部署和配置Azure Firewall

Azure 防火墙是托管的基于云的网络安全服务，可保护 Azure 虚拟网络资源。 它是一个服务形式的彻底有状态防火墙，具备内置的高可用性和不受限制的云可伸缩性。

使用Azure Firewall能够跨订阅和虚拟网络集中建立、实施和记录应用程序与网络链接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址，使外部防火墙可以识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 彻底集成

Azure防火墙提供Microsoft描述的如下功能：

• 内置高可用性：无需额外的负载平衡器
• 受限制的云可伸缩性：Azure防火墙能够根据须要进行扩展
• 应用程序FQDN过滤规则：您能够限制出站Web流量
• 网络流量过滤规则：您能够按源和目标IP地址，端口和协议容许或拒绝网络过滤规则
• FQDN标记：您能够轻松使用标记来容许或拒绝流量
• 出站SNAT支持：出站IP地址转换为Azure防火墙公共IP
• 入站DNAT支持：防火墙公共IP地址的入站流量转换为内部IP地址。
• Azure Monitor日志记录：全部事件都与Azure Monitor集成

在本文中，咱们将探讨如下步骤：

1. 建立资源组
2. 建立一个vNet
3. 建立3个子网
4. 建立2个虚拟机
5. 部署防火墙
6. 配置默认路由
7. 建立应用程序规则
8. 测试防火墙

如下是该架构的概述：

建立资源组
首先咱们须要建立一个资源组，此资源组用来承载本次实验的全部资源。打开Azure Portal,而后点击“资源组”—“新建资源组”
订阅：选择咱们使用的Azure订阅
资源组名称：输入须要使用的资源组名称
区域：选择资源的建立位置
而后点击建立：

建立虚拟网络
咱们须要建立一个包含三个子网的虚拟网络，具体以下：

• 名称：键入此虚拟网络的友好名称
• 地址空间：输入所需的地址空间
• 订阅：选择您的Azure订阅
• 资源组：选择咱们以前建立的RG
• 位置：选择资源所在的位置
• 子网：此步骤很是重要，由于您必须使用名为“AzureFirewallSubnet”的固定名称。
  
  建立完虚拟网络后咱们还须要建立第二个子网（SRV-VNet 10.1.2.0/24）和第三个子网（Jump 10.1.3.0/24）,建立完成后以下图所示：
  
  建立虚拟机
  在前面的步骤中咱们建立了一个包含三个子网的资源组和虚拟网络。如今，咱们须要建立两个虚拟机。第一个是将用于链接到第二个虚拟机的Jump服务器。Jump机器称为“JUMP01”
  使用Azure向导建立虚拟机：
  
  在“网络”区域中，选择“Jump-VNet”并建立新的“公共IP地址”，以便从Internet访问Jump服务器。另外咱们须要容许RDP协议：
  
  使用同上述步骤相同的步骤建立虚拟机16SRV01:
  
  此虚拟机必须位于“SRV-VNet”子网中,咱们无需打开任何公共入站端口。
  
  部署Azure Firewall
  下面咱们须要开始部署Azure Firewall。在Azure Portal中点击“全部服务”，搜索“Firewalls”:
  
  点击“添加“来建立咱们所需的Aazure Firewall并输入以下信息:
• 选择您的Azure订阅
• 选择之前建立的资源组
• 输入防火墙的友好名称
• 选择之前建立的虚拟网络
• 而且不要忘记建立公共IP地址
  
  建立完成后以下图所示，咱们须要记录下此防火墙的专用IP以便于后续配置的使用：
  

建立路由表
在Azure Portal中搜索“路由表“：

建立一个名为“Go-To-Firewall”的新路由表。此路由表将包含服务器将选择路由流量的默认路由

建立路由表后，必须将服务器子网关联到此路由表。转到“ 子网 ”部分，而后单击“ 关联 ”

选择“虚拟网络“和”子网“：

配置完成后以下图所示：

如今，咱们必须向虚拟设备添加默认路由。转到“ 路线 ”部分，而后单击“ 添加 ”:

输入如下信息：

• 路由名称：它是默认路由的友好名称
• 地址前缀：要指示默认路由，必须输入0.0.0.0/0
• 下一跳类型：选择“虚拟设备”
• 下一跳地址：输入先前复制的专用IP地址
  
  配置完成后以下图所示：
  
  建立应用程序规则集合
  防火墙已部署，所以咱们能够添加应用程序规则以过滤出站Web流量。转到“ 规则 ”部分，而后单击“ 添加应用程序规则集合 ”：
  
  输入此规则的友好名称，而后设置优先级并选择操做（容许或拒绝）。接下来，您必须指明源地址，协议和目标FQDN。
  在个人状况下，我想容许从16SRV01虚拟机到www.mspcloud.club的网络流量。
  
  要解析FQDN，计算机必须可以联系DNS服务器。在本文中，我建立了一个网络规则，容许从服务器子网到OpenDNS服务器的DNS请求。
  
  测试防火墙
  首先，咱们须要从公共IP地址链接到Jump服务器，而后，我能够启动一个新的MSTSC窗口，使用私有IP地址链接到SRV01机器。
  最后一步是检查先前在Azure防火墙中建立的应用程序规则。我只须要打开一个Web浏览器并输入网站URL。
  在个人状况下，我能够确认个人博客正在回复，但若是尝试浏览Google，则会显示错误消息。我应该建立一个容许www.google.com的应用程序规则。
  借助Azure防火墙，您能够很是轻松快速地保护Azure资源。您还可使用Azure PowerShell自动执行任务。Azure防火墙容许您建立应用程序规则和网络规则来控制入站和出站网络流量。