Crear un servidor de seguridad en AzureRM via PowerShell azul

Objetivo

Crear un firewall Palo Alto redes Next-Generation con 4 interfaces (gestión, untrust, trust, DMZ) usando PowerShell de Azure. Asegúrese de instalar commandlets PowerShell de Azure. Instalarlos usando Microsoft Web Platform Installer es un enfoque fácil y el siguienteenlace de procedimientopuede ayudar a más.   

Procedimiento

Paso 1: Crear el grupo de recursos

• Entrar a Azure utilizando sus credenciales - "Inicio de sesión-AzureRmAccount".  Un exitoso inicio de sesión mostrará información de cuenta.

• Definir la variable de Ubicación: $Location = ' East US '
• Crear grupo de recursos: nuevo-AzureRmResourceGroup-ResourceGroupName "stumuluri-RG"-Ubicación $Location
• $RG = "stumuluri-RG"

Paso 2: configurarNgrupo de seguridad etwork (NSG)  

 Azure NSG controla el tráfico entrante y saliente para las VMs y la interfaz asignadas. En el ejemplo siguiente, estoy permitiendo todo de entrada. No se recomienda para servidores de seguridad de producción. Se recomienda limitar a puertos necesarios. Además, es muy recomendable para utilizar diferentes NSGs para mgmt, untrust y común Grupo de confianza y otras zonas internas. En el siguiente ejemplo es ideal para zonas de interiores donde todo el tráfico se enruta a lo firewall y no tiene Internet acceso.

• Creando ACL para NSG: $nsgrule = New-AzureRmNetworkSecurityRuleConfig-name "entrada-prueba"-dirección entrante-Protocol *-SourcePortRange *-SourceAddressPrefix *-DestinationPortRange *-DestinationAddressPrefix *-Priority "100"-Access allow -Descripción "allow_all"
• Crear NSG: $NSG = New-AzureRmNetworkSecurityGroup-ResourceGroupName $RG-ubicación $Location-name "allow_all_nsg"-SecurityRules $nsgrule

Paso 3: Configurar la información de la infraestructura de red

Configuración de información de la red incluye la creación de subredes de la red, interfaces, IP pública que pueden asignarse a firewall más adelante en el proceso de

• Crear subredes:
  • $mgmtconfig = nueva-AzureRmVirtualNetworkSubnetConfig-el nombre "10.55.0.0/24" "stumuluri-mgmt" - AddressPrefix - NetworkSecurityGroup $nsg
  • $untrustconfig = AzureRmVirtualNetworkSubnetConfig nuevo-nombre "stumuluri-untrust" - AddressPrefix "10.55.1.0/24" - NetworkSecurityGroup $nsg
  • $trustconfig = nueva-AzureRmVirtualNetworkSubnetConfig-el nombre "10.55.2.0/24" "stumuluri-confianza" - AddressPrefix - NetworkSecurityGroup $nsg
  • $dmzconfig = nueva-AzureRmVirtualNetworkSubnetConfig-el nombre "10.55.3.0/24" "stumuluri-dmz" - AddressPrefix - NetworkSecurityGroup $nsg
• Crear Red Virtual (VNet):
  • $vnetname = 'stumuluri-virtN'
  • $vnet = New AzureRmVirtualNetwork-«stumuluri-virtN» - ResourceGroupName $rg el nombre-ubicación $location - AddressPrefix 10.55.0.0/16-subred $mgmtconfig, $untrustconfig, $trustconfig, $dmzconfig
• Obtener IPs públicas:
  • $mpip = nueva-AzureRmPublicIpAddress - ResourceGroupName $rg-ubicación $location - AllocationMethod estática - nombre 'mymgmtip' - DomainNameLabel 'stumuluri-admin'
  • $upip = nueva-AzureRmPublicIpAddress - ResourceGroupName $rg-ubicación $location - AllocationMethod estática - nombre 'myuntrustip' - DomainNameLabel 'stumuluri-mgmt2'
• Crear interfaces: crear interfaces de red y asignar una subredes requiere conocer el identificador de subred proporcionado para la subred dentro de VNet. Para conseguir esto Haz id ver la información que se asigna a $vnet en paso anterior
  • $vnet (inicio de ID de la subred de 0)
  • $mgmt_nic = nueva-AzureRmNetworkInterface - ResourceGroupName $rg-ubicación $location-nombre de 'stumuluri-fw-mgmt' - SubnetId $vnet. Subredes [0]. ID - PublicIpAddressId $mpip. ID - PrivateIpAddress 10.55.0.4 - EnableIPForwarding
  • $untrust_nic = nueva-AzureRmNetworkInterface - ResourceGroupName $rg-ubicación $location-nombre de 'stumuluri-fw-untrust' - SubnetId $vnet. Subredes [1]. ID - PublicIpAddressId $upip. ID - PrivateIpAddress 10.55.1.4 - EnableIPForwarding
  • $trust_nic = nueva-AzureRmNetworkInterface - ResourceGroupName $rg-ubicación $location-nombre de 'stumuluri-fw-trust' - SubnetId $vnet. [2] las subredes. ID - PrivateIpAddress 10.55.2.4 - EnableIPForwarding
  • $dmz_nic = nueva-AzureRmNetworkInterface - ResourceGroupName $rg-ubicación $location-nombre de 'stumuluri-fw-dmz' - SubnetId $vnet. [3] las subredes. ID - PrivateIpAddress 10.55.3.4 - EnableIPForwarding

Paso 4: Construir PANW NSG-FW

• Propiedades de PAN-OS: ejecuta los siguientes comandos para definir la versión de pan os
  • $publisher = 'paloaltonetworks'
  • $offer = 'vmseries1'
  • $SKU = ' BYOL ' (puede ser BYOL o bundle1 o bundle2; Referencia 1 ; Referencia 2 ; Guía de administración)
  • $version = 'último' (puede ser las versiones 8.0.0. 7.1.1 o más reciente)
  • $size = ' Standard_D3_v2 ' (consulte la sección "requisitos mínimos del sistema para la VM-series en Azure" para diferentes tamaños en la Guía de administración)
• Obtener credenciales: alternativamente, puede usuario nuevo-objeto para escribir directamente contraseña al comando o clave pública
  • $cred = get-Credential
  • $sshkey = ' < clave pública '
  • $username = 'stumuluri'
•  Definir VM: $FVM = New-AzureRmVMConfig-VMName ' stumuluri-NSG-FW '-VMSize $size
• Cuenta de almacenamiento: SKU para cuentas de almacenamiento de información tiene varias variaciones y se puede encontrar aquí
  • $saccount = nueva-AzureRmStorageAccount - StorageAccountName 'stumulurist'-ubicación $location - ResourceGroupName $rg - SkuName Standard_LRS
• Información del sistema operativo: $FVM = Set-AzureRmVMOperatingSystem-VM $FVM-Linux-NombreDeEquipo ' stumuluri-FW '-credencial $CRED
• Asignar PAN-OS a VM: $FVM = Set-AzureRmVMSourceImage-VM $FVM-PublisherName $Publisher-oferta $offer-SKU $SKU-versión $version
• Almacenamiento: $FVM = Set-AzureRmVMOSDisk-VM $FVM-name ' panosdisk '-DiskSizeInGB 60-CreateOption FromImage-CaChing ReadWrite-StorageAccountType StandardLRS-Linux 
• Precios: $FVM = Set-AzureRmVMPlan-VM $FVM-Publisher $Publisher-Name $SKU-producto $offer
• Interfaces:
  • $fvm = agregar-AzureRmVMNetworkInterface - VM $fvm-Id $mgmt_nic. ID-primaria
  • $fvm = agregar-AzureRmVMNetworkInterface - VM $fvm-Id $untrust_nic. ID
  • $fvm = agregar-AzureRmVMNetworkInterface - VM $fvm-Id $dmz_nic. ID
  • $fvm = agregar-AzureRmVMNetworkInterface - VM $fvm-Id $trust_nic. ID
• Inicializar VM: New-AzureRmVM-ResourceGroupName $RG-ubicación $Location-VM $FVM

Paso 5: Configurar enrutamiento estableciendo PANW-FW en la confianza y DMZ

• Agregando rutas predeterminadas:
  • $troute = nuevo-AzureRmRouteConfig -Name default-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.2.4
  • $droute = nuevo-AzureRmRouteConfig -Name default-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.3.4
  • $uroute = nuevo-AzureRmRouteConfig -Name default-AddressPrefix 0.0.0.0/0-NextHopType Internet
• Creación de tabla de enrutamiento: 
  •  $trustroutingtable = New-AzureRmRouteTable-ResourceGroupName $RG-ubicación $Location-nombre "stumuluri-Trust"-ruta $troute
  • $dmzroutingtable = New-AzureRmRouteTable-ResourceGroupName $RG-localización $Location-nombre "stumuluri-DMZ" -ruta $droute
  • $untrustroutingtable = New-AzureRmRouteTable-ResourceGroupName $RG-ubicación $Location-nombre "stumuluri-Untrust" -ruta $uroute
• Actualización de subredes con la tabla de enrutamiento:
  • $dmsub = $vnet. Subredes [3]
  • $vnet = set-AzureRmVirtualNetworkSubnetConfig - VirtualNetwork $vnet-nombre de $dmsub. Nombre - AddressPrefix $dmsub. AddressPrefix - NetworkSecurityGroup $dmsub.NetworkSecurityGroup - métrica $dmzroutingtable
  • $trust = $vnet. Subredes [2]
  •  $vnet = set-AzureRmVirtualNetworkSubnetConfig - VirtualNetwork $vnet-nombre de $trust. Nombre - AddressPrefix $trust. AddressPrefix - NetworkSecurityGroup $trust.NetworkSecurityGroup - métrica $trustroutingtable
  • $unsub = $vnet. Subredes [1]
  • $vnet == set-AzureRmVirtualNetworkSubnetConfig - VirtualNetwork $vnet-nombre de $unsub. Nombre - AddressPrefix $unsub. AddressPrefix - NetworkSecurityGroup $unsub.NetworkSecurityGroup - métrica $untrustroutingtable
• Update VNET: $Vnet = Set-AzureRmVirtualNetwork-VirtualNetwork $Vnet 

Paso 6: Iniciar sesión en Firewall y la configuración de config de firewall

Puede configurar el firewall para obtener la IP mediante DHCP o utilizar IP estática.  Como nos estáticamente IP asignada del lado azul para interfaz, seguirá siendo el mismo.