紺碧の PowerShell を介して AzureRM にファイアウォールを作成します。
15570
Created On 09/25/18 15:12 PM - Last Modified 02/08/19 00:08 AM
Resolution
目的
4 インターフェイスとパロアルト ネットワーク次世代ファイアウォールを作成 (管理、untrust、信頼、DMZ) Azure PowerShell を使用します。Azure PowerShell commandlets がインストールされていることを確認します。Microsoft Web プラットフォームインストーラーを使用してインストールするのは簡単な方法で、次の手順のリンクをクリックするとさらに役立ちます。
プロシージャ
手順 1: リソース グループを作成します。
- Azure"ログイン-AzureRmAccount"- あなたの資格情報を使用してログインします。 成功したログイン アカウント情報が表示されます。
- 位置変数の設定: $location = ' 東アメリカ '
- リソースグループの作成:新しい-AzureRmResourceGroup-ResourceGroupName "stumuluri"-場所 $location
- $rg = "stumuluri-rg"
ステップ 2:Nネットワークセキュリティグループ(NSG) を設定する
Azure NSG は、割り当てられた vm とインターフェイスに対する受信トラフィックと発信交通を制御します。次の例では、すべての受信を認めます。生産ファイアウォールのそれはお勧めしません。必要なポートに制限することを強くお勧めします。また、それが高く、untrust mgmt の異なる NSGs を使用する推奨される共通の信頼および他の内部ゾーンの NSG。次の例は、すべてのトラフィックがファイアウォールにルーティングされ、インター ネット アクセスを持たない内部ゾーンに適しています。
- NSG の ACL の作成: $nsgrule = AzureRmNetworkSecurityRuleConfig-名前 "受信テスト"-方向の受信プロトコル *-SourcePortRange *-SourceAddressPrefix *-DestinationPortRange *-DestinationAddressPrefix *-優先度 "100"-アクセス許可-概要 "allow_all"
- NSG の作成: $nsg = New-AzureRmNetworkSecurityGroup-ResourceGroupName $rg-ロケーション $location-名前 "allow_all_nsg"-SecurityRules $nsgrule
手順 3: ネットワーク インフラストラクチャ情報を設定します。
プロセスの後半でファイアウォールに割り当てることができるパブリック IP のインターフェイス、ネットワーク サブネットを作成する含まれていますネットワーク情報の設定
- サブネットを作成します。
- $mgmtconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-管理」AddressPrefix「10.55.0.0/24」の名前 - NetworkSecurityGroup $nsg
- $untrustconfig = New AzureRmVirtualNetworkSubnetConfig-名前"stumuluri-untrust"- AddressPrefix「10.55.1.0/24」- NetworkSecurityGroup $nsg
- $trustconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-信頼」AddressPrefix「10.55.2.0/24」の名前 - NetworkSecurityGroup $nsg
- $dmzconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-非武装地帯」AddressPrefix「10.55.3.0/24」の名前 - NetworkSecurityGroup $nsg
- 仮想ネットワーク (VNet) を作成します。
- $vnetname = ' stumuluri-virtN'
- $vnet = New AzureRmVirtualNetwork-' stumuluri-virtN'ResourceGroupName $rg の名前-場所 $location - AddressPrefix 10.55.0.0/16-サブネット $mgmtconfig、$untrustconfig、$trustconfig、$dmzconfig
- パブリック ip アドレスを取得します。
- $mpip = New AzureRmPublicIpAddress-ResourceGroupName $rg-場所 $location AllocationMethod 静的 - 名前を 'mymgmtip' - DomainNameLabel ' stumuluri-管理 '
- $upip = New AzureRmPublicIpAddress-ResourceGroupName $rg-場所 $location AllocationMethod 静的 - 名前を 'myuntrustip' - DomainNameLabel ' stumuluri-mgmt2'
- インターフェイスの作成:ネットワークインターフェイスを作成し、サブネットを割り当てるには、VNet 内のサブネットに提供されるサブネット id を知っている必要があります。取得するには、これは id を参照してください上記のステップで $vnet に割り当てられている情報を取得します。
- $vnet (サブネット ID は 0 からはじまります)
- $mgmt_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-'stumuluri fw 管理' SubnetId $vnet に名前を付けます。サブネット [0]。Id PublicIpAddressId $mpip。Id - PrivateIpAddress 10.55.0.4 EnableIPForwarding
- $untrust_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-' stumuluri fw untrust'SubnetId $vnet に名前を付けます。サブネット [1]。Id PublicIpAddressId $upip。Id - PrivateIpAddress 10.55.1.4 EnableIPForwarding
- $trust_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-'stumuluri ・ fw ・ トラスト' SubnetId $vnet に名前を付けます。サブネット [2]。Id - PrivateIpAddress 10.55.2.4 EnableIPForwarding
