Tutorial: Schützen Ihres virtuellen Hubs mit Azure Firewall Manager

Mit Azure Firewall Manager können Sie geschützte virtuelle Hubs erstellen, um für private IP-Adressen, für Azure PaaS und für das Internet bestimmten Datenverkehr Ihres Cloudnetzwerks zu schützen. Das Datenverkehrsrouting zur Firewall ist automatisiert. Daher müssen keine benutzerdefinierten Routen (User Defined Routes, UDRs) erstellt werden.

Firewall Manager unterstützt außerdem die Architektur für virtuelle Hubnetzwerke. Einen Vergleich der Architekturtypen für geschützte virtuelle Hubs und virtuelle Hubnetzwerke finden Sie unter Welche Architekturoptionen gibt es für Azure Firewall Manager?.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen des virtuellen Spoke-Netzwerks
  • Erstellen eines geschützten virtuellen Hubs
  • Herstellen einer Verbindung für die virtuellen Hub-and-Spoke-Netzwerke
  • Weiterleiten von Datenverkehr an Ihren Hub
  • Bereitstellen der Server
  • Erstellen einer Firewallrichtlinie und Schützen Ihres Hubs
  • Testen der Firewall

Wichtig

In diesem Tutorial wird Azure Firewall Manager verwendet, um einen neuen, geschützten Azure Virtual WAN-Hub zu erstellen. Sie können Firewall Manager verwenden, um einen vorhandenen Hub upzugraden, allerdings können Sie keine Azure-Verfügbarkeitszonen für Azure Firewall konfigurieren. Es ist auch möglich, einen vorhandenen Hub mithilfe des Azure-Portals in einen geschützten Hub zu konvertieren. Der Ablauf wird unter Konfigurieren von Azure Firewall in einem Virtual WAN-Hub beschrieben. Genau wie bei Azure Firewall Manager können Sie jedoch keine Verfügbarkeitszonen konfigurieren. Um einen vorhandenen Hub upzugraden und Verfügbarkeitszonen für Azure Firewall anzugeben (empfohlen), müssen Sie das Upgradeverfahren in Tutorial: Schützen Ihres virtuellen Hubs mithilfe von Azure PowerShell befolgen.

Diagram showing the secure cloud network.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Hub-Spoke-Architektur

Erstellen Sie zunächst virtuelle Spoke-Netzwerke für Ihre Server.

Erstellen von zwei virtuellen Spoke-Netzwerken und Subnetzen

Die beiden virtuellen Netzwerke werden jeweils einen Workloadserver enthalten und durch die Firewall geschützt sein.

  1. Wählen Sie auf der Startseite des Azure-Portals Ressource erstellen aus.
  2. Suchen Sie nach Virtuelles Netzwerk, und wählen Sie Erstellen aus.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, geben Sie fw-manager-rg als Name ein, und wählen Sie OK aus.
  5. Geben Sie unter Name den Namen Spoke-01 ein.
  6. Wählen Sie als Region die Option USA, Osten aus.
  7. Klicken Sie auf Weiter: IP-Adressen.
  8. Übernehmen Sie für Adressraum den Standardwert 10.0.0.0/16.
  9. Wählen Sie Subnetz hinzufügen aus.
  10. Geben Sie unter Subnetzname die Zeichenfolge Workload-01-SN ein.
  11. Geben Sie unter Subnetzadressbereich den Bereich 10.0.1.0/24 ein.
  12. Wählen Sie Hinzufügen.
  13. Klicken Sie auf Überprüfen + erstellen.
  14. Klicken Sie auf Erstellen.

Wiederholen Sie dieses Verfahren, um ein weiteres ähnliches virtuelles Netzwerk in der Ressourcengruppe fw-manager-rg zu erstellen:

Name: Spoke-02
Adressraum: 10.1.0.0/16
Subnetzname: Workload-02-SN
Subnetzadressbereich: 10.1.1.0/24

Erstellen des geschützten virtuellen Hubs

Erstellen Sie mithilfe von Firewall Manager Ihren geschützten virtuellen Hub.

