ़ायरवॉल लॉग को एकीकृत करें।
  • एज़्योर फ़ायरवॉल मैनेजर: एकाधिक फ़ायरवॉल और जटिल नीतियों वाले वातावरण के लिए, केंद्रीकृत, पदानुक्रमित नीति प्रबंधन के लिए एज़्योर फ़ायरवॉल मैनेजर का उपयोग करें।
  • दस्तावेज़ीकरण: अपने फ़ायरवॉल नियमों और प्रत्येक के लिए तर्क का स्पष्ट दस्तावेज़ीकरण बनाए रखें।

सामान्य समस्या निवारण

  • यातायात ब्लॉकअप्रत्याशित रूप से: लॉग एनालिटिक्स में Azure फ़ायरवॉल लॉग की जाँच करें। वे बताएंगे कि किस नियम (चाहे नेटवर्क, एप्लिकेशन, या ख़तरे की ख़ुफ़िया जानकारी) ने ट्रैफ़िक को अवरुद्ध किया है। नियम को आवश्यकतानुसार समायोजित करें.
  • धीमी कनेक्टिविटी: यदि आपका ट्रैफ़िक धीमा है, तो Azure मॉनिटर में फ़ायरवॉल CPU उपयोग की जाँच करें। हो सकता है कि फ़ायरवॉल अपनी प्रदर्शन सीमा तक पहुँच रहा हो। SKU को स्केल करने या नियमों को अनुकूलित करने पर विचार करें।
  • NAT नियम काम नहीं कर रहे: जांचें कि सार्वजनिक आईपी और गंतव्य और अनुवादित पोर्ट सही हैं। सुनिश्चित करें कि NAT नियम में स्रोत IP सही है (यदि प्रतिबंधित है)। एनएसजी के लिए लक्ष्य वीएम की जांच करें जो यातायात को अवरुद्ध कर सकता है।
  • टीएलएस निरीक्षण मुद्दे: सुनिश्चित करें कि रूट प्रमाणपत्र कुंजी वॉल्ट और फ़ायरवॉल नीति में सही ढंग से कॉन्फ़िगर किया गया है। सत्यापित करें कि ग्राहक टीएलएस निरीक्षण के लिए उपयोग किए गए रूट सीए पर भरोसा करते हैं।
  • आईडीपीएस हमलों का पता नहीं लगाता: जांचें कि आईडीपीएस अलर्ट और अस्वीकार मोड में है और प्रासंगिक हस्ताक्षर सक्षम हैं। सुनिश्चित करें कि ट्रैफ़िक वास्तव में फ़ायरवॉल से गुज़र रहा है।
  • गलत रूटिंग: अपने वीएम के सबनेट से जुड़ी रूट तालिका की जांच करें। सुनिश्चित करें कि डिफ़ॉल्ट मार्ग (0.0.0.0/0) Azure फ़ायरवॉल निजी IP को इंगित करता है।

निष्कर्ष

Azure में एक मजबूत नेटवर्क सुरक्षा स्थिति स्थापित करने के लिए Azure फ़ायरवॉल एक शक्तिशाली और आवश्यक उपकरण है। उन्नत ट्रैफ़िक फ़िल्टरिंग, ख़तरे की ख़ुफ़िया जानकारी, आईडीपीएस और टीएलएस निरीक्षण को लागू करके, संगठन अपने कार्यभार को साइबर खतरों की एक विस्तृत श्रृंखला से सुरक्षित रख सकते हैं। केंद्र में एज़्योर फ़ायरवॉल के साथ हब-एंड-स्पोक मॉडल को अपनाने के साथ-साथ सर्वोत्तम प्रथाओं और निरंतर निगरानी को लागू करने से यह सुनिश्चित होता है कि नेटवर्क ट्रैफ़िक का प्रभावी ढंग से निरीक्षण और नियंत्रण किया जाता है। इस व्यावहारिक मार्गदर्शिका के साथ, सुरक्षा पेशेवर Azure फ़ायरवॉल को कॉन्फ़िगर और प्रबंधित करने, नेटवर्क सुरक्षा को मजबूत करने और नवीनतम खतरों के खिलाफ अपने Azure वातावरण के लचीलेपन को मजबूत करने के लिए अच्छी तरह से सुसज्जित होंगे।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। एज़्योर फ़ायरवॉल क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/firewall/overview [2] माइक्रोसॉफ्ट लर्न। एज़्योर फ़ायरवॉल वास्तुशिल्प अवलोकन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/firewall/firewall-architecture [3] माइक्रोसॉफ्ट लर्न। एज़्योर फ़ायरवॉल प्रीमियम सुविधाएँ। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/firewall/premium-features [4] माइक्रोसॉफ्ट लर्न। एज़्योर फ़ायरवॉल खतरे की खुफिया जानकारी पर आधारित फ़िल्टरिंग। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/firewall/threat-intel