Kurz: Zabezpečení virtuálního centra pomocí Azure Firewall Manageru

Pomocí Azure Firewall Manageru můžete vytvořit zabezpečená virtuální centra pro zabezpečení cloudového síťového provozu směřujícího na privátní IP adresy, Azure PaaS a internet. Směrování provozu do brány firewall je automatizované, takže není potřeba vytvářet trasy definované uživatelem.

Firewall Manager také podporuje architekturu virtuální sítě centra. Porovnání typů architektury zabezpečeného virtuálního centra a centrální virtuální sítě najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

V tomto kurzu se naučíte:

• Vytvoření paprskové virtuální sítě
• Vytvoření zabezpečeného virtuálního centra
• Připojení hvězdicových virtuálních sítí
• Směrování provozu do centra
• Nasazení serverů
• Vytvoření zásad brány firewall a zabezpečení centra
• Testovat bránu firewall

Důležité

Postup v tomto kurzu používá Azure Firewall Manager k vytvoření nového zabezpečeného centra Azure Virtual WAN. Pomocí Správce brány firewall můžete upgradovat existující centrum, ale nemůžete nakonfigurovat Azure Zóny dostupnosti pro službu Azure Firewall. Pomocí webu Azure Portal je také možné převést existující centrum na zabezpečené centrum, jak je popsáno v tématu Konfigurace brány Azure Firewall v centru Virtual WAN. Stejně jako Azure Firewall Manager nemůžete nakonfigurovat Zóny dostupnosti. Pokud chcete upgradovat existující centrum a zadat Zóny dostupnosti pro Azure Firewall (doporučeno), musíte postupovat podle postupu upgradu v kurzu: Zabezpečení virtuálního centra pomocí Azure PowerShellu.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření hvězdicové architektury

Nejprve vytvořte paprskové virtuální sítě, kde můžete umístit servery.

Vytvoření dvou paprskových virtuálních sítí a podsítí

Obě virtuální sítě mají v nich server úloh a jsou chráněné bránou firewall.

1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

2. Vyhledejte virtuální síť, vyberte ji a vyberte Vytvořit.

3. Vytvořte virtuální síť s následujícím nastavením:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte Vytvořit nový a jako název zadejte fw-manager-rg a vyberte OK.
   Název virtuální sítě	Paprsky 01
   Oblast	USA – východ

4. Vyberte Další a pak vyberte Další.

5. Na kartě Sítě vytvořte podsítě s následujícím nastavením:

   Nastavení	Hodnota
   Přidání adresního prostoru IPv4	10.0.0.0/16 (výchozí)
   Podsítě
   Podsíť úloh
   Název	Workload-01-SN
   Počáteční adresa	10.0.1.0/24
   Podsíť Bastionu
   Název	AzureBastionSubnet
   Počáteční adresa	10.0.2.0/26

6. Vyberte Uložit, Zkontrolovat a vytvořit a pak vyberte Vytvořit.

Opakováním tohoto postupu vytvořte další podobnou virtuální síť ve skupině prostředků fw-manager-rg :

Nastavení	Hodnota
Název	Paprsky 02
Adresní prostor	10.1.0.0/16
Název podsítě	Úloha-02-SN
Počáteční adresa	10.1.1.0/24

Vytvoření zabezpečeného virtuálního centra

Vytvořte zabezpečené virtuální centrum pomocí Správce brány firewall.

1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

2. Do vyhledávacího pole zadejte Správce brány firewall a vyberte Správce brány firewall.

3. Na stránce Správce brány firewall v části Nasazení vyberte Virtuální centra.

4. Ve Správci brány firewall | Stránka Virtuální centra vyberte Vytvořit nové zabezpečené virtuální centrum.

5. Na stránce Vytvořit nové zabezpečené virtuální centrum zadejte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte fw-manager-rg.
   Oblast	USA – východ
   Název zabezpečeného virtuálního centra	Hub-01
   Adresní prostor centra	10.2.0.0/16

6. Vyberte Novou virtuální síť WAN.

   Nastavení	Hodnota
   Nový název virtuální sítě WAN	Vwan-01
   Typ	Standard
   Zahrnutí brány VPN pro povolení důvěryhodných partnerů zabezpečení	Políčko nechejte zaškrtnuté.