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.

  2. Geben Sie Firewall Manager in das Suchfeld ein, und wählen Sie Firewall Manager aus.

  3. Wählen Sie auf der Seite Firewall Manager unter Bereitstellungen die Option Virtuelle Hubs aus.

  4. Wählen Sie auf der Seite Firewall Manager | Virtuelle Hubs die Option Neuen geschützten virtuellen Hub erstellen aus.

    Screenshot of creating a new secured virtual hub.

  5. Wählen Sie Ihr Abonnement aus.

  6. Wählen Sie unter Ressourcengruppe die Ressourcengruppe fw-manager-rg aus.

  7. Wählen Sie als Region die Option USA, Osten aus.

  8. Geben Sie als Name des geschützten virtuellen Hubs den Namen Hub-01 ein.

  9. Geben Sie unter Adressraum des Hubs den Adressraum 10.2.0.0/16 ein.

  10. Wählen Sie Neues vWAN aus.

  11. Geben Sie Vwan-01 als Namen für das neue virtuelle WAN (vWAN) ein.

  12. Wählen Sie für Typ die Option Standard aus.

  13. Lassen Sie das Kontrollkästchen VPN Gateway zum Aktivieren vertrauenswürdiger Sicherheitspartner einbeziehen deaktiviert.

    Screenshot of creating a new virtual hub with properties.

  14. Klicken Sie auf Weiter: Azure Firewall aus.

  15. Übernehmen Sie in Azure Firewall die Standardeinstellung Aktiviert.

  16. Wählen Sie Standard als Azure Firewall-Tarif aus.

  17. Wählen Sie die gewünschte Kombination aus Verfügbarkeitszonen aus.

Wichtig

Virtual WAN ist eine Sammlung von Hubs und Diensten, die innerhalb des Hubs zur Verfügung gestellt werden. Sie können so viele virtuelle WANs bereitstellen, wie Sie benötigen. In einem Virtual WAN-Hub gibt es mehrere Dienste wie zum Beispiel VPN und ExpressRoute. Wenn die Region Verfügbarkeitszonen unterstützt, wird jeder dieser Dienste (außer Azure Firewall) automatisch in allen Verfügbarkeitszonen bereitgestellt. Damit die Resilienz Azure Virtual WAN entspricht, sollten Sie alle verfügbaren Verfügbarkeitszonen auswählen.

Screenshot of configuring Azure Firewall parameters.

  1. Wählen Sie die Firewallrichtlinie aus, die auf die neue Azure Firewall-Instanz angewendet werden soll. Wählen Sie Standardverweigerungsrichtlinie aus. Ihre Einstellungen werden später in diesem Artikel präzisiert.

  2. Klicken Sie auf Weiter: Sicherheitspartneranbieter.

    Screenshot of configuring Trusted Partners parameters.

  3. Übernehmen Sie die Standardeinstellung Vertrauenswürdiger Sicherheitspartnerdeaktiviert, und wählen Sie Weiter: Überprüfen + erstellen.

  4. Klicken Sie auf Erstellen.

    Screenshot of creating the Firewall instance.

Hinweis

Es kann bis zu 30 Minuten dauern, um einen geschützten virtuellen Hub zu erstellen.

Nach Abschluss der Bereitstellung können Sie die öffentliche IP-Adresse der Firewall abrufen.

  1. Öffnen Sie Firewall Manager.
  2. Wählen Sie Virtuelle Hubs aus.
  3. Wählen Sie hub-01 aus.
  4. Wählen Sie unter Azure Firewalldie Option Konfiguration der öffentlichen IP-Adresse aus.
  5. Notieren Sie sich die öffentliche IP-Adresse zur späteren Verwendung.

Herstellen einer Verbindung für die virtuellen Hub-and-Spoke-Netzwerke

Jetzt können Sie das Peering für die virtuellen Hub-and-Spoke-Netzwerke durchführen.

