在通过 Azure PowerShell AzureRM 上创建防火墙
15580
Created On 09/25/18 15:12 PM - Last Modified 02/08/19 00:08 AM
Resolution
目的
创建带有 4 接口的帕洛阿尔托网络下一代防火墙 (管理,不信任,信任,DMZ) 使用 Azure PowerShell。请确保安装的 Azure PowerShell commandlets。使用 Microsoft Web 平台安装程序安装它们是一种简单的方法, 下面的过程链接可以帮助更多.
程序
步骤 1: 创建的资源组
- 登录到 Azure 使用您的凭据-"登录-AzureRmAccount"。 登录成功将显示帐户信息。
- 设置位置变量: $location = ' 东我们 '
- 创建资源组:新 AzureRmResourceGroup-ResourceGroupName "stumuluri-rg"-位置 $location
- $rg = "stumuluri-rg"
步骤 2: 设置N网络安全组(核供应集团 )
Azure 核供应国控制分配的 vm 和接口的入站和出站通信. 在以下示例中,我允许所有入站。这不被建议生产防火墙。这是强烈建议限制对所需的端口。它也极力推荐,使用不同的 NSGs 的管理,不信任,共同核供应国集团信托和其他内部的区域。下面的示例被适合内部区在哪里所有交通被路由到防火墙并没有访问互联网。
- 为核供应集团创建 ACL: $nsgrule = 新 AzureRmNetworkSecurityRuleConfig 名称 "入站测试"-方向入站协议 *-SourcePortRange * SourceAddressPrefix * DestinationPortRange * DestinationAddressPrefix *-优先 "100"-访问允许-描述 "allow_all"
- 创建核供应国: $nsg = 新 AzureRmNetworkSecurityGroup-ResourceGroupName $rg 位置 $location-名称 "allow_all_nsg"-SecurityRules $nsgrule
第 3 步: 设置网络基础设施信息
设置网络信息包括创建的网络子网的接口,可以分配给过程稍后的防火墙的公网 IP
- 创建子网:
- $mgmtconfig = 新 AzureRmVirtualNetworkSubnetConfig-名称"10.55.0.0/24""stumuluri-管理"-AddressPrefix-NetworkSecurityGroup $nsg
- $untrustconfig = 新 AzureRmVirtualNetworkSubnetConfig-名称"stumuluri-不信任"-AddressPrefix"10.55.1.0/24"-NetworkSecurityGroup $nsg
- $trustconfig = 新 AzureRmVirtualNetworkSubnetConfig-名称"10.55.2.0/24""stumuluri-信任"-AddressPrefix-NetworkSecurityGroup $nsg
- $dmzconfig = 新 AzureRmVirtualNetworkSubnetConfig-名称"10.55.3.0/24""stumuluri-dmz"-AddressPrefix-NetworkSecurityGroup $nsg
- 创建虚拟网络 (互联星空):
- $vnetname = ' stumuluri virtN'
- $vnet = 新 AzureRmVirtualNetwork-名称 ' stumuluri virtN'ResourceGroupName $rg-位置 $location-AddressPrefix 10.55.0.0/16-子网 $mgmtconfig、$untrustconfig、$trustconfig、$dmzconfig
- 获得公共 ip 地址:
- $mpip = 新 AzureRmPublicIpAddress-ResourceGroupName $rg-位置 $location AllocationMethod 静态-'mymgmtip'-DomainNameLabel 'stumuluri-管理' 的名字
- $upip = 新 AzureRmPublicIpAddress-ResourceGroupName $rg-位置 $location AllocationMethod 静态-名称 'myuntrustip'-DomainNameLabel ' stumuluri-mgmt2'
- 创建接口:创建网络接口和分配子网需要知道在互联星空内为子网提供的子网 id. 去这使 id 看到分配给 $vnet 在上面步骤的信息
- $vnet (子网 ID 从 0 开始)
- $mgmt_nic = 新 AzureRmNetworkInterface-ResourceGroupName $rg-$location 的位置-名称 ' stumuluri-fw-mgmt'SubnetId $vnet。[0] 的子网。Id-PublicIpAddressId $mpip。Id-PrivateIpAddress 10.55.0.4-EnableIPForwarding
- $untrust_nic = 新 AzureRmNetworkInterface-ResourceGroupName $rg-$location 的位置-名称 'stumuluri-fw-不信任'-SubnetId $vnet。[1] 的子网。Id-PublicIpAddressId $upip。Id-PrivateIpAddress 10.55.1.4-EnableIPForwarding
- $trust_nic = 新 AzureRmNetworkInterface-ResourceGroupName $rg-$location 的位置-名称 'stumuluri-fw-信任'-SubnetId $vnet。[2] 的子网。Id-PrivateIpAddress 10.55.2.4-EnableIPForwarding
