Oktatóanyag: Virtuális központ védelme az Azure PowerShell használatával

Ebben az oktatóanyagban létrehoz egy Virtual WAN-példányt egy virtuális központtal egy régióban, és üzembe helyez egy Azure-tűzfalat a Virtual Hubon a kapcsolat védelme érdekében. Ebben a példában a virtuális hálózatok közötti biztonságos kapcsolatot mutatja be. A virtuális hálózatok és helyek közötti, pont–hely vagy ExpressRoute-ágak közötti forgalmat a Virtual Secure Hub is támogatja.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • A virtuális WAN üzembe helyezése
  • Az Azure Firewall üzembe helyezése és egyéni útválasztás konfigurálása
  • Kapcsolat tesztelése

Important

A Virtual WAN a központban elérhető hubok és szolgáltatások gyűjteménye. A szükséges virtuális WAN-okat üzembe helyezheti. A Virtual WAN-központban több szolgáltatás is létezik, például VPN, ExpressRoute stb. Ezek a szolgáltatások automatikusan üzembe lesznek helyezve a rendelkezésre állási zónákban az Azure Firewall kivételével, ha a régió támogatja a rendelkezésre állási zónákat. Ha egy meglévő Azure Virtual WAN Hubot biztonságos központra szeretne frissíteni, és az Azure Firewall rendelkezésre állási zónákat használna, az Azure PowerShellt kell használnia a cikk későbbi részében leírtak szerint.

Prerequisites

  • Ha nincs Azure-előfizetésed, hozz létre egy ingyenes fiókot mielőtt elkezdenéd.

  • PowerShell 7 vagy újabb

    Ehhez az oktatóanyaghoz helyileg kell futtatnia az Azure PowerShellt a PowerShell 7-ben vagy annál újabb verziójában. A PowerShell 7 telepítéséhez lásd : Migrálás a Windows PowerShell 5.1-ről a PowerShell 7-re.

  • Az "Az.Network" modul verziójának 4.17.0-s vagy újabbnak kell lennie.

Bejelentkezés az Azure-ba

Connect-AzAccount
Select-AzSubscription -Subscription "<sub name>"

A Virtual WAN kezdeti üzembe helyezése

Először meg kell adnia a változókat, és létre kell hoznia az erőforráscsoportot, a virtuális WAN-példányt és a virtuális központot:

# Variable definition
$RG = "vwan-rg"
$Location = "westeurope"
$VwanName = "vwan"
$HubName =  "hub1"
$FirewallTier = "Standard" # or "Premium"

# Create Resource Group, Virtual WAN and Virtual Hub using the New-AzVirtualWan and New-AzVirtualHub cmdlets
New-AzResourceGroup -Name $RG -Location $Location
$Vwan = New-AzVirtualWan -Name $VwanName -ResourceGroupName $RG -Location $Location -AllowVnetToVnetTraffic -AllowBranchToBranchTraffic -VirtualWANType "Standard"
$Hub = New-AzVirtualHub -Name $HubName -ResourceGroupName $RG -VirtualWan $Vwan -Location $Location -AddressPrefix "192.168.1.0/24" -Sku "Standard"
  • Hozzon létre két virtuális hálózatot, és csatlakoztassa őket küllőként a központhoz a New-AzVirtualHubVnetConnection parancsmag használatával. A virtuális hálózatok a címelőtagokkal 10.1.1.0/24 és 10.1.2.0/24 jönnek létre.
# Create Virtual Network
$Spoke1 = New-AzVirtualNetwork -Name "spoke1" -ResourceGroupName $RG -Location $Location -AddressPrefix "10.1.1.0/24"
Add-AzVirtualNetworkSubnetConfig -Name "AzureBastionSubnet" -VirtualNetwork $Spoke1 -AddressPrefix "10.1.1.64/26"
$Spoke1 | Set-AzVirtualNetwork
$Spoke2 = New-AzVirtualNetwork -Name "spoke2" -ResourceGroupName $RG -Location $Location -AddressPrefix "10.1.2.0/24"
# Connect Virtual Network to Virtual WAN
$Spoke1Connection = New-AzVirtualHubVnetConnection -ResourceGroupName $RG -ParentResourceName  $HubName -Name "spoke1" -RemoteVirtualNetwork $Spoke1 -EnableInternetSecurityFlag $True
$Spoke2Connection = New-AzVirtualHubVnetConnection -ResourceGroupName $RG -ParentResourceName  $HubName -Name "spoke2" -RemoteVirtualNetwork $Spoke2 -EnableInternetSecurityFlag $True