  1. Wählen Sie die Ressourcengruppe fw-manager-rg und anschließend das virtuelle WAN Vwan-01 aus.

  2. Wählen Sie unter Konnektivität die Option Virtuelle Netzwerkverbindungen aus.

    Screenshot of adding Virtual Network connections.

  3. Wählen Sie Verbindung hinzufügen aus.

  4. Geben Sie unter Verbindungsname den Namen hub-spoke-01 ein.

  5. Wählen Sie unter Hubs die Option Hub-01 aus.

  6. Wählen Sie unter Ressourcengruppe die Ressourcengruppe fw-manager-rg aus.

  7. Wählen Sie unter Virtuelles Netzwerk die Option Spoke-01 aus.

  8. Klicken Sie auf Erstellen.

  9. Wiederholen Sie diesen Vorgang, um das virtuelle Netzwerk Spoke-02 zu verbinden: Verbindungsname – hub-spoke-02

Bereitstellen der Server

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.

  2. Wählen Sie in der Liste Beliebt die Option Windows Server 2019 Datacenter aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:

    Einstellung Wert
    Ressourcengruppe fw-manager-rg
    Name des virtuellen Computers Srv-workload-01
    Region (USA) USA, Osten
    Benutzername des Administrators Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Datenträger.

  6. Übernehmen Sie die Standardeinstellungen für Datenträger, und wählen Sie Weiter: Netzwerk aus.

  7. Wählen Sie Spoke-01 für das virtuelle Netzwerk und dann Workload-01-SN für das Subnetz aus.

  8. Wählen Sie unter Öffentliche IP die Option Keine aus.

  9. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.

  10. Wählen Sie Weiter: Überwachung aus.

  11. Wählen Sie Deaktivieren aus, um die Startdiagnose zu deaktivieren. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.

  12. Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.

Konfigurieren Sie anhand der Angaben in der folgenden Tabelle eine weitere VM mit dem Namen Srv-Workload-02. Die restliche Konfiguration ist mit der Konfiguration des virtuellen Computers Srv-workload-01 identisch.

Einstellung Wert
Virtuelles Netzwerk Spoke-02
Subnet Workload-02-SN

Nachdem die Server bereitgestellt wurden, wählen Sie eine Serverressource aus, und notieren Sie unter Netzwerk die private IP-Adresse für jeden Server.

Erstellen einer Firewallrichtlinie und Schützen Ihres Hubs

Eine Firewallrichtlinie definiert Regelsammlungen für die Weiterleitung von Datenverkehr an einen oder mehrere geschützte virtuelle Hubs. Sie erstellen zuerst Ihre Firewallrichtlinie und schützen dann Ihren Hub.

  1. Wählen Sie in Firewall Manager die Option Azure Firewall-Richtlinien aus.

    Screenshot of creating an Azure Policy with first step.

  2. Wählen Sie die Option Azure-Firewallrichtlinie erstellen aus.

    Screenshot of configuring Azure Policy settings in first step.

  3. Wählen Sie unter Ressourcengruppe die Ressourcengruppe fw-manager-rg aus.

  4. Geben Sie unter Richtliniendetails für Name den Namen Policy-01 ein, und wählen Sie für Region die Option USA, Osten aus.

  5. Wählen Sie Standard als Richtlinientarif aus.

  6. Wählen Sie Weiter: DNS-Einstellungen aus.

    Screenshot of configuring DNS settings.

  7. Wählen Sie Weiter: TLS-Überprüfung aus.

    Screenshot of configuring TLS settings.

  8. Wählen Sie Weiter: Regeln aus.

  9. Wählen Sie auf der Registerkarte Regeln die Option Regelsammlung hinzufügen aus.

    Screenshot of configuring Rule Collection.

  10. Geben Sie auf der Seite Regelsammlung hinzufügen unter Name den Namen App-RC-01 ein.

  11. Wählen Sie unter Regelsammlungstyp die Option Anwendung aus.

  12. Geben Sie unter Priorität den Wert 100 ein.

  13. Vergewissern Sie sich, dass die Regelsammlungsaktion auf Zulassen festgelegt ist.

  14. Geben Sie unter Name den Regelnamen Allow-msft ein.

  15. Wählen Sie unter Quellentyp die Option IP-Adresse aus.

  16. Geben Sie unter Quelle* ein.

  17. Geben Sie unter Protokoll Folgendes ein: http,https.

  18. Vergewissern Sie sich, dass Zieltyp auf FQDN festgelegt ist.

  19. Geben Sie unter Ziel den Wert *.microsoft.com ein.

  20. Wählen Sie Hinzufügen.

  21. Fügen Sie eine DNAT-Regel hinzu, damit Sie einen Remotedesktop mit dem virtuellen Computer Srv-Workload-01 verbinden können.

    1. Wählen Sie Hinzufügen/Regelsammlung aus.
    2. Geben Sie für Name den Namen dnat-rdp ein.
    3. Wählen Sie unter Regelsammlungstyp die Option DNAT aus.
    4. Geben Sie unter Priorität den Wert 100 ein.
    5. Geben Sie unter Name den Regelnamen Allow-rdp ein.
    6. Wählen Sie unter Quellentyp die Option IP-Adresse aus.
    7. Geben Sie unter Quelle* ein.
    8. Wählen Sie für Protokoll die Option TCP aus.
    9. Geben Sie unter Zielports den Wert 3389 ein.
    10. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
    11. Geben Sie für Ziel die öffentliche IP-Adresse der Firewall ein, die Sie zuvor notiert haben.
    12. Wählen Sie unter Übersetzter Typdie Option IP-Adresse aus.
    13. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-Workload-01 ein, die Sie zuvor notiert haben.
    14. Geben Sie für Übersetzter Port den Wert 3389 ein.
    15. Wählen Sie Hinzufügen.
  22. Fügen Sie eine Netzwerkregel hinzu, damit Sie einen Remotedesktop von Srv-Workload-01 mit Srv-Workload-02 verbinden können.

    1. Wählen Sie Regelsammlung hinzufügen aus.
    2. Geben Sie unter Name den Namen vnet-rdp ein.
    3. Wählen Sie unter Regelsammlungstyp die Option Netzwerk aus.
    4. Geben Sie unter Priorität den Wert 100 ein.
    5. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
    6. Geben Sie unter Name den Regelnamen Allow-vnet ein.
    7. Wählen Sie unter Quellentyp die Option IP-Adresse aus.
    8. Geben Sie unter Quelle* ein.
    9. Wählen Sie für Protokoll die Option TCP aus.
    10. Geben Sie unter Zielports den Wert 3389 ein.
    11. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
    12. Geben Sie für Ziel die private IP-Adresse von Srv-Workload-02 ein, die Sie zuvor notiert haben.
    13. Wählen Sie Hinzufügen.
  23. Wählen Sie Weiter: DNS aus.

  24. Wählen Sie auf der Seite IDPS die Option Weiter: Threat Intelligence aus.

    Screenshot of configuring IDPS settings.

  25. Akzeptieren Sie auf der Seite Threat Intelligence die Standardeinstellungen, und wählen Sie Überprüfen und erstellen aus:

    Screenshot of configuring Threat Intelligence settings.

  26. Überprüfen und bestätigen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus.

Zuordnen einer Richtlinie

Ordnen Sie die Firewallrichtlinie dem Hub zu.

  1. Wählen Sie in Firewall Manager die Option Azure Firewall-Richtlinien aus.

  2. Aktivieren Sie das Kontrollkästchen für Policy-01.

  3. Wählen Sie Zuordnungen verwalten, Hubs zuordnen aus.

    Screenshot of configuring Policy association.

  4. Wählen Sie hub-01 aus.

  5. Klicken Sie auf Hinzufügen.

    Screenshot of adding Policy and Hub settings.