7. Vyberte Další: Azure Firewall.

8. Přijměte výchozí nastavení s povolenou bránou Azure Firewall.

9. Pro úroveň služby Azure Firewall vyberte Standard.

10. Vyberte požadovanou kombinaci Zóny dostupnosti.

    Důležité

    Virtual WAN je kolekce center a služeb zpřístupněných v rámci centra. Můžete nasadit tolik virtuálních WAN, kolik potřebujete. V centru Virtual WAN existuje několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti s výjimkou služby Azure Firewall, pokud oblast podporuje Zóny dostupnosti. Pokud chcete sladit odolnost sítě Azure Virtual WAN, měli byste vybrat všechny dostupné Zóny dostupnosti.

11. Do textového pole Zadejte počet veřejných IP adres zadejte 1nebo přidružte stávající veřejnou IP adresu (Preview) k této bráně firewall.

12. V části Zásady brány firewall se ujistěte, že je vybraná výchozí zásada zamítnutí. Nastavení si upřesníte později v tomto článku.

13. Vyberte Další: Poskytovatel partnera zabezpečení.

14. Přijměte výchozí nastavení Zakázáno důvěryhodného partnera zabezpečení a vyberte Další: Zkontrolovat a vytvořit.

15. Vyberte Vytvořit.

Poznámka:

Vytvoření zabezpečeného virtuálního centra může trvat až 30 minut.

Po dokončení nasazení můžete najít veřejnou IP adresu brány firewall.

1. Otevřete Správce brány firewall.
2. Vyberte Virtuální centra.
3. Vyberte hub-01.
4. Vyberte AzureFirewall_Hub-01.
5. Poznamenejte si veřejnou IP adresu, kterou chcete použít později.

Připojení hvězdicových virtuálních sítí

Teď můžete propojit virtuální sítě s hvězdicovou sítí.

1. Vyberte skupinu prostředků fw-manager-rg a pak vyberte virtuální síť WAN Vwan-01.

2. V části Připojení vyberte Připojení k virtuální síti.

   Nastavení	Hodnota
   Název připojení	hub-spoke-01
   Rozbočovače	Hub-01
   Skupina prostředků	fw-manager-rg
   Virtuální síť	Paprsky 01

3. Vyberte Vytvořit.

4. Opakujte předchozí kroky pro připojení virtuální sítě Spoke-02 s následujícím nastavením:

   Nastavení	Hodnota
   Název připojení	hub-spoke-02
   Rozbočovače	Hub-01
   Skupina prostředků	fw-manager-rg
   Virtuální síť	Paprsky 02

Nasazení serverů

1. Na webu Azure Portal vyberte Vytvořit prostředek.

2. Vyhledejte Ubuntu Server 22.04 LTS a vyberte ho.

3. Vyberte Vytvořit>virtuální počítač.

4. Zadejte pro virtuální počítač tyto hodnoty:

   Nastavení	Hodnota
   Skupina prostředků	fw-manager-rg
   Název virtuálního počítače	Srv-workload-01
   Oblast	(USA) USA – východ
   Obrázek	Ubuntu Server 22.04 LTS – x64 Gen2
   Typ autentizace	Veřejný klíč SSH
   Uživatelské jméno	azureuser
   Zdroj veřejného klíče SSH	Vygenerování nového páru klíčů
   Název páru klíčů	srv-workload-01_key

5. V části Pravidla portů pro příchozí spojení vyberte pro veřejné příchozí porty možnost Žádné.

6. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

7. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

8. Vyberte Pro virtuální síť paprsky 01 a jako podsíť vyberte Workload-01-SN .

9. Jako veřejnou IP adresu vyberte Žádné.

10. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

11. Vyberte Další:Monitorování.

12. Výběrem možnosti Zakázat zakážete diagnostiku spouštění.

13. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

14. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

15. Po zobrazení výzvy stáhněte a uložte soubor privátního klíče (například srv-workload-01_key.pem).

Informace v následující tabulce slouží ke konfiguraci jiného virtuálního počítače s názvem Srv-Workload-02. Zbytek konfigurace je stejný jako virtuální počítač Srv-workload-01 , ale použijte jiný název páru klíčů, jako je srv-workload-02_key.

Nastavení	Hodnota
Virtuální síť	Paprsky 02
Podsíť	Úloha-02-SN

Po nasazení serverů vyberte prostředek serveru a v části Sítě si poznamenejte privátní IP adresu pro každý server.

Instalace serveru Nginx na servery

Po nasazení virtuálních počítačů nainstalujte na oba servery Nginx a ověřte připojení k webu později.

1. Na webu Azure Portal přejděte na virtuální počítač Srv-workload-01 .

2. Vyberte Spustit příkaz>RunShellScript.

3. Spusťte následující příkaz:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html
   

4. Opakujte stejný postup pro Srv-workload-02 a nahraďte název hostitele v příkazu echo:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html
   

Nasazení služby Azure Bastion

Nasaďte Azure Bastion ve virtuální síti Spoke-01, abyste se mohli bezpečně připojit k virtuálním počítačům.

1. Na webu Azure Portal vyhledejte bastions a vyberte ji.

2. Vyberte Vytvořit.

3. Nakonfigurujte Bastion s následujícími nastaveními:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	fw-manager-rg
   Název	Bastion-01
   Oblast	USA – východ
   Tier	Vývojář
   Virtuální síť	Paprsky 01
   Podsíť	AzureBastionSubnet (10.0.2.0/26)

4. Vyberte možnost Zkontrolovat a vytvořit, poté vyberte Vytvořit.

Poznámka:

Dokončení nasazení služby Azure Bastion může trvat přibližně 10 minut.

Vytvoření zásad brány firewall a zabezpečení centra

Zásady brány firewall definují kolekce pravidel pro směrování provozu na jednom nebo několika zabezpečených virtuálních centrech. Vytvoříte zásady brány firewall a pak centrum zabezpečíte.

1. Ve Správci brány firewall vyberte zásady služby Azure Firewall.

2. Vyberte Vytvořit zásadu služby Azure Firewall.

3. V části Skupina prostředků vyberte fw-manager-rg.

4. V části Podrobnosti o zásadách vyberte typ Název Policy-01 a v části Oblast vyberte USA – východ.

5. Pro úroveň Zásad vyberte Standard.

6. Vyberte Další: Nastavení DNS.

7. Vyberte Další: Kontrola protokolu TLS.

8. Vyberte Další: Pravidla.

9. Na kartě Pravidla vyberte Přidat kolekci pravidel.

10. Na stránce Přidat kolekci pravidel zadejte následující informace.

    Nastavení	Hodnota
    Název	App-RC-01
    Typ kolekce pravidel	Aplikace
    Priorita	100
    Akce kolekce pravidel	Povolit
    Název pravidla	Allow-msft
    Typ zdroje	IP adresa
    Zdroj	*
    Protokol	http, https
    Typ cíle	FQDN
    Cíl	*.microsoft.com

11. Vyberte Přidat.

12. Přidejte pravidlo sítě , které povolí provoz SSH a HTTP mezi paprskovými virtuálními sítěmi.

13. Vyberte Přidat kolekci pravidel a zadejte následující informace.

    Nastavení	Hodnota
    Název	přístup k virtuální síti
    Typ kolekce pravidel	Síť
    Priorita	100
    Akce kolekce pravidel	Povolit
    Název pravidla	Allow-SSH-HTTP
    Typ zdroje	IP adresa
    Zdroj	10.0.0.0/16,10.1.0.0/16
    Protokol	TCP
    Cílové porty	22,80
    Typ cíle	IP adresa
    Cíl	10.0.0.0/16,10.1.0.0/16

14. Vyberte Přidat a pak vyberte Další: IDPS.

15. Na stránce IDPS vyberte Další: Analýza hrozeb.

16. Na stránce Analýza hrozeb přijměte výchozí hodnoty a vyberte Zkontrolovat a vytvořit:

17. Zkontrolujte výběr a pak vyberte Vytvořit.

Přidružení zásad

Přidružte zásady brány firewall k centru.