Ebben a szakaszban a Virtual WAN teljes mértékben működőképes, és teljes körű kapcsolódást biztosít bárhonnan bárhová. A környezet biztonságossá tételéhez helyezzen üzembe egy Azure Firewall-tűzfalat minden egyes virtuális központban. Ezeket a tűzfalakat központilag kezelheti tűzfalszabályzatok használatával.

Ebben a példában egy tűzfalszabályzatot is létrehoz, amely a parancsmag használatával kezeli az Azure Firewall-példányt a New-AzFirewallPolicy Virtual WAN hubon. Az Azure Firewall a parancsmaggal lesz üzembe helyezve a New-AzFirewall központban.

# New Firewall Policy
$FWPolicy = New-AzFirewallPolicy -Name "VwanFwPolicy" -ResourceGroupName $RG -Location $Location
# New Firewall Public IP
$AzFWPIPs = New-AzFirewallHubPublicIpAddress -Count 1
$AzFWHubIPs = New-AzFirewallHubIpAddress -PublicIP $AzFWPIPs
# New Firewall
$AzFW = New-AzFirewall -Name "azfw1" -ResourceGroupName $RG -Location $Location `
            -VirtualHubId $Hub.Id -FirewallPolicyId $FWPolicy.Id `
            -SkuName "AZFW_Hub" -HubIPAddress $AzFWHubIPs `
            -SkuTier $FirewallTier

Note

A következő tűzfal létrehozási parancs nem használ rendelkezésre állási zónákat. Ha ezt a funkciót szeretné használni, egy további -Zone paraméterre van szükség. A cikk végén található frissítési szakaszban talál egy példát.

Az Azure Firewallból az Azure Monitorba történő naplózás engedélyezése nem kötelező. Ebben a példában tűzfalnaplókkal ellenőrizheti, hogy a forgalom áthalad-e a tűzfalon. Először hozzon létre egy Log Analytics-munkaterületet a naplók tárolásához. Ezután a parancsmaggal konfigurálhatja a Set-AzDiagnosticSetting diagnosztikai beállításokat, és elküldheti a naplókat a munkaterületnek.

# Optionally, enable logging of Azure Firewall to Azure Monitor
$LogWSName = "vwan-" + (Get-Random -Maximum 99999) + "-" + $RG
$LogWS = New-AzOperationalInsightsWorkspace -Location $Location -Name $LogWSName -Sku Standard -ResourceGroupName $RG
Set-AzDiagnosticSetting -ResourceId $AzFW.Id -Enabled $True -Category AzureFirewallApplicationRule, AzureFirewallNetworkRule -WorkspaceId $LogWS.ResourceId

Az Azure Firewall üzembe helyezése és egyéni útválasztás konfigurálása

Note

Ez az a konfiguráció, amelyet az Azure Portalról az Azure Firewall Managerrel való kapcsolat biztonságossá tételekor helyeznek üzembe, amikor a "Központközi" beállítás le van tiltva. Az útválasztás PowerShell-lel történő konfigurálásával kapcsolatos útmutatásért, ha az "Inter-hub" engedélyezve van, tekintse meg az útválasztási szándék engedélyezését ismertető cikket.

Most már van egy Azure Firewall a központban, de továbbra is módosítania kell az útválasztást, hogy a Virtual WAN a virtuális hálózatokról és az ágakról a tűzfalon keresztül küldjön forgalmat. Ezt két lépésben teheti meg:

  1. Konfigurálja az összes virtuális hálózati kapcsolatot (és ha volt ilyen) az None útválasztási táblába való propagáláshoz. Ennek a konfigurációnak az a hatása, hogy más virtuális hálózatok és ágak nem tanulják meg az előtagokat, ezért nincs útválasztás az eléréséhez.
  2. Most már statikus útvonalakat is beszúrhat az Default Útvonaltáblába (ahol alapértelmezés szerint az összes virtuális hálózat és ág társítva van), így a rendszer az összes forgalmat az Azure Firewallra küldi.

