Share via

Kurz: Zabezpečení virtuálního centra pomocí Azure Firewall Manageru

  • Článek

Pomocí Azure Firewall Manageru můžete vytvořit zabezpečená virtuální centra pro zabezpečení cloudového síťového provozu směřujícího na privátní IP adresy, Azure PaaS a internet. Směrování provozu do brány firewall je automatizované, takže není potřeba vytvářet trasy definované uživatelem.

Firewall Manager také podporuje architekturu virtuální sítě centra. Porovnání typů architektury zabezpečeného virtuálního centra a centrální virtuální sítě najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

V tomto kurzu se naučíte:

  • Vytvoření paprskové virtuální sítě
  • Vytvoření zabezpečeného virtuálního centra
  • Připojení hvězdicové virtuální sítě
  • Směrování provozu do centra
  • Nasazení serverů
  • Vytvoření zásad brány firewall a zabezpečení centra
  • Testovat bránu firewall

Důležité

Postup v tomto kurzu používá Azure Firewall Manager k vytvoření nového zabezpečeného centra Azure Virtual WAN. Pomocí Správce brány firewall můžete upgradovat existující centrum, ale nemůžete nakonfigurovat Azure Zóny dostupnosti pro službu Azure Firewall. Pomocí webu Azure Portal je také možné převést existující centrum na zabezpečené centrum, jak je popsáno v tématu Konfigurace brány Azure Firewall v centru Virtual WAN. Stejně jako Azure Firewall Manager nemůžete nakonfigurovat Zóny dostupnosti. Pokud chcete upgradovat existující centrum a zadat Zóny dostupnosti pro Azure Firewall (doporučeno), musíte postupovat podle postupu upgradu v kurzu: Zabezpečení virtuálního centra pomocí Azure PowerShellu.

Diagram showing the secure cloud network.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření hvězdicové architektury

Nejprve vytvořte paprskové virtuální sítě, kde můžete umístit servery.

Vytvoření dvou paprskových virtuálních sítí a podsítí

Obě virtuální sítě mají v nich server úloh a jsou chráněné bránou firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Vyhledejte virtuální síť, vyberte ji a vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. V části Skupina prostředků vyberte Vytvořit nový a jako název zadejte fw-manager-rg a vyberte OK.
  5. Jako název virtuální sítě zadejte Spoke-01.
  6. Jako oblast vyberte USA – východ.
  7. Vyberte Další.
  8. Na stránce Zabezpečení vyberte Další.
  9. V části Přidat adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. Jako název zadejte Workload-01-SN.
  12. Jako počáteční adresu zadejte 10.0.1.0/24.
  13. Zvolte Uložit.
  14. Vyberte Zkontrolovat a vytvořit.
  15. Vyberte Vytvořit.

Opakováním tohoto postupu vytvořte další podobnou virtuální síť ve skupině prostředků fw-manager-rg :

Název: Spoke-02
Adresní prostor: 10.1.0.0/16
Název podsítě: Workload-02-SN
Počáteční adresa: 10.1.1.0/24

Vytvoření zabezpečeného virtuálního centra

Vytvořte zabezpečené virtuální centrum pomocí Správce brány firewall.

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

  2. Do vyhledávacího pole zadejte Správce brány firewall a vyberte Správce brány firewall.

  3. Na stránce Správce brány firewall v části Nasazení vyberte Virtuální centra.

  4. Ve Správci brány firewall | Stránka Virtuální centra vyberte Vytvořit nové zabezpečené virtuální centrum.

    Screenshot of creating a new secured virtual hub.

  5. Vyberte své předplatné.

  6. V části Skupina prostředků vyberte fw-manager-rg.

  7. Jako oblast vyberte USA – východ.

  8. Jako název zabezpečeného virtuálního centra zadejte Hub-01.

  9. Jako adresní prostor centra zadejte 10.2.0.0/16.

  10. Vyberte Novou virtuální síť WAN.

  11. Jako nový název virtuální sítě WAN zadejte Vwan-01.

  12. Jako typ vyberte standard.

  13. Pokud chcete povolit důvěryhodné partnery zabezpečení, ponechte zaškrtnuté políčko Zahrnout bránu VPN.

    Screenshot of creating a new virtual hub with properties.

