KUNGFU TECH

0
0
Lập trình
Harry Tran
Harry Tran106580903228332612117

Tạo và cấu hình Azure Firewall cho bảo mật mạng

Đăng vào 7 tháng trước

• 5 phút đọc

Chủ đề:

#webdev#programming#cloud#microsoft

Giới thiệu về Azure Firewall

Azure Firewall là một dịch vụ bảo mật mạng được quản lý hoàn toàn và phát triển trên đám mây của Microsoft, được thiết kế để bảo vệ các tài nguyên trong Azure Virtual Network bằng cách lọc lưu lượng cả vào và ra với tính khả dụng cao và khả năng mở rộng không giới hạn.

Dịch vụ này hoạt động như một firewall-as-a-service, theo dõi trạng thái của các kết nối mạng và đưa ra các quyết định bảo mật thông minh dựa trên ngữ cảnh đó. Azure Firewall kiểm tra lưu lượng giữa các máy chủ trong cùng một mạng (east-west traffic) và giữa các mạng hoặc từ/đến internet (north-south traffic), cung cấp bảo vệ mạng toàn diện.

Tính năng chính

  • Kiểm tra trạng thái: Theo dõi trạng thái kết nối để cho phép hoặc chặn lưu lượng một cách thông minh.
  • Tính khả dụng cao: Tự động có sẵn mà không cần triển khai cơ sở hạ tầng bổ sung.
  • Khả năng mở rộng đám mây: Tự động mở rộng để xử lý khối lượng công việc và lưu lượng thay đổi mà không cần can thiệp thủ công.
  • Lọc ứng dụng và mạng: Hỗ trợ lọc dựa trên tên miền đầy đủ (FQDNs), địa chỉ IP, giao thức và cổng.
  • Tích hợp thông tin về mối đe dọa: Luôn cập nhật với thông tin về mối đe dọa từ Microsoft để chặn lưu lượng từ các IP và tên miền độc hại đã biết.
  • Khả năng nâng cao với Premium SKU: Bao gồm các tính năng như kiểm tra TLS, Hệ thống phát hiện và phòng ngừa xâm nhập (IDPS) để phát hiện malware dựa trên chữ ký, lọc URL và lọc theo danh mục web.
  • Ghi chép và giám sát: Tích hợp liền mạch với Azure Monitor để ghi lại, chẩn đoán và phân tích bảo mật.

So sánh với các công cụ bảo mật Azure khác

Azure Firewall bổ sung cho Network Security Groups (NSGs) bằng cách cung cấp mức độ bảo vệ mạng và ứng dụng cao hơn, trong khi NSGs cung cấp kiểm soát phân tán ở cấp độ subnet. Nó cũng khác với Azure Web Application Firewall (WAF), tập trung bảo vệ các ứng dụng web khỏi các cuộc tấn công Layer 7.

Tình huống sử dụng thực tế

Trong một kịch bản mà một tổ chức cần bảo mật mạng tập trung cho mạng ảo ứng dụng, khi việc sử dụng ứng dụng tăng lên, việc lọc ứng dụng ở mức độ chi tiết hơn và bảo vệ mối đe dọa nâng cao sẽ trở nên cần thiết. Dưới đây là yêu cầu bảo vệ cho các mạng ảo vào ra:

  • Azure Firewall là cần thiết cho bảo mật bổ sung trong app-vnet.
  • Cần cấu hình một chính sách firewall để quản lý quyền truy cập vào ứng dụng.
  • Một quy tắc ứng dụng trong chính sách firewall là cần thiết. Quy tắc này sẽ cho phép ứng dụng truy cập Azure DevOps để cập nhật mã ứng dụng.
  • Một quy tắc mạng trong chính sách firewall là cần thiết. Quy tắc này sẽ cho phép phân giải DNS.

Các bước thực hiện

Để hoàn thành điều này, chúng ta cần thực hiện các bước sau:

  1. Tạo một Azure Firewall.
  2. Tạo và cấu hình một chính sách firewall.
  3. Tạo một bộ quy tắc ứng dụng.
  4. Tạo một bộ quy tắc mạng.