1. Ve Správci brány firewall vyberte Zásady služby Azure Firewall.
2. Zaškrtněte políčko zásady-01.
3. Vyberte Spravovat přidružení, Přidružit centra.
4. Vyberte hub-01.
5. Vyberte Přidat.

Směrování provozu do centra

Teď musíte zajistit, aby se síťový provoz směroval přes bránu firewall.

1. Ve Správci brány firewall vyberte virtuální centra.

2. Vyberte Hub-01.

3. V části Nastavení vyberte Konfigurace zabezpečení.

4. V části Internetový provoz vyberte Azure Firewall.

5. V části Privátní provoz vyberte Odeslat přes Azure Firewall.

   Poznámka:

   Pokud používáte rozsahy veřejných IP adres pro privátní sítě ve virtuální síti nebo místní větvi, musíte explicitně zadat tyto předpony IP adres. Vyberte část Předpony privátního provozu a přidejte je spolu s předponami RFC1918 adres.

6. V části Inter-Hub vyberte Povoleno, pokud chcete povolit funkci záměru směrování virtual WAN. Záměrem směrování je mechanismus, prostřednictvím kterého můžete nakonfigurovat Virtual WAN tak, aby směrovaly provoz mezi pobočkami (místní do místního prostředí) přes Azure Firewall nasazenou v centru Virtual WAN. Další informace o požadavcích a aspektech souvisejících s funkcí záměru směrování najdete v dokumentaci ke záměru směrování.

7. Zvolte Uložit.

8. V dialogovém okně Upozornění vyberte OK.

9. V dialogovém okně Migrace vyberte OK.

   Poznámka:

   Aktualizace směrovacích tabulek trvá několik minut.

10. Ověřte, že tato dvě připojení ukazují, že Azure Firewall zabezpečuje internetový i privátní provoz.

Testovat bránu firewall

K otestování pravidel brány firewall se pomocí služby Azure Bastion připojte k Srv-Workload-01 a ověřte, že aplikace i síťová pravidla fungují.

Otestování pravidla aplikace

Teď otestujte pravidla brány firewall a ověřte, že funguje podle očekávání.

1. Na webu Azure Portal přejděte na virtuální počítač Srv-workload-01 .

2. Vyberte Připojení>Připojit přes Bastion.

3. Zadejte uživatelské jméno azureuser a nahrajte soubor privátního klíče .pem , který jste stáhli při vytváření virtuálního počítače.

4. Vyberte Připojit pro otevření relace SSH.

5. V relaci SSH spusťte následující příkaz pro otestování přístupu k Microsoftu:

   curl https://www.microsoft.com
   

   Měli byste vidět vrácený obsah HTML a potvrdit, že přístup je povolený.

6. Otestujte přístup ke Googlu (který by měl být blokovaný):

   curl https://www.google.com
   

   Požadavek by měl vypršet časový limit nebo selhat, což ukazuje, že brána firewall blokuje tuto webovou stránku.

Teď jste ověřili, že pravidlo aplikace brány firewall funguje:

• Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.

Otestování pravidla sítě

Teď otestujte pravidlo sítě připojením z Srv-Workload-01 k Srv-Workload-02 pomocí protokolu HTTP.

1. Otestujte připojení HTTP k webovému serveru Nginx na serveru Srv-Workload-02:

   curl http://<Srv-Workload-02-private-IP>
   

   Měl by se zobrazit stav vrácený webovým serverem.

Vyčištění prostředků

Po dokončení testování prostředků brány firewall odstraňte skupinu prostředků fw-manager-rg a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Informace o důvěryhodných partnerech zabezpečení