  14. Vyberte Další: Azure Firewall.

  15. Přijměte výchozí nastavení s povolenou bránou Azure Firewall.

  16. Pro úroveň služby Azure Firewall vyberte Standard.

  17. Vyberte požadovanou kombinaci Zóny dostupnosti.

Důležité

Virtual WAN je kolekce center a služeb zpřístupněných v rámci centra. Můžete nasadit tolik virtuálních WAN, kolik potřebujete. V centru Virtual WAN existuje několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti s výjimkou služby Azure Firewall, pokud oblast podporuje Zóny dostupnosti. Pokud chcete sladit odolnost sítě Azure Virtual WAN, měli byste vybrat všechny dostupné Zóny dostupnosti.

Screenshot of configuring Azure Firewall parameters.

  1. Do textového pole Zadejte počet adresátů veřejné IP adresy zadejte 1.

  2. V části Zásady brány firewall se ujistěte, že je vybraná výchozí zásada zamítnutí. Nastavení si upřesníte později v tomto článku.

  3. Vyberte Další: Poskytovatel partnera zabezpečení.

    Screenshot of configuring Trusted Partners parameters.

  4. Přijměte výchozí nastavení Zakázáno důvěryhodného partnerazabezpečení a vyberte Další: Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

    Screenshot of creating the Firewall instance.

Poznámka:

Vytvoření zabezpečeného virtuálního centra může trvat až 30 minut.

Po dokončení nasazení můžete najít veřejnou IP adresu brány firewall.

  1. Otevřete Správce brány firewall.
  2. Vyberte Virtuální centra.
  3. Vyberte hub-01.
  4. Vyberte AzureFirewall_Hub-01.
  5. Poznamenejte si veřejnou IP adresu, kterou chcete použít později.

Připojení hvězdicové virtuální sítě

Teď můžete propojit virtuální sítě s hvězdicovou sítí.

  1. Vyberte skupinu prostředků fw-manager-rg a pak vyberte virtuální síť WAN Vwan-01.

  2. V části Připojení ivity vyberte připojení virtuální sítě.

    Screenshot of adding Virtual Network connections.

  3. Vyberte Přidat připojení.

  4. Jako název Připojení zadejte hub-spoke-01.

  5. V případě hubs vyberte Hub-01.

  6. V části Skupina prostředků vyberte fw-manager-rg.

  7. V případě virtuální sítě vyberte Spoke-01.

  8. Vyberte Vytvořit.

  9. Opakujte připojení virtuální sítě Spoke-02 : název připojení – hub-spoke-02.

Nasazení serverů

  1. Na webu Azure Portal vyberte Vytvořit prostředek.

  2. V seznamu Oblíbené vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků fw-manager-rg
    Virtual machine name Srv-workload-01
    Oblast (USA) USA – východ)
    uživatelské jméno Správa istrator zadejte uživatelské jméno.
    Heslo zadejte heslo.

  4. V části Pravidla portů pro příchozí spojení vyberte pro veřejné příchozí porty možnost Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Vyberte Pro virtuální síť paprsky 01 a jako podsíť vyberte Workload-01-SN .

  8. Jako veřejnou IP adresu vyberte Žádné.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Vyberte Další:Monitorování.

  11. Výběrem možnosti Zakázat zakážete diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  12. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Informace v následující tabulce slouží ke konfiguraci jiného virtuálního počítače s názvem Srv-Workload-02. Zbytek konfigurace je stejný jako virtuální počítač Srv-workload-01 .

Nastavení Hodnota
Virtuální síť Paprsky 02
Podsíť Úloha-02-SN

Po nasazení serverů vyberte prostředek serveru a v části Sítě si poznamenejte privátní IP adresu pro každý server.

Vytvoření zásad brány firewall a zabezpečení centra

Zásady brány firewall definují kolekce pravidel pro směrování provozu na jednom nebo několika zabezpečených virtuálních centrech. Vytvoříte zásady brány firewall a pak centrum zabezpečíte.

  1. Ve Správci brány firewall vyberte zásady služby Azure Firewall.

    Screenshot of creating an Azure Policy with first step.

  2. Vyberte Vytvořit zásadu služby Azure Firewall.

    Screenshot of configuring Azure Policy settings in first step.

  3. V části Skupina prostředků vyberte fw-manager-rg.

  4. V části Podrobnosti o zásadách vyberte typ Název Policy-01 a v části Oblast vyberte USA – východ.

  5. Pro úroveň Zásad vyberte Standard.

  6. Vyberte Další: NASTAVENÍ DNS.

    Screenshot of configuring DNS settings.

  7. Vyberte Další: Kontrola protokolu TLS.

    Screenshot of configuring TLS settings.

  8. Vyberte Další: Pravidla.

  9. Na kartě Pravidla vyberte Přidat kolekci pravidel.

    Screenshot of configuring Rule Collection.

  10. Na stránce Přidat kolekci pravidel zadejte název app-RC-01.

  11. Jako typ kolekce pravidel vyberte Možnost Aplikace.

  12. Jako prioritu zadejte 100.

  13. Ujistěte se, že je akcekolekce pravidel povolená.

  14. Jako název pravidla zadejte Allow-msft.

  15. Jako typ Zdroj vyberte IP adresu.

  16. Jako zdroj zadejte *.

  17. Jako protokol zadejte http,https.

  18. Ujistěte se, že cílový typ je plně kvalifikovaný název domény.

  19. Jako cíl zadejte *.microsoft.com.

  20. Vyberte Přidat.

  21. Přidejte pravidlo DNAT, abyste mohli připojit vzdálenou plochu k virtuálnímu počítači Srv-Workload-01.

    1. Vyberte Přidat kolekci pravidel.
    2. Jako název zadejte dnat-rdp.
    3. Jako typ kolekce pravidel vyberte DNAT.
    4. Jako prioritu zadejte 100.
    5. Jako název pravidla zadejte Allow-rdp.
    6. Jako typ Zdroj vyberte IP adresu.
    7. Jako zdroj zadejte *.
    8. V části Protokol vyberte TCP.
    9. Jako cílové porty zadejte 3389.
    10. Jako cíl zadejte veřejnou IP adresu brány firewall, kterou jste si poznamenali dříve.
    11. Jako přeložený typ vyberte IP adresu.
    12. V případě přeložené adresy zadejte privátní IP adresu pro Srv-Workload-01 , kterou jste si poznamenali dříve.
    13. Do pole Přeložený port zadejte 3389.
    14. Vyberte Přidat.

  22. Přidejte pravidlo sítě, abyste mohli připojit vzdálenou plochu ze Srv-Workload-01 k Srv-Workload-02.

    1. Vyberte Přidat kolekci pravidel.
    2. Jako název zadejte vnet-rdp.
    3. Jako typ kolekce pravidel vyberte Síť.
    4. Jako prioritu zadejte 100.
    5. V případě akce kolekce pravidel vyberte Povolit.
    6. Pro typ názvu pravidla Allow-vnet.
    7. Jako typ Zdroj vyberte IP adresu.
    8. Jako zdroj zadejte *.
    9. V části Protokol vyberte TCP.
    10. Jako cílové porty zadejte 3389.
    11. Jako typ cíle vyberte IP adresu.
    12. Jako cíl zadejte privátní IP adresu Srv-Workload-02 , kterou jste si poznamenali dříve.
    13. Vyberte Přidat.

  23. Vyberte Další: IDPS.

  24. Na stránce IDPS vyberte Další: Analýza hrozeb.

    Screenshot of configuring IDPS settings.