Tạo subnet cho Azure Firewall trong mạng ảo hiện tại

  1. Trong ô tìm kiếm ở đầu cổng thông tin, nhập Mạng ảo. Chọn Mạng ảo trong kết quả tìm kiếm.
  2. Chọn app-vnet.
  3. Chọn Subnet.
  4. Chọn + Subnet.
  5. Nhập thông tin sau và chọn Lưu:
    • Tên: AzureFirewallSubnet
    • Dải địa chỉ: 10.1.63.0/26

Lưu ý: Để tất cả các cài đặt khác mặc định.

Tạo một Azure Firewall

  1. Trong ô tìm kiếm ở đầu cổng thông tin, nhập Firewall. Chọn Firewall trong kết quả tìm kiếm.
  2. Chọn + Tạo.
  3. Tạo một firewall bằng cách sử dụng các giá trị trong bảng sau. Đối với bất kỳ thuộc tính nào không được chỉ định, hãy sử dụng giá trị mặc định:
    • Nhóm tài nguyên: RG1
    • Tên: app-vnet-firewall
    • SKU Firewall: Standard
    • Quản lý Firewall: Sử dụng chính sách Firewall để quản lý firewall này
    • Chính sách Firewall: chọn Thêm mới
    • Tên chính sách: fw-policy
    • Khu vực: East US
    • Cấp độ chính sách: Standard
    • Chọn một mạng ảo: Sử dụng có sẵn
    • Mạng ảo: app-vnet (RG1)
    • Địa chỉ IP công cộng: Thêm mới: fwpip
    • Bỏ chọn Bật NIC Quản lý Firewall.
  4. Chọn Xem + Tạo.
  5. Chọn Tạo.

Cập nhật chính sách Firewall

  1. Trong cổng thông tin, tìm kiếm và chọn Chính sách Firewall.
  2. Chọn fw-policy.

Thêm quy tắc ứng dụng

  1. Trong phần Quy tắc, chọn Quy tắc ứng dụng và sau đó Thêm bộ quy tắc.
  2. Tạo một quy tắc ứng dụng bằng cách sử dụng các giá trị trong bảng sau. Đối với bất kỳ thuộc tính nào không được chỉ định, hãy sử dụng giá trị mặc định và nhấn Thêm:
    • Tên: app-vnet-fw-rule-collection
    • Loại bộ quy tắc: Ứng dụng
    • Độ ưu tiên: 200
    • Hành động bộ quy tắc: Cho phép
    • Nhóm bộ quy tắc: DefaultApplicationRuleCollectionGroup
    • Tên: AllowAzurePipelines
    • Loại nguồn: Địa chỉ IP
    • Nguồn: 10.1.0.0/23
    • Giao thức: https
    • Loại đích: FQDN
    • Đích: dev.azure.com, azure.microsoft.com

Lưu ý: Quy tắc AllowAzurePipelines cho phép ứng dụng web truy cập Azure Pipelines.

Thêm quy tắc mạng

  1. Trong phần Cài đặt, chọn Quy tắc mạng và sau đó Thêm bộ quy tắc mạng.
  2. Cấu hình quy tắc mạng và sau đó chọn Thêm:
    • Tên: app-vnet-fw-nrc-dns
    • Loại bộ quy tắc: Mạng
    • Độ ưu tiên: 200
    • Hành động bộ quy tắc: Cho phép
    • Nhóm bộ quy tắc: DefaultNetworkRuleCollectionGroup
    • Quy tắc: AllowDns
    • Nguồn: 10.1.0.0/23
    • Giao thức: UDP
    • Cổng đích: 53
    • Địa chỉ đích: 1.1.1.1, 1.0.0.1

Kiểm tra trạng thái firewall và chính sách firewall

  1. Trong cổng thông tin, tìm kiếm và chọn Firewall.
  2. Xem app-vnet-firewall và đảm bảo trạng thái cung cấp là Succeeded. Điều này có thể mất vài phút.
  3. Trong cổng thông tin, tìm kiếm và chọn Chính sách Firewall.
  4. Xem fw-policy và đảm bảo trạng thái cung cấp là Succeeded. Điều này cũng có thể mất vài phút.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào