文章目录

• 什么是Azure防火墙
• 如何部署和配置
• • 创建虚拟网络
  • 创建虚拟机
  • 创建防火墙
  • 创建路由表，关联子网、路由
  • 配置防火墙策略
  • • 配置应用程序规则
    • 配置网络规则
    • 配置 DNAT 规则
  • 更改 Srv-Work 网络接口的主要和辅助 DNS 地址
  • 测试防火墙

什么是Azure防火墙

Azure防火墙是一种用于保护Azure虚拟网络的网络安全服务。它是在Azure虚拟网络边界处部署的一种网络安全控制系统，具有高级威胁智能检测和应用程序级安全功能。

Azure防火墙的架构如下：

1. Firewallsubnet（防火墙子网）：防火墙子网是Azure虚拟网络中用于部署防火墙资源的特定子网。它是虚拟网络的一部分，这样可以轻松将防火墙与其他网络资源进行联接。

2. WorkloadSN（工作负载子网）：工作负载子网是Azure虚拟网络中包含需要进行防火墙检查的网络资源的子网。它与防火墙子网之间通过网络安全组进行联通，以实现防火墙流量检查的目的。

Azure防火墙可以实现以下功能：

1. 网络安全规则：防火墙可以根据源IP地址、目标IP地址、端口和协议等参数，对网络流量进行识别和控制。通过防火墙规则，可以限制或允许特定的网络流量。

2. 应用程序级安全：防火墙可以针对特定的应用程序进行流量检测和过滤。它可以检测并阻止恶意软件、病毒和其他安全威胁的传播。

3. 威胁智能检测：防火墙具有高级的威胁智能检测能力，可以识别和防止各种网络威胁，如恶意软件、高级持续性威胁（APT）和分布式拒绝服务（DDoS）攻击等。
   

参考文档：
https://learn.microsoft.com/zh-cn/azure/firewall/overview
https://learn.microsoft.com/zh-cn/azure/firewall/tutorial-firewall-deploy-portal-policy

如何部署和配置

创建虚拟网络

1. 创建虚拟网络，并按照文档的提示: 部署文档 ，分别键入子网 10.0.1.0/26 ，10.0.2.0/24作为子网的范围,注意子网名称分别为AzureFirewallSubnet，Workload-SN,完成好的如下图：
   

创建虚拟机

1. 创建windows 2019虚拟机，注意公用入站端口和公共 IP都选择无

创建防火墙

1. 找到防火墙，并创建，虚拟网络选择刚刚创建的TEST,并创建
   

创建路由表，关联子网、路由

1. 搜索路由表，创建，并填入如下信息

2. 点击子网，关联虚拟网络到子网
   
3. 点击路由，添加路由地址
   
   

配置防火墙策略

配置应用程序规则

1. 到资源中找到刚刚创建的防火墙对应的策略，选择“应用程序规则”，选择“添加规则集合”，添加规则集合，其中源为Workload-SN的地址，如下图
   

配置网络规则

1. 继续上一步添加网络规则，选择“网络规则”，选择“添加规则集合”，填入信息如下，其中目标信息填入209.244.0.3,209.244.0.4
   

配置 DNAT 规则

1. 继续上一步，选择“DNAT 规则”，选择“添加规则集合”，填入信息如下

防火墙的公共IP如下：

虚拟机的专用IP如下：

更改 Srv-Work 网络接口的主要和辅助 DNS 地址

1. 选择刚刚创建的网络接口。
2. 在“设置”下，选择“DNS 服务器”。
3. 在“DNS 服务器”下，选择“自定义”。
4. 在“添加 DNS 服务器”文本框中输入“209.244.0.3”，
5. 在下一个文本框中输入“209.244.0.4”。选择“保存”。
6. 重启 Srv-Work 虚拟机。

测试防火墙

1. 使用RDP连接工具，使用防火墙公共IP地址进行连接
   
2. 连接后，关闭Security Configuration选项，方便稍后测试
   
3. 打开网页进行测试，如果访问csdn，则无法访问，访问刚刚应用程序规则允许的百度网址，则可以访问。