紺碧の PowerShell を介して AzureRM にファイアウォールを作成します。

目的

4 インターフェイスとパロアルト ネットワーク次世代ファイアウォールを作成 (管理、untrust、信頼、DMZ) Azure PowerShell を使用します。Azure PowerShell commandlets がインストールされていることを確認します。Microsoft Web プラットフォームインストーラーを使用してインストールするのは簡単な方法で、次の手順のリンクをクリックするとさらに役立ちます。   

プロシージャ

手順 1: リソース グループを作成します。

• Azure"ログイン-AzureRmAccount"- あなたの資格情報を使用してログインします。  成功したログイン アカウント情報が表示されます。

• 位置変数の設定: $location = ' 東アメリカ '
• リソースグループの作成:新しい-AzureRmResourceGroup-ResourceGroupName "stumuluri"-場所 $location
• $rg = "stumuluri-rg"

ステップ 2:Nネットワークセキュリティグループ(NSG) を設定する 

 Azure NSG は、割り当てられた vm とインターフェイスに対する受信トラフィックと発信交通を制御します。次の例では、すべての受信を認めます。生産ファイアウォールのそれはお勧めしません。必要なポートに制限することを強くお勧めします。また、それが高く、untrust mgmt の異なる NSGs を使用する推奨される共通の信頼および他の内部ゾーンの NSG。次の例は、すべてのトラフィックがファイアウォールにルーティングされ、インター ネット アクセスを持たない内部ゾーンに適しています。

• NSG の ACL の作成: $nsgrule = AzureRmNetworkSecurityRuleConfig-名前 "受信テスト"-方向の受信プロトコル *-SourcePortRange *-SourceAddressPrefix *-DestinationPortRange *-DestinationAddressPrefix *-優先度 "100"-アクセス許可-概要 "allow_all"
• NSG の作成: $nsg = New-AzureRmNetworkSecurityGroup-ResourceGroupName $rg-ロケーション $location-名前 "allow_all_nsg"-SecurityRules $nsgrule

手順 3: ネットワーク インフラストラクチャ情報を設定します。

プロセスの後半でファイアウォールに割り当てることができるパブリック IP のインターフェイス、ネットワーク サブネットを作成する含まれていますネットワーク情報の設定

• サブネットを作成します。
  • $mgmtconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-管理」AddressPrefix「10.55.0.0/24」の名前 - NetworkSecurityGroup $nsg
  • $untrustconfig = New AzureRmVirtualNetworkSubnetConfig-名前"stumuluri-untrust"- AddressPrefix「10.55.1.0/24」- NetworkSecurityGroup $nsg
  • $trustconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-信頼」AddressPrefix「10.55.2.0/24」の名前 - NetworkSecurityGroup $nsg
  • $dmzconfig = New AzureRmVirtualNetworkSubnetConfig-「stumuluri-非武装地帯」AddressPrefix「10.55.3.0/24」の名前 - NetworkSecurityGroup $nsg
• 仮想ネットワーク (VNet) を作成します。
  • $vnetname = ' stumuluri-virtN'
  • $vnet = New AzureRmVirtualNetwork-' stumuluri-virtN'ResourceGroupName $rg の名前-場所 $location - AddressPrefix 10.55.0.0/16-サブネット $mgmtconfig、$untrustconfig、$trustconfig、$dmzconfig
• パブリック ip アドレスを取得します。
  • $mpip = New AzureRmPublicIpAddress-ResourceGroupName $rg-場所 $location AllocationMethod 静的 - 名前を 'mymgmtip' - DomainNameLabel ' stumuluri-管理 '
  • $upip = New AzureRmPublicIpAddress-ResourceGroupName $rg-場所 $location AllocationMethod 静的 - 名前を 'myuntrustip' - DomainNameLabel ' stumuluri-mgmt2'
• インターフェイスの作成:ネットワークインターフェイスを作成し、サブネットを割り当てるには、VNet 内のサブネットに提供されるサブネット id を知っている必要があります。取得するには、これは id を参照してください上記のステップで $vnet に割り当てられている情報を取得します。
  • $vnet (サブネット ID は 0 からはじまります)
  • $mgmt_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-'stumuluri fw 管理' SubnetId $vnet に名前を付けます。サブネット [0]。Id PublicIpAddressId $mpip。Id - PrivateIpAddress 10.55.0.4 EnableIPForwarding
  • $untrust_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-' stumuluri fw untrust'SubnetId $vnet に名前を付けます。サブネット [1]。Id PublicIpAddressId $upip。Id - PrivateIpAddress 10.55.1.4 EnableIPForwarding
  • $trust_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-'stumuluri ・ fw ・ トラスト' SubnetId $vnet に名前を付けます。サブネット [2]。Id - PrivateIpAddress 10.55.2.4 EnableIPForwarding
  • $dmz_nic = New AzureRmNetworkInterface-ResourceGroupName $rg-場所 $location-' stumuluri-fw-dmz'SubnetId $vnet に名前を付けます。サブネット [3]。Id - PrivateIpAddress 10.55.3.4 EnableIPForwarding