Weiterleiten von Datenverkehr an Ihren Hub

Als nächstes müssen Sie sicherstellen, dass Netzwerkdatenverkehr durch Ihre Firewall geleitet wird.

  1. Wählen Sie in Firewall Manager die Option Virtuelle Hubs aus.

  2. Wählen Sie Hub-01 aus.

  3. Wählen Sie unter Einstellungen die Option Sicherheitskonfiguration aus.

  4. Wählen Sie unter Internetdatenverkehr die Option Azure Firewall aus.

  5. Wählen Sie unter Private traffic (Privater Datenverkehr) die Option Send via Azure Firewall (Über Azure Firewall senden) aus.

    Hinweis

    Wenn Sie öffentliche IP-Adressbereiche für private Netzwerke in einem virtuellen Netzwerk oder eine lokale Verzweigung verwenden, müssen Sie diese IP-Adresspräfixe explizit angeben. Wählen Sie den Abschnitt Präfixe für privaten Datenverkehr aus, und fügen Sie sie dann zusammen mit den RFC1918 Adresspräfixen hinzu.

  6. Wählen Sie unter Inter-Hub die Option Aktiviert aus, um das Feature Virtual WAN Routingabsicht zu aktivieren. Routingabsicht ist der Mechanismus, mit dem Sie Virtual WAN so konfigurieren können, dass der Datenverkehr von Branch-to-Branch (lokal zu lokal) über die im Virtual WAN Hub eingesetzte Azure Firewall geleitet wird. Weitere Informationen zu den Voraussetzungen und Überlegungen im Zusammenhang mit der Funktion Routingabsicht finden Sie in der Dokumentation zur Routingabsicht.

  7. Wählen Sie Speichern aus.

  8. Wählen Sie im Dialogfeld Warnung die Option OK aus.

    Screenshot of Secure Connections.

    Hinweis

    Die Aktualisierung der Routingtabellen dauert einige Minuten.

  9. Vergewissern Sie sich, dass für die beiden Verbindungen angezeigt wird, dass Azure Firewall sowohl den Internetdatenverkehr als auch den privaten Datenverkehr schützt.

    Screenshot of Secure Connections final status.

Testen der Firewall

Zum Testen der Firewallregeln verbinden Sie einen Remotedesktop über die öffentliche IP-Adresse der Firewall, die mit NAT in Srv-Workload-01 aufgelöst wurde. Von dort aus verwenden Sie einen Browser, um die Anwendungsregel zu testen, und verbinden einen Remotedesktop mit Srv-Workload-02, um die Netzwerkregel zu testen.

Testen der Anwendungsregel

Testen Sie nun die Firewallregeln, um sicherzustellen, dass sie wie erwartet funktionieren.

  1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall, und melden Sie sich an.

  2. Navigieren Sie in Internet Explorer zu https://www.microsoft.com.

  3. Klicken Sie in den Sicherheitswarnungen von Internet Explorer auf OK>Schließen.

    Daraufhin sollte die Microsoft-Homepage angezeigt werden.

  4. Navigieren Sie zu https://www.google.com.

    Sie sollten durch die Firewall blockiert werden.

Somit haben Sie sich jetzt vergewissert, dass die Anwendungsregel der Firewall funktioniert:

  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.

Testen der Netzwerkregel

Testen Sie jetzt die Netzwerkregel.

  • Öffnen Sie über Srv-Workload-01 einen Remotedesktop mit der privaten IP-Adresse von Srv-Workload-02.

    Ein Remotedesktop sollte eine Verbindung mit Srv-Workload-02 herstellen.

Somit haben Sie sich jetzt vergewissert, dass die Netzwerkregel der Firewall funktioniert:

  • Sie können einen Remotedesktop mit einem Server verbinden, der sich in einem anderen virtuellen Netzwerk befindet.

Bereinigen von Ressourcen

Wenn Sie die Firewallressourcen getestet haben, löschen Sie die Ressourcengruppe fw-manager-rg, um alle firewallbezogenen Ressourcen zu löschen.

Nächste Schritte