创建并配置 Azure Firewall

Source: Dev.to

概述

Azure 防火墙是 Microsoft Azure 中的基于云的网络安全服务，通过过滤和控制 Azure 资源与互联网或其他网络之间的流量来保护虚拟网络资源。

场景

贵组织需要对应用程序虚拟网络进行集中式网络安全管理。随着使用量的增长，您将需要：

• 细粒度的应用层过滤
• 高级威胁防护
• 来自 Azure DevOps 流水线的持续更新

已确定的需求：

• 在 app‑vnet 中使用 Azure 防火墙以增强安全性。
• 使用防火墙策略来管理对应用程序的访问。
• 创建应用规则集合，以允许应用程序访问 Azure DevOps 进行代码更新。
• 创建网络规则集合，以允许 DNS 解析。

技能任务

• 创建 Azure 防火墙。
• 创建并配置防火墙策略。
• 创建应用规则集合。
• 创建网络规则集合。

步骤说明

1. 在现有虚拟网络中创建 Azure 防火墙子网

1. 在 Azure 门户的搜索框中输入 Virtual networks 并选择它。
2. 选择 app‑vnet。
3. 打开 Subnets。
4. 点击 + Subnet，命名（例如 AzureFirewallSubnet），并进行配置。
5. 保存更改。

注意： 其他所有设置保持默认。

2. 部署 Azure 防火墙

1. 在门户搜索框中输入 Firewall 并选择它。
2. 点击 + Create。
3. 按照部署指南提供的值填写（资源组、名称、区域、虚拟网络、子网等）。
4. 选择 Review + create，然后 Create。

3. 更新防火墙策略

1. 搜索并选择 Firewall Policies。
2. 打开名为 fw‑policy（或您创建的策略）的策略。

4. 添加应用规则集合

1. 在策略的 Rules 刀片中，选择 Application rules → Add a rule collection。
2. 配置集合（例如名称 AllowAzurePipelines、优先级、操作 = Allow）。
3. 添加名为 AllowAzurePipelines 的规则，允许访问 Azure DevOps 服务（例如 dev.azure.com、*.visualstudio.com）。
4. 保存集合。

此规则使 Web 应用能够访问 Azure Pipelines 和 Azure DevOps 服务。

5. 添加网络规则集合

1. 在策略的 Rules 刀片中，选择 Network rules → Add a network collection。
2. 配置集合（例如名称 AllowDNS、优先级、操作 = Allow）。
3. 添加一条规则，允许 DNS 流量（通常是 UDP/TCP 53 端口指向您的 DNS 服务器或 *.azure-dns.com）。
4. 保存集合。