Megosztás a következőn keresztül:

Oktatóanyag: Virtuális központ védelme az Azure Firewall Managerrel

  • Cikk

Az Azure Firewall Managerrel biztonságos virtuális központokat hozhat létre a magánhálózati ip-címekre, az Azure PaaS-be és az internetre irányuló felhőbeli hálózati forgalom védelméhez. A tűzfal felé történő forgalomirányítás automatizált, így nincs szükség felhasználó által definiált útvonalak (UDR-ek) létrehozására.

A Firewall Manager a központi virtuális hálózati architektúrát is támogatja. A biztonságos virtuális központ és a központi virtuális hálózat architektúrájának típusainak összehasonlításához tekintse meg az Azure Firewall Manager architektúrabeállításait?

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Küllős virtuális hálózat létrehozása
  • Biztonságos virtuális központ létrehozása
  • A küllős virtuális hálózatok csatlakoztatása
  • Forgalom átirányítása a központba
  • A kiszolgálók üzembe helyezése
  • Tűzfalszabályzat létrehozása és a központ védelme
  • A tűzfal tesztelése

Fontos

Az oktatóanyagban szereplő eljárás az Azure Firewall Manager használatával hoz létre egy új, Azure Virtual WAN által védett központot. A Firewall Managerrel frissíthet egy meglévő központot, de nem konfigurálhatja az Azure-beli rendelkezésre állási zónákat az Azure Firewallhoz. Egy meglévő központot biztonságos központtá is konvertálhat az Azure Portal használatával, az Azure Firewall konfigurálása virtual WAN-központban című cikkben leírtak szerint. Az Azure Firewall Managerhez hasonlóan azonban nem konfigurálható a rendelkezésre állási zónák. Meglévő központ frissítéséhez és az Azure Firewall rendelkezésre állási zónáinak megadásához (ajánlott) a következő oktatóanyagban ismertetett frissítési eljárást kell követnie: A virtuális központ védelme az Azure PowerShell használatával.

A biztonságos felhőhálózatot bemutató ábra.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Küllős architektúra létrehozása

Először hozzon létre küllős virtuális hálózatokat, ahol elhelyezheti a kiszolgálókat.

Két küllős virtuális hálózat és alhálózat létrehozása

A két virtuális hálózat mindegyike rendelkezik számítási feladatokat kiszolgálóval, és a tűzfal védi őket.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keressen rá a virtuális hálózatra, jelölje ki, és válassza a Létrehozás lehetőséget.

  3. Hozzon létre egy virtuális hálózatot a következő beállításokkal:

    Beállítás Érték
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Válassza az Új létrehozása lehetőséget, és írja be az fw-manager-rg nevet, és válassza az OK gombot
    Virtuális hálózat neve Küllő-01
    Régió USA keleti régiója

  4. Válassza a Tovább, majd a Tovább lehetőséget.

  5. A Hálózatkezelés lapon hozzon létre egy alhálózatot a következő beállításokkal:

    Beállítás Érték
    IPv4-címtér hozzáadása 10.0.0.0/16 (alapértelmezett)
    Alhálózatok alapértelmezett
    Név Számítási feladat –01-SN
    Kezdőcím 10.0.1.0/24

  6. Válassza a Mentés, a Véleményezés és a Létrehozás lehetőséget, majd a Létrehozás lehetőséget.

Ismételje meg ezt az eljárást egy másik hasonló virtuális hálózat létrehozásához az fw-manager-rg erőforráscsoportban:

Beállítás Érték
Név Küllő-02
Címtér 10.1.0.0/16
Alhálózat neve Számítási feladat –02-SN
Kezdőcím 10.1.1.0/24

A biztonságos virtuális központ létrehozása

Hozza létre a biztonságos virtuális központot a Firewall Managerrel.

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A keresőmezőbe írja be a Tűzfalkezelőt, és válassza a Tűzfalkezelő lehetőséget.

  3. A Tűzfalkezelő központi telepítések területén válassza a Virtuális központok lehetőséget.

  4. A Tűzfalkezelőben | A Virtuális központok lapon válassza az Új biztonságos virtuális központ létrehozása lehetőséget.

  5. Az Új biztonságos virtuális központ létrehozása lapon adja meg a következő adatokat:

    Beállítás Érték
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza az fw-manager-rg lehetőséget
    Régió USA keleti régiója
    Biztonságos virtuális központ neve Hub-01
    Központi címtér 10.2.0.0/16

  6. Válassza az Új vWAN lehetőséget.

    Beállítás Érték
    Új virtuális WAN-név Vwan-01
    Típus Standard
    VPN-átjáró hozzáadása a megbízható biztonsági partnerek engedélyezéséhez Hagyja üresen a jelölőnégyzetet.

  7. Válassza a Következő lehetőséget: Azure Firewall.

  8. Fogadja el az alapértelmezett Azure Firewall-kompatibilis beállítást.

  9. Azure Firewall-szint esetén válassza a Standard lehetőséget.

  10. Válassza ki a rendelkezésre állási zónák kívánt kombinációját.

    Fontos

    A Virtual WAN a központban elérhető hubok és szolgáltatások gyűjteménye. A szükséges számú virtuális WAN üzembe helyezhető. A Virtual WAN-központban több szolgáltatás is létezik, például VPN, ExpressRoute stb. A rendszer automatikusan telepíti ezeket a szolgáltatásokat a rendelkezésre állási zónákban az Azure Firewall kivételével, ha a régió támogatja a rendelkezésre állási zónákat. Az Azure Virtual WAN rugalmasságához igazodva minden rendelkezésre álló rendelkezésre állási zónát ki kell választania.

  11. Írja be az 1 értéket a Nyilvános IP-címek számának megadása szövegmezőbe, vagy társítson egy meglévő nyilvános IP-címet (előzetes verzió) ezzel a tűzfallal.

  12. A Tűzfalszabályzat területen győződjön meg arról, hogy az alapértelmezett megtagadási házirend ki van jelölve. A cikk későbbi részében pontosíthatja a beállításokat.

  13. Válassza a Következő: Biztonsági partnerszolgáltató lehetőséget.

  14. Fogadja el a megbízható biztonsági partneralapértelmezett letiltott beállítását, és válassza a Tovább: Véleményezés + létrehozás lehetőséget.

  15. Válassza a Létrehozás parancsot.

Feljegyzés

Egy biztonságos virtuális központ létrehozása akár 30 percet is igénybe vehet.

Az üzembe helyezés befejezése után megtalálhatja a tűzfal nyilvános IP-címét.

  1. Nyissa meg a Firewall Managert.
  2. Válassza a Virtuális központok lehetőséget.
  3. Válassza a Hub-01 lehetőséget.
  4. Válassza a AzureFirewall_Hub-01 lehetőséget.
  5. Jegyezze fel a később használni kívánt nyilvános IP-címet.

A küllős virtuális hálózatok csatlakoztatása

Most már társviszonyt létesíthet a küllős virtuális hálózatokkal.

  1. Válassza ki az fw-manager-rg erőforráscsoportot, majd a Vwan-01 virtuális WAN-t.

  2. A Kapcsolatok területen válassza a Virtuális hálózati kapcsolatok lehetőséget.

    Beállítás Érték
    Kapcsolat neve küllős küllő 01
    Hubs Hub-01
    Erőforráscsoport fw-manager-rg
    Virtuális hálózat Küllő-01

  3. Válassza a Létrehozás lehetőséget.

  4. Ismételje meg az előző lépéseket a Küllő-02 virtuális hálózat csatlakoztatásához a következő beállításokkal:

    Beállítás Érték
    Kapcsolat neve küllős küllő 02
    Hubs Hub-01
    Erőforráscsoport fw-manager-rg
    Virtuális hálózat Küllő-02

A kiszolgálók üzembe helyezése

  1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget a népszerű listában.

  3. Adja meg a következő értékeket a virtuális gép számára:

    Beállítás Érték
    Erőforráscsoport fw-manager-rg
    Virtuális gép neve Srv-workload-01
    Régió (US) Az USA keleti régiója
    Rendszergazdai felhasználónév írja be a felhasználónevet
    Jelszó jelszó beírása

  4. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el a lemez alapértelmezett értékét, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Válassza a Küllő-01 lehetőséget a virtuális hálózathoz, és válassza a Workload-01-SN lehetőséget az alhálózathoz.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Válassza a Tovább:Figyelés lehetőséget.

  11. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához.

  12. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  13. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

Az alábbi táblázatban található információk segítségével konfigurálhat egy másik Srv-Workload-02 nevű virtuális gépet. A többi konfiguráció megegyezik az Srv-workload-01 virtuális géppel.

Beállítás Érték
Virtuális hálózat Küllő-02
Alhálózat Számítási feladat –02-SN

A kiszolgálók üzembe helyezése után válasszon ki egy kiszolgálóerőforrást, és a hálózatkezelésben jegyezze fel az egyes kiszolgálók magánhálózati IP-címét.

Tűzfalszabályzat létrehozása és a központ védelme

A tűzfalszabályzat szabálygyűjteményeket határoz meg egy vagy több biztonságos virtuális központ forgalmának irányításához. Létrehozhatja a tűzfalszabályzatot, majd biztonságossá teheti a központot.

  1. A Firewall Managerben válassza az Azure Firewall-szabályzatokat.

  2. Válassza az Azure Firewall-szabályzat létrehozása lehetőséget.

  3. Erőforráscsoport esetén válassza az fw-manager-rg lehetőséget.

  4. A Szabályzat részletei területen a Policy-01 névtípushozés a régióhoz válassza az USA keleti régióját.

  5. Szabályzatszint esetén válassza a Standard lehetőséget.

  6. Válassza a Tovább: DNS-beállítások lehetőséget.

  7. Válassza a Következő: TLS-vizsgálat lehetőséget.

  8. Válassza a Következő: Szabályok lehetőséget.

  9. A Szabályok lapon válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  10. A Szabálygyűjtemény hozzáadása lapon adja meg a következő adatokat.

    Beállítás Érték
    Név App-RC-01
    Szabálygyűjtemény típusa Alkalmazás
    Prioritás 100
    Szabálygyűjtési művelet Engedélyezés
    Szabály neve Allow-msft
    Forrás típusa IP-cím
    Forrás *
    Protokoll http,https
    Cél típusa FQDN
    Cél *.microsoft.com

  11. Válassza a Hozzáadás lehetőséget.

  12. Adjon hozzá egy DNST-szabályt , amellyel távoli asztalt csatlakoztathat az Srv-Workload-01 virtuális géphez.

  13. Válassza a Szabálygyűjtemény hozzáadása lehetőséget, és adja meg a következő adatokat.

    Beállítás Érték
    Név dnat-rdp
    Szabálygyűjtemény típusa DNAT
    Prioritás 100
    Szabály neve Allow-rdp
    Forrás típusa IP-cím
    Forrás *
    Protokoll TCP
    Célportok 3389
    Cél A tűzfal korábban feljegyzett nyilvános IP-címe.
    Lefordított típus IP Address
    Lefordított cím A korábban feljegyzett Srv-Workload-01 magánhálózati IP-címe.
    Lefordított port 3389

  14. Válassza a Hozzáadás lehetőséget.

  15. Adjon hozzá egy hálózati szabályt, amellyel távoli asztalt csatlakoztathat a Srv-Workload-01-ből a Srv-Workload-02-hez.

  16. Válassza a Szabálygyűjtemény hozzáadása lehetőséget, és adja meg a következő adatokat.

    Beállítás Érték
    Név vnet-rdp
    Szabálygyűjtemény típusa Hálózat
    Prioritás 100
    Szabálygyűjtési művelet Engedélyezés
    Szabály neve Allow-vnet
    Forrás típusa IP-cím
    Forrás *
    Protokoll TCP
    Célportok 3389
    Cél típusa IP Address
    Cél A korábban feljegyzett Srv-Workload-02 privát IP-cím.

  17. Válassza a Hozzáadás, majd a Tovább: IDPS lehetőséget.

  18. Az IDPS lapon válassza a Tovább: Fenyegetésintelligencia lehetőséget

  19. A Fenyegetésfelderítés lapon fogadja el az alapértelmezett beállításokat, és válassza a Véleményezés és létrehozás lehetőséget:

  20. Tekintse át a kijelölés megerősítéséhez, majd válassza a Létrehozás lehetőséget.

Szabályzat társítása

A tűzfalszabályzat társítása a központtal.

  1. A Firewall Managerben válassza az Azure Tűzfalszabályzatok lehetőséget.
  2. Jelölje be a Policy-01 jelölőnégyzetét.
  3. Válassza a Társítások kezelése, Hubok társítása lehetőséget.
  4. Válassza a Hub-01 lehetőséget.
  5. Válassza a Hozzáadás lehetőséget.

Forgalom átirányítása a központba

Most gondoskodnia kell arról, hogy a hálózati forgalom a tűzfalon keresztül legyen irányítva.

  1. A Firewall Managerben válassza a Virtuális központok lehetőséget.

  2. Válassza a Hub-01 lehetőséget.

  3. A Beállítások területen válassza a Biztonsági konfiguráció lehetőséget.

  4. Az internetes forgalom alatt válassza az Azure Firewall lehetőséget.

  5. A Privát forgalom területen válassza a Küldés az Azure Firewallon keresztül lehetőséget.

    Feljegyzés

    Ha nyilvános IP-címtartományokat használ egy virtuális hálózat vagy egy helyszíni ág magánhálózataihoz, explicit módon meg kell adnia ezeket az IP-címelőtagokat. Válassza ki a Privát forgalom előtagok szakaszt , majd vegye fel őket a RFC1918 címelőtagok mellé.

  6. Az Inter-Hub területen válassza az Engedélyezve lehetőséget a Virtual WAN útválasztási szándék funkció engedélyezéséhez. Az útválasztási szándék az a mechanizmus, amellyel konfigurálhatja a Virtual WAN-t az ág-ág (helyszíni és helyszíni) forgalom átirányítására a Virtual WAN Hubban üzembe helyezett Azure Firewallon keresztül. Az útválasztási szándék funkcióval kapcsolatos előfeltételekkel és szempontokkal kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját.

  7. Válassza a Mentés lehetőséget.

  8. Válassza az OK gombot a Figyelmeztetés párbeszédpanelen.

  9. Válassza az OK gombot az Áttelepítés lapon a központközi párbeszédpanel használatához.

    Feljegyzés

    Az útvonaltáblák frissítése néhány percet vesz igénybe.

  10. Győződjön meg arról, hogy a két kapcsolat azt mutatja, hogy az Azure Firewall az internet és a magánforgalom védelmét is biztosítja.

A tűzfal tesztelése

A tűzfalszabályok teszteléséhez csatlakoztassa a távoli asztalt a tűzfal nyilvános IP-címével, amely a Srv-Workload-01-hez van csatlakoztatva. Innen egy böngészővel tesztelje az alkalmazásszabályt, és csatlakoztassa a távoli asztalt a Srv-Workload-02-hez a hálózati szabály teszteléséhez.

Az alkalmazásszabály tesztelése

Most tesztelje a tűzfalszabályokat, és ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakoztassa a távoli asztalt a nyilvános IP-cím tűzfalához, és jelentkezzen be.

  2. Nyissa meg az Internet Explorert, és navigáljon a következő címre: https://www.microsoft.com.

  3. Válassza az OK>bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Ekkor megjelenik a Microsoft kezdőlapja.

  4. Nyissa meg a következő címet: https://www.google.com.

    Ezt a tűzfalnak blokkolnia kell.

Így ellenőrizte, hogy a tűzfalalkalmazás szabálya működik-e:

  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.

A hálózati szabály tesztelése

Most tesztelje a hálózati szabályt.

  • A Srv-Workload-01-ből nyisson meg egy távoli asztalt a Srv-Workload-02 privát IP-címére.

    Egy távoli asztalnak csatlakoznia kell a Srv-Workload-02-hez.

Így ellenőrizte, hogy működik-e a tűzfal hálózati szabálya:

  • Távoli asztalt csatlakoztathat egy másik virtuális hálózaton található kiszolgálóhoz.

Az erőforrások eltávolítása

Ha végzett a tűzfalerőforrások tesztelésével, törölje az fw-manager-rg erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

Tudnivalók a megbízható biztonsági partnerekről