ステップ 4: ビルド PANW NSG FW

• パン os のプロパティ:次のコマンドを実行して、pan os のバージョンを定義します。
  • $publisher = 'paloaltonetworks'
  • $offer = 'vmseries1'
  • $sku = ' byol ' (byol または bundle1 または bundle2 することができます。参照 1 ;参照 2 ;管理者ガイド)
  • $version = '最新' (バージョン 8.0.0 をすることができます。7.1.1 または最新)
  • $size = ' Standard_D3_v2 ' (管理者ガイド のさまざまなサイズについては、「Azure の VM シリーズの最小システム要件」のセクションを参照してください)
• 資格情報の取得:または、ユーザーが直接コマンドまたは公開キーにパスワードを入力するには、新しいオブジェクトをすることができます
  • $cred = 取得資格
  • $sshkey = ' < パブリック キー '
  • $username$ = 'stumuluri'
•  VM の定義: $fvm = New-AzureRmVMConfig-VMName ' stumuluri-nsg-fw '-VMSize $size
• ストレージアカウント:ストレージアカウントの Sku には複数のバリエーションがあり、 ここで見つけることができます。
  • $saccount = New AzureRmStorageAccount StorageAccountName 'stumulurist'-$location の場所 - ResourceGroupName $rg - SkuName Standard_LRS
• オペレーティングシステム情報: $fvm = Set-AzureRmVMOperatingSystem-VM $fvm-Linux-コンピュータ名 ' stumuluri-fw '-資格情報 $cred
• vm にパン OS を割り当てる: $fvm = AzureRmVMSourceImage-vm $fvm-プロパティ $publisher-提供 $offer-sku $sku-バージョン $version
• ストレージ: $fvm = セット-AzureRmVMOSDisk-vm の $fvm-名前 ' panosdisk '-DiskSizeInGB 60-CreateOption FromImage-キャッシュ ReadWrite-StorageAccountType StandardLRS-Linuxの 
• 価格設定: $fvm = AzureRmVMPlan-VM $fvm-パブリッシャ $publisher-名前 $sku-製品 $offer
• インターフェイス:
  • $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $mgmt_nic。Id-プライマリ
  • $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $untrust_nic。Id
  • $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $dmz_nic。Id
  • $fvm = 追加 AzureRmVMNetworkInterface VM $fvm-Id $trust_nic。Id
• vm の初期化:新しい-AzureRmVM-ResourceGroupName $rg-場所 $location-vm $fvm

手順 5: 信頼および DMZ 上 PANW FW デフォルトのルーティングを設定します。

• 既定のルートを追加するには。
  • $troute = New-AzureRmRouteConfig- 名前デフォルト-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.2.4
  • $droute = New-AzureRmRouteConfig- 名前デフォルト-AddressPrefix 0.0.0.0/0-NextHopType VirtualAppliance-NextHopIpAddress 10.55.3.4
  • $uroute = New-AzureRmRouteConfig- 名前のデフォルト-AddressPrefix 0.0.0.0/0-NextHopType インターネット
• ルーティング テーブルを作成します。 
  •  $trustroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-トラスト"-ルート$troute
  • $dmzroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-dmz" -ルート$droute
  • $untrustroutingtable = New-AzureRmRouteTable-ResourceGroupName $rg-ロケーション $location-名前 "stumuluri-untrust" -ルート$uroute
• サブネットのルーティング テーブルを更新します。
  • $dmsub = $vnet。サブネット [3]
  • $vnet = 設定 AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet-$dmsub の名前。-AddressPrefix $dmsub を名前します。AddressPrefix - NetworkSecurityGroup $dmsub.NetworkSecurityGroup - RouteTable $dmzroutingtable
  • $trust = $vnet。サブネット [2]
  •  $vnet = 設定 AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet-$trust の名前。-AddressPrefix $trust を名前します。AddressPrefix - NetworkSecurityGroup $trust.NetworkSecurityGroup - RouteTable $trustroutingtable
  • $unsub = $vnet。サブネット [1]
  • $vnet セット AzureRmVirtualNetworkSubnetConfig 実現について述べる $vnet を = =-$unsub の名前。-AddressPrefix $unsub を名前します。AddressPrefix - NetworkSecurityGroup $unsub.NetworkSecurityGroup - RouteTable $untrustroutingtable
• 更新 VNET: $vnet = Set-AzureRmVirtualNetwork-VirtualNetwork $vnet 

ステップ 6: ファイアウォールへのログイン、ファイアウォールの設定をセットアップ

DHCP 経由で ip アドレスを取得または静的 IP を使用するようにファイアウォールを構成できます。  我々 は静的に紺碧側インターフェイスの IP を割り当てられた、同じままになります。