- $dmz_nic = 新 AzureRmNetworkInterface-ResourceGroupName $rg-$location 的位置-名称 ' stumuluri-fw-dmz'SubnetId $vnet。[3] 的子网。Id-PrivateIpAddress 10.55.3.4-EnableIPForwarding
第 4 步: 建立 PANW 核供应国集团-FW
- pan os 属性:运行以下命令来定义 pan os 版本
- 获取凭据:或者, 您可以使用新对象直接向命令或公钥键入密码
- $cred = 获取凭据
- $sshkey = ' < 公用钥匙 '
- $username = 'stumuluri'
- 定义 VM: $fvm = 新 AzureRmVMConfig VMName "stumuluri-核供应-VMSize $size
- 存储帐户:存储帐户的 Sku 有多种变体, 可以在这里 找到
- $saccount = 新 AzureRmStorageAccount-StorageAccountName 'stumulurist'-位置 $location-ResourceGroupName $rg-SkuName Standard_LRS
- 操作系统信息: $fvm = 设置-AzureRmVMOperatingSystem-VM $fvm-Linux ComputerName "stumuluri-固件"-凭据 $cred
- 将 PAN OS 分配给 vm: $fvm = 设置 AzureRmVMSourceImage vm $fvm-PublisherName $publisher 提供 $offer sku $sku 版本 $version
- 存储: $fvm = 设置-AzureRmVMOSDisk-vm $fvm 名称 ' panosdisk '-DiskSizeInGB 60-CreateOption FromImage-缓存读写-StorageAccountType StandardLRS-Linux
- 定价: $fvm = 设置 AzureRmVMPlan VM $fvm-发布者 $publisher 名称 $sku-产品 $offer
- 接口:
- $fvm = 添加 AzureRmVMNetworkInterface-VM $fvm-Id $mgmt_nic。Id-小学
- $fvm = 添加 AzureRmVMNetworkInterface-VM $fvm-Id $untrust_nic。Id
- $fvm = 添加 AzureRmVMNetworkInterface-VM $fvm-Id $dmz_nic。Id
- $fvm = 添加 AzureRmVMNetworkInterface-VM $fvm-Id $trust_nic。Id
- 初始化 vm:新的 AzureRmVM ResourceGroupName $rg-位置 $location-VM $fvm
第 5 步: 设置路由默认情况下信任和 DMZ PANW FW
- 添加默认路由:
- $troute = 新 AzureRmRouteConfig 名称默认值-AddressPrefix 0.0. 0.0/0-NextHopType VirtualAppliance NextHopIpAddress 10.55.2.4
- $droute = 新 AzureRmRouteConfig 名称默认值-AddressPrefix 0.0. 0.0/0-NextHopType VirtualAppliance NextHopIpAddress 10.55.3.4
- $uroute = 新 AzureRmRouteConfig 名称默认值-AddressPrefix 0.0. 0.0/0-NextHopType 互联网
- 创建路由表:
- $trustroutingtable = 新 AzureRmRouteTable ResourceGroupName $rg 位置 $location-名称 "stumuluri-信任"-路线$troute
- $dmzroutingtable = 新 AzureRmRouteTable ResourceGroupName $rg 位置 $location-名称 "stumuluri-dmz" -路由$droute
- $untrustroutingtable = 新 AzureRmRouteTable ResourceGroupName $rg 位置 $location-名称 "stumuluri-不信任" -路线$uroute
- 使用路由表更新子网:
- $dmsub = $vnet。[3] 的子网
- $vnet = 集-AzureRmVirtualNetworkSubnetConfig-VirtualNetwork $vnet-$dmsub 的名字。名称-AddressPrefix $dmsub。AddressPrefix-NetworkSecurityGroup $dmsub.NetworkSecurityGroup-RouteTable $dmzroutingtable
- $trust = $vnet。[2] 的子网
- $vnet = 集-AzureRmVirtualNetworkSubnetConfig-VirtualNetwork $vnet-$trust 的名字。名称-AddressPrefix $trust。AddressPrefix-NetworkSecurityGroup $trust.NetworkSecurityGroup-RouteTable $trustroutingtable
- $unsub = $vnet。子网 [1]
- $vnet = = 集-AzureRmVirtualNetworkSubnetConfig-VirtualNetwork $vnet-$unsub 的名字。名称-AddressPrefix $unsub。AddressPrefix-NetworkSecurityGroup $unsub.NetworkSecurityGroup-RouteTable $untrustroutingtable
- 更新互联星空: $vnet = 设置-AzureRmVirtualNetwork-VirtualNetwork $vnet
第 6 步: 登录到防火墙并设置防火墙配置
您可以配置防火墙来获得 IP 通过 DHCP 或使用静态 IP。 因为我们静态分配的 IP 接口的蔚蓝一边,它将保持不变。