  25. Na stránce Analýza hrozeb přijměte výchozí hodnoty a vyberte Zkontrolovat a vytvořit:

    Screenshot of configuring Threat Intelligence settings.

  26. Zkontrolujte výběr a pak vyberte Vytvořit.

Přidružení zásad

Přidružte zásady brány firewall k centru.

  1. Ve Správci brány firewall vyberte Zásady služby Azure Firewall.

  2. Zaškrtněte políčko zásady-01.

  3. Vyberte Spravovat přidružení, Přidružit centra.

    Screenshot of configuring Policy association.

  4. Vyberte hub-01.

  5. Vyberte Přidat.

    Screenshot of adding Policy and Hub settings.

Směrování provozu do centra

Teď musíte zajistit, aby se síťový provoz směroval přes bránu firewall.

  1. Ve Správci brány firewall vyberte virtuální centra.

  2. Vyberte Hub-01.

  3. V části Nastavení vyberte Konfigurace zabezpečení.

  4. V části Internetový provoz vyberte Azure Firewall.

  5. V části Privátní provoz vyberte Odeslat přes Azure Firewall.

    Poznámka:

    Pokud používáte rozsahy veřejných IP adres pro privátní sítě ve virtuální síti nebo místní větvi, musíte explicitně zadat tyto předpony IP adres. Vyberte část Předpony privátního provozu a přidejte je spolu s předponami RFC1918 adres.

  6. V části Inter-Hub vyberte Povoleno, pokud chcete povolit funkci záměru směrování virtual WAN. Záměrem směrování je mechanismus, prostřednictvím kterého můžete nakonfigurovat Virtual WAN tak, aby směrovaly provoz mezi pobočkami (místní do místního prostředí) přes Azure Firewall nasazenou v centru Virtual WAN. Další informace o požadavcích a aspektech souvisejících s funkcí záměru směrování najdete v dokumentaci ke záměru směrování.

  7. Zvolte Uložit.

  8. V dialogovém okně Upozornění vyberte OK.

    Screenshot of Secure Connections.

  9. V dialogovém okně Migrace vyberte OK.

    Poznámka:

    Aktualizace směrovacích tabulek trvá několik minut.

  10. Ověřte, že tato dvě připojení ukazují, že Azure Firewall zabezpečuje internetový i privátní provoz.

    Screenshot of Secure Connections final status.

Testovat bránu firewall

Pokud chcete otestovat pravidla brány firewall, připojte vzdálenou plochu pomocí veřejné IP adresy brány firewall, která je natovaná na Srv-Workload-01. Odtud pomocí prohlížeče otestujte pravidlo aplikace a připojte vzdálenou plochu k Srv-Workload-02 a otestujte síťové pravidlo.

Otestování pravidla aplikace

Teď otestujte pravidla brány firewall a ověřte, že funguje podle očekávání.

  1. Připojení vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se.

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.microsoft.com.

  3. V výstrahách zabezpečení aplikace Internet Explorer vyberte tlačítko OK>Zavřít.

    Měla by se zobrazit domovská stránka Microsoftu.

  4. Přejděte na https://www.google.com.

    Brána firewall by to měla blokovat.

Teď jste ověřili, že pravidlo aplikace brány firewall funguje:

  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.

Otestování pravidla sítě

Teď otestujte pravidlo sítě.

  • Z Srv-Workload-01 otevřete vzdálenou plochu s privátní IP adresou Srv-Workload-02.

    Vzdálená plocha by se měla připojit k Srv-Workload-02.

Teď jste ověřili, že pravidlo sítě brány firewall funguje:

  • Vzdálenou plochu můžete připojit k serveru umístěnému v jiné virtuální síti.

Vyčištění prostředků

Po dokončení testování prostředků brány firewall odstraňte skupinu prostředků fw-manager-rg a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Informace o důvěryhodných partnerech zabezpečení