部署和配置Azure Firewall

Azure 防火牆是託管的基於雲的網絡安全服務，可保護 Azure 虛擬網絡資源。 它是一個服務形式的徹底有狀態防火牆，具備內置的高可用性和不受限制的雲可伸縮性。

使用Azure Firewall能夠跨訂閱和虛擬網絡集中建立、實施和記錄應用程序與網絡鏈接策略。 Azure 防火牆對虛擬網絡資源使用靜態公共 IP 地址，使外部防火牆可以識別來自你的虛擬網絡的流量。 該服務與用於日誌記錄和分析的 Azure Monitor 徹底集成

Azure防火牆提供Microsoft描述的如下功能：

• 內置高可用性：無需額外的負載平衡器
• 受限制的雲可伸縮性：Azure防火牆能夠根據須要進行擴展
• 應用程序FQDN過濾規則：您能夠限制出站Web流量
• 網絡流量過濾規則：您能夠按源和目標IP地址，端口和協議容許或拒絕網絡過濾規則
• FQDN標記：您能夠輕鬆使用標記來容許或拒絕流量
• 出站SNAT支持：出站IP地址轉換爲Azure防火牆公共IP
• 入站DNAT支持：防火牆公共IP地址的入站流量轉換爲內部IP地址。
• Azure Monitor日誌記錄：全部事件都與Azure Monitor集成

在本文中，咱們將探討如下步驟：

1. 建立資源組
2. 建立一個vNet
3. 建立3個子網
4. 建立2個虛擬機
5. 部署防火牆
6. 配置默認路由
7. 建立應用程序規則
8. 測試防火牆

如下是該架構的概述：

建立資源組
首先咱們須要建立一個資源組，此資源組用來承載本次實驗的全部資源。打開Azure Portal,而後點擊「資源組」—「新建資源組」
訂閱：選擇咱們使用的Azure訂閱
資源組名稱：輸入須要使用的資源組名稱
區域：選擇資源的建立位置
而後點擊建立：

建立虛擬網絡
咱們須要建立一個包含三個子網的虛擬網絡，具體以下：

• 名稱：鍵入此虛擬網絡的友好名稱
• 地址空間：輸入所需的地址空間
• 訂閱：選擇您的Azure訂閱
• 資源組：選擇咱們以前建立的RG
• 位置：選擇資源所在的位置
• 子網：此步驟很是重要，由於您必須使用名爲「AzureFirewallSubnet」的固定名稱。
  
  建立完虛擬網絡後咱們還須要建立第二個子網（SRV-VNet 10.1.2.0/24）和第三個子網（Jump 10.1.3.0/24）,建立完成後以下圖所示：
  
  建立虛擬機
  在前面的步驟中咱們建立了一個包含三個子網的資源組和虛擬網絡。如今，咱們須要建立兩個虛擬機。第一個是將用於鏈接到第二個虛擬機的Jump服務器。Jump機器稱爲「JUMP01」
  使用Azure嚮導建立虛擬機：
  
  在「網絡」區域中，選擇「Jump-VNet」並建立新的「公共IP地址」，以便從Internet訪問Jump服務器。另外咱們須要容許RDP協議：
  
  使用同上述步驟相同的步驟建立虛擬機16SRV01:
  
  此虛擬機必須位於「SRV-VNet」子網中,咱們無需打開任何公共入站端口。
  
  部署Azure Firewall
  下面咱們須要開始部署Azure Firewall。在Azure Portal中點擊「全部服務」，搜索「Firewalls」:
  
  點擊「添加「來建立咱們所需的Aazure Firewall並輸入以下信息:
• 選擇您的Azure訂閱
• 選擇之前建立的資源組
• 輸入防火牆的友好名稱
• 選擇之前建立的虛擬網絡
• 而且不要忘記建立公共IP地址
  
  建立完成後以下圖所示，咱們須要記錄下此防火牆的專用IP以便於後續配置的使用：
  

建立路由表
在Azure Portal中搜索「路由表「：

建立一個名爲「Go-To-Firewall」的新路由表。此路由表將包含服務器將選擇路由流量的默認路由

建立路由表後，必須將服務器子網關聯到此路由表。轉到「 子網 」部分，而後單擊「 關聯 」

選擇「虛擬網絡「和」子網「：

配置完成後以下圖所示：

如今，咱們必須向虛擬設備添加默認路由。轉到「 路線 」部分，而後單擊「 添加 」:

輸入如下信息：

• 路由名稱：它是默認路由的友好名稱
• 地址前綴：要指示默認路由，必須輸入0.0.0.0/0
• 下一跳類型：選擇「虛擬設備」
• 下一跳地址：輸入先前複製的專用IP地址
  
  配置完成後以下圖所示：
  
  建立應用程序規則集合
  防火牆已部署，所以咱們能夠添加應用程序規則以過濾出站Web流量。轉到「 規則 」部分，而後單擊「 添加應用程序規則集合 」：
  
  輸入此規則的友好名稱，而後設置優先級並選擇操做（容許或拒絕）。接下來，您必須指明源地址，協議和目標FQDN。
  在個人狀況下，我想容許從16SRV01虛擬機到www.mspcloud.club的網絡流量。
  
  要解析FQDN，計算機必須可以聯繫DNS服務器。在本文中，我建立了一個網絡規則，容許從服務器子網到OpenDNS服務器的DNS請求。
  
  測試防火牆
  首先，咱們須要從公共IP地址鏈接到Jump服務器，而後，我能夠啓動一個新的MSTSC窗口，使用私有IP地址鏈接到SRV01機器。
  最後一步是檢查先前在Azure防火牆中建立的應用程序規則。我只須要打開一個Web瀏覽器並輸入網站URL。
  在個人狀況下，我能夠確認個人博客正在回覆，但若是嘗試瀏覽Google，則會顯示錯誤消息。我應該建立一個容許www.google.com的應用程序規則。
  藉助Azure防火牆，您能夠很是輕鬆快速地保護Azure資源。您還可使用Azure PowerShell自動執行任務。Azure防火牆容許您建立應用程序規則和網絡規則來控制入站和出站網絡流量。