Először konfigurálja a virtuális hálózati kapcsolatokat, hogy azok propagálódjanak a None útvonaltáblába. Ez a lépés biztosítja, hogy a virtuális hálózatok ne tanulják meg egymás címelőtagjait, megakadályozva a közvetlen kommunikációt közöttük. Ennek eredményeképpen a virtuális hálózatok közötti összes forgalomnak át kell haladnia az Azure Firewallon.

Ehhez a parancsmaggal kérje le az Get-AzVhubRouteTableNone Útvonaltáblát, majd frissítse az egyes virtuális hálózati kapcsolatok útválasztási konfigurációját a Update-AzVirtualHubVnetConnection parancsmaggal.

# Configure Virtual Network connections in hub to propagate to None
$VnetRoutingConfig = $Spoke1Connection.RoutingConfiguration    # We take $Spoke1Connection as baseline for the future vnet config, all vnets will have an identical config
$NoneRT = Get-AzVhubRouteTable -ResourceGroupName $RG -HubName $HubName -Name "noneRouteTable"
$NewPropRT = @{}
$NewPropRT.Add('Id', $NoneRT.Id)
$PropRTList = @()
$PropRTList += $NewPropRT
$VnetRoutingConfig.PropagatedRouteTables.Ids = $PropRTList
$VnetRoutingConfig.PropagatedRouteTables.Labels = @()
$Spoke1Connection = Update-AzVirtualHubVnetConnection -ResourceGroupName $RG -ParentResourceName  $HubName -Name "spoke1" -RoutingConfiguration $VnetRoutingConfig
$Spoke2Connection = Update-AzVirtualHubVnetConnection -ResourceGroupName $RG -ParentResourceName  $HubName -Name "spoke2" -RoutingConfiguration $VnetRoutingConfig

Ezután folytassa a második lépésben: statikus útvonalak hozzáadása az Default útvonaltáblához. Az alábbi példa azt az alapértelmezett konfigurációt használja, amelyet az Azure Firewall Manager a virtuális WAN-beli kapcsolatok védelmekor alkalmaz. A parancsmaggal New-AzVHubRoute igény szerint testre szabhatja a statikus útvonal előtagjainak listáját. Ebben a példában az összes forgalom az Azure Firewallon keresztül lesz irányítva, ami az ajánlott alapértelmezett érték.

# Create static routes in default Route table
$AzFWId = $(Get-AzVirtualHub -ResourceGroupName $RG -name  $HubName).AzureFirewall.Id
$AzFWRoute = New-AzVHubRoute -Name "all_traffic" -Destination @("0.0.0.0/0", "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16") -DestinationType "CIDR" -NextHop $AzFWId -NextHopType "ResourceId"
$DefaultRT = Update-AzVHubRouteTable -Name "defaultRouteTable" -ResourceGroupName $RG -VirtualHubName  $HubName -Route @($AzFWRoute)

Note

A fenti New-AzVHubRoute parancs "-Name" paraméterének értékeként a "all_traffic" sztringnek különleges jelentése van: ha pontosan ezt a sztringet használja, az ebben a cikkben alkalmazott konfiguráció megfelelően jelenik meg az Azure Portalon (Firewall Manager --> Virtual Hubs --> [Saját központ] --> Biztonsági konfiguráció). Ha egy másik nevet használ, a rendszer alkalmazza a kívánt konfigurációt, de nem jelenik meg az Azure Portalon.

Útválasztási szándék engedélyezése

Ha a Virtual WAN hubon üzembe helyezett Azure Firewallon keresztül szeretne központközi és régióközi forgalmat küldeni, engedélyezheti az útválasztási szándék funkciót. Az útválasztási szándékkal kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját.

Note

Ezt a konfigurációt kell üzembe helyezni az Azure Portal és az Azure Firewall Manager közötti kapcsolat biztosításