Dela via

Självstudie: Skydda din virtuella hubb med Hjälp av Azure Firewall Manager

  • Artikel

Med Azure Firewall Manager kan du skapa skyddade virtuella hubbar för att skydda din molnnätverkstrafik som är avsedd för privata IP-adresser, Azure PaaS och Internet. Trafikroutning till brandväggen automatiseras, så du behöver inte skapa användardefinierade vägar (UDR).

Firewall Manager har också stöd för en arkitektur för virtuella hubbar. En jämförelse av arkitekturtyperna för säker virtuell hubb och hubb för virtuella nätverk finns i Vad är arkitekturalternativen för Azure Firewall Manager?

I den här självstudien lär du dig att:

  • Skapa det virtuella ekernätverket
  • Skapa en säker virtuell hubb
  • Ansluta de virtuella hubb- och ekernätverken
  • Dirigera trafik till din hubb
  • Distribuera servrarna
  • Skapa en brandväggsprincip och skydda din hubb
  • testa brandväggen.

Viktigt!

Proceduren i den här självstudien använder Azure Firewall Manager för att skapa en ny Azure Virtual WAN-skyddad hubb. Du kan använda Firewall Manager för att uppgradera en befintlig hubb, men du kan inte konfigurera Azure Tillgänglighetszoner för Azure Firewall. Det går också att konvertera en befintlig hubb till en säker hubb med hjälp av Azure Portal, enligt beskrivningen i Konfigurera Azure Firewall i en Virtual WAN-hubb. Men precis som i Azure Firewall Manager kan du inte konfigurera Tillgänglighetszoner. Om du vill uppgradera en befintlig hubb och ange Tillgänglighetszoner för Azure Firewall (rekommenderas) måste du följa uppgraderingsproceduren i Självstudie: Skydda din virtuella hubb med Azure PowerShell.

Diagram som visar det säkra molnnätverket.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa en hubb- och ekerarkitektur

Skapa först virtuella ekernätverk där du kan placera dina servrar.

Skapa två virtuella ekernätverk och undernät

De två virtuella nätverken har varsin arbetsbelastningsserver i sig och skyddas av brandväggen.

  1. På startsidan Azure Portal väljer du Skapa en resurs.

  2. Sök efter Virtuellt nätverk, välj det och välj Skapa.

  3. Skapa ett virtuellt nätverk med följande inställningar:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj Skapa ny och skriv fw-manager-rg som namn och välj OK
    Virtuellt nätverksnamn Eker-01
    Region USA, östra

  4. Välj Nästa och sedan Nästa.

  5. På fliken Nätverk skapar du ett undernät med följande inställningar:

    Inställning Värde
    Lägg till IPv4-adressutrymme 10.0.0.0/16 (standard)
    Undernät standard
    Name Workload-01-SN
    Startadress 10.0.1.0/24

  6. Välj Spara, Granska + skapa och välj sedan Skapa.

Upprepa den här proceduren för att skapa ett annat liknande virtuellt nätverk i resursgruppen fw-manager-rg :

Inställning Värde
Name Eker-02
Adressutrymme 10.1.0.0/16
Namn på undernät Workload-02-SN
Startadress 10.1.1.0/24

Skapa den skyddade virtuella hubben

Skapa din skyddade virtuella hubb med Hjälp av Firewall Manager.

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. I sökrutan skriver du Firewall Manager och väljer Firewall Manager.

  3. På sidan Firewall Manager under Distributioner väljer du Virtuella hubbar.

  4. I Brandväggshanteraren | På sidan Virtuella hubbar väljer du Skapa ny skyddad virtuell hubb.

  5. På sidan Skapa ny säker virtuell hubb anger du följande information:

    Inställning Värde
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj fw-manager-rg
    Region USA, östra
    Skyddat namn på virtuell hubb Hub-01
    Hubbadressutrymme 10.2.0.0/16

  6. Välj Ny vWAN.

    Inställning Värde
    Nytt virtuellt WAN-namn Vwan-01
    Typ Standard
    Inkludera VPN-gateway för att aktivera betrodda säkerhetspartner Låt kryssrutan vara avmarkerad.

  7. Välj Nästa: Azure Firewall.

  8. Acceptera standardinställningen Azure FirewallEnabled .

  9. För Azure Firewall-nivå väljer du Standard.

  10. Välj önskad kombination av Tillgänglighetszoner.

    Viktigt!

    Ett virtuellt WAN är en samling hubbar och tjänster som görs tillgängliga i hubben. Du kan distribuera så många virtuella WAN:er som du behöver. I en Virtual WAN-hubb finns det flera tjänster som VPN, ExpressRoute och så vidare. Var och en av dessa tjänster distribueras automatiskt över Tillgänglighetszoner förutom Azure Firewall, om regionen stöder Tillgänglighetszoner. Om du vill anpassa dig till Azure Virtual WAN-återhämtning bör du välja alla tillgängliga Tillgänglighetszoner.

  11. Skriv 1 i textrutan Ange antal offentliga IP-adresser eller associera en befintlig offentlig IP-adress (förhandsversion) med den här brandväggen.

  12. Under Brandväggsprincip kontrollerar du att standardprincipen för neka är markerad. Du förfinar inställningarna senare i den här artikeln.

  13. Välj Nästa: Säkerhetspartnerprovider.

  14. Acceptera standardinställningen Betrodd säkerhetspartner inaktiverad och välj Nästa: Granska + skapa.

  15. Välj Skapa.

Kommentar

Det kan ta upp till 30 minuter att skapa en säker virtuell hubb.

Du hittar brandväggens offentliga IP-adress när distributionen är klar.

  1. Öppna Brandväggshanteraren.
  2. Välj Virtuella hubbar.
  3. Välj hub-01.
  4. Välj AzureFirewall_Hub-01.
  5. Observera den offentliga IP-adress som ska användas senare.

Ansluta de virtuella hubb- och ekernätverken

Nu kan du peer-koppla de virtuella hubb- och ekernätverken.

  1. Välj resursgruppen fw-manager-rg och välj sedan det virtuella WAN:et Vwan-01.

  2. Under Anslutning väljer du Virtuella nätverksanslutningar.

    Inställning Värde
    Anslutningens namn hub-spoke-01
    Hubbar Hub-01
    Resursgrupp fw-manager-rg
    Virtuellt nätverk Eker-01

  3. Välj Skapa.

  4. Upprepa föregående steg för att ansluta det virtuella nätverket Spoke-02 med följande inställningar:

    Inställning Värde
    Anslutningens namn hub-spoke-02
    Hubbar Hub-01
    Resursgrupp fw-manager-rg
    Virtuellt nätverk Eker-02

Distribuera servrarna

  1. Välj Skapa en resurs på Azure-portalen.

  2. Välj Windows Server 2019 Datacenter i listan Populära .

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp fw-manager-rg
    Virtual machine name Srv-workload-01
    Region (USA) USA, östra
    Administratörsanvändarnamn ange ett användarnamn
    Lösenord ange ett lösenord

  4. Under Regler för inkommande portar väljer du Ingen för Offentliga inkommande portar.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Välj Spoke-01 för det virtuella nätverket och välj Workload-01-SN för undernätet.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. Välj Nästa:Övervakning.

  11. Välj Inaktivera för att inaktivera startdiagnostik.

  12. Acceptera de andra standardvärdena och välj Granska + skapa.

  13. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

Använd informationen i följande tabell för att konfigurera en annan virtuell dator med namnet Srv-Workload-02. Resten av konfigurationen är densamma som den virtuella datorn Srv-workload-01 .

Inställning Värde
Virtuellt nätverk Eker-02
Undernät Workload-02-SN

När servrarna har distribuerats väljer du en serverresurs och noterar den privata IP-adressen för varje server i Nätverk .

Skapa en brandväggsprincip och skydda din hubb

En brandväggsprincip definierar samlingar av regler för att dirigera trafik på en eller flera säkra virtuella hubbar. Du skapar din brandväggsprincip och skyddar sedan hubben.

  1. Från Firewall Manager väljer du Azure Firewall-principer.

  2. Välj Skapa Azure Firewall-princip.

  3. För Resursgrupp väljer du fw-manager-rg.

  4. Under Principinformation för namntypen Princip-01 och för Region väljer du USA, östra.

  5. För Principnivå väljer du Standard.

  6. Välj Nästa: DNS-inställningar.

  7. Välj Nästa: TLS-inspektion.

  8. Välj Nästa: Regler.

  9. På fliken Regler väljer du Lägg till en regelsamling.

  10. På sidan Lägg till en regelsamling anger du följande information.

    Inställning Värde
    Name App-RC-01
    Typ av regelsamling Program
    Prioritet 100
    Regelinsamlingsåtgärd Tillåt
    Regelnamn Allow-msft
    Source type IP-adress
    Källa *
    Protokoll http,https
    Måltyp FQDN
    Mål *.microsoft.com

  11. Markera Lägga till.

  12. Lägg till en DNAT-regel så att du kan ansluta ett fjärrskrivbord till den virtuella datorn Srv-Workload-01 .

  13. Välj Lägg till en regelsamling och ange följande information.

    Inställning Värde
    Name dnat-rdp
    Typ av regelsamling DNAT
    Prioritet 100
    Regelnamn Allow-rdp
    Source type IP-adress
    Källa *
    Protokoll TCP
    Målportar 3389
    Mål Brandväggens offentliga IP-adress antecknades tidigare.
    Översatt typ IP-adress
    Översatt adress Den privata IP-adressen för Srv-Workload-01 antecknades tidigare.
    Översatt port 3389

  14. Markera Lägga till.

  15. Lägg till en nätverksregel så att du kan ansluta ett fjärrskrivbord från Srv-Workload-01 till Srv-Workload-02.

  16. Välj Lägg till en regelsamling och ange följande information.

    Inställning Värde
    Name vnet-rdp
    Typ av regelsamling Nätverk
    Prioritet 100
    Regelinsamlingsåtgärd Tillåt
    Regelnamn Allow-vnet
    Source type IP-adress
    Källa *
    Protokoll TCP
    Målportar 3389
    Måltyp IP-adress
    Mål Den privata IP-adressen Srv-Workload-02 som du antecknade tidigare.

  17. Välj Lägg till och välj sedan Nästa: IDPS.

  18. På sidan IDPS väljer du Nästa: Hotinformation

  19. På sidan Hotinformation accepterar du standardvärden och väljer Granska och skapa:

  20. Granska för att bekräfta ditt val och välj sedan Skapa.

Associera princip

Associera brandväggsprincipen med hubben.

  1. Från Firewall Manager väljer du Azure Firewall-principer.
  2. Markera kryssrutan för Princip-01.
  3. Välj Hantera associationer, Associera hubbar.
  4. Välj hub-01.
  5. Markera Lägga till.

Dirigera trafik till din hubb

Nu måste du se till att nätverkstrafiken dirigeras genom brandväggen.

  1. I Brandväggshanteraren väljer du Virtuella hubbar.

  2. Välj Hub-01.

  3. Under Inställningar väljer du Säkerhetskonfiguration.

  4. Under Internettrafik väljer du Azure Firewall.

  5. Under Privat trafik väljer du Skicka via Azure Firewall.

    Kommentar

    Om du använder offentliga IP-adressintervall för privata nätverk i ett virtuellt nätverk eller en lokal gren måste du uttryckligen ange dessa IP-adressprefix. Välj avsnittet Prefix för privat trafik och lägg sedan till dem tillsammans med adressprefixen för RFC1918.

  6. Under Inter-hub väljer du Aktiverad för att aktivera avsiktsfunktionen för Virtual WAN-routning. Routnings avsikt är den mekanism genom vilken du kan konfigurera Virtual WAN för att dirigera förgrening till gren (lokalt till lokal) trafik via Azure Firewall som distribueras i Virtual WAN Hub. Mer information om förutsättningar och överväganden som är associerade med funktionen för routningssyfte finns i dokumentationen om routningssyfte.

  7. Välj Spara.

  8. Välj OK i dialogrutan Varning .

  9. Välj OK i dialogrutan Migrera för att använda inter-hubb .

    Kommentar

    Det tar några minuter att uppdatera routningstabellerna.

  10. Kontrollera att de två anslutningarna visar att Azure Firewall skyddar både Internet och privat trafik.

testa brandväggen.

Om du vill testa brandväggsreglerna ansluter du ett fjärrskrivbord med brandväggens offentliga IP-adress, som är NATed till Srv-Workload-01. Därifrån använder du en webbläsare för att testa programregeln och ansluta ett fjärrskrivbord till Srv-Workload-02 för att testa nätverksregeln.

Testa programregeln

Testa nu brandväggsreglerna för att bekräfta att det fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress och logga in.

  2. Öppna Internet Explorer och navigera till https://www.microsoft.com.

  3. Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.

    Du bör se Microsofts startsida.

  4. Bläddra till https://www.google.com.

    Brandväggen bör blockera detta.

Nu har du alltså kontrollerat att brandväggens programregel fungerar:

  • Du kan bläddra till en tillåten FQDN, men inte till andra.

Testa nätverksregeln

Testa nu nätverksregeln.

  • Från Srv-Workload-01 öppnar du ett fjärrskrivbord till den privata IP-adressen Srv-Workload-02.

    Ett fjärrskrivbord ska ansluta till Srv-Workload-02.

Nu har du alltså kontrollerat att brandväggens nätverksregel fungerar:

  • Du kan ansluta ett fjärrskrivbord till en server som finns i ett annat virtuellt nätverk.

Rensa resurser

När du är klar med att testa brandväggsresurserna tar du bort resursgruppen fw-manager-rg för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Lär dig mer om betrodda säkerhetspartners