- $dmz_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-' stumuluri-fw-dmz'SubnetId $vnet に名前を付けます。サブネット [3]。Id - PrivateIpAddress 10.55.3.4 EnableIPForwarding
ステップ 4: ビルド PANW NSG FW
- パン os のプロパティ:次のコマンドを実行して、pan os のバージョンを定義します。
- 資格情報の取得:または、ユーザーが直接コマンドまたは公開キーにパスワードを入力するには、新しいオブジェクトをすることができます
- $cred = 取得資格
- $sshkey = ' < パブリック キー '
- $username$ = 'stumuluri'
- VM の定義: $fvm = New-AzureRmVMConfig-VMName ' stumuluri-nsg-fw '-VMSize $size
- ストレージアカウント:ストレージアカウントの Sku には複数のバリエーションがあり、 ここで見つけることができます。
- $saccount = New AzureRmStorageAccount StorageAccountName 'stumulurist'-$location の場所 - ResourceGroupName $rg - SkuName Standard_LRS
- オペレーティングシステム情報: $fvm = Set-AzureRmVMOperatingSystem-VM $fvm-Linux-コンピュータ名 ' stumuluri-fw '-資格情報 $cred
- vm にパン OS を割り当てる: $fvm = AzureRmVMSourceImage-vm $fvm-プロパティ $publisher-提供 $offer-sku $sku-バージョン $version
- ストレージ: $fvm = セット-AzureRmVMOSDisk-vm の $fvm-名前 ' panosdisk '-DiskSizeInGB 60-CreateOption FromImage-キャッシュ ReadWrite-StorageAccountType StandardLRS-Linuxの
- 価格設定: $fvm = AzureRmVMPlan-VM $fvm-パブリッシャ $publisher-名前 $sku-製品 $offer
- インターフェイス:
- $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $mgmt_nic。Id-プライマリ
- $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $untrust_nic。Id
- $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $dmz_nic。Id
- $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $trust_nic。Id
- vm の初期化:新しい-AzureRmVM-ResourceGroupName $rg-場所 $location-vm $fvm
手順 5: 信頼および DMZ 上 PANW FW デフォルトのルーティングを設定します。
- 既定のルートを追加するには。
- $troute = New-AzureRmRouteConfig- 名前デフォルト-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.2.4
- $droute = New-AzureRmRouteConfig- 名前デフォルト-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.3.4
- $uroute = New-AzureRmRouteConfig- 名前のデフォルト-AddressPrefix 0.0.0.0/0-NextHopType インターネット
- ルーティング テーブルを作成します。
- $trustroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-トラスト"-ルート$troute
- $dmzroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-dmz" -ルート$droute
- $untrustroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-untrust" -ルート$uroute
- サブネットのルーティング テーブルを更新します。
- $dmsub = $vnet。サブネット [3]
- $vnet = 設定 AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet-$dmsub の名前。-AddressPrefix $dmsub を名前します。AddressPrefix - NetworkSecurityGroup $dmsub.NetworkSecurityGroup - RouteTable $dmzroutingtable
- $trust = $vnet。サブネット [2]
- $vnet = 設定 AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet-$trust の名前。-AddressPrefix $trust を名前します。AddressPrefix - NetworkSecurityGroup $trust.NetworkSecurityGroup - RouteTable $trustroutingtable
- $unsub = $vnet。サブネット [1]
- $vnet セット AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet を = =-$unsub の名前。-AddressPrefix $unsub を名前します。AddressPrefix - NetworkSecurityGroup $unsub.NetworkSecurityGroup - RouteTable $untrustroutingtable
- 更新 VNET: $vnet = Set-AzureRmVirtualNetwork-VirtualNetwork $vnet
ステップ 6: ファイアウォールへのログイン、ファイアウォールの設定をセットアップ
DHCP 経由で ip アドレスを取得または静的 IP を使用するようにファイアウォールを構成できます。 我々 は静的に紺碧側インターフェイスの IP を割り当てられた、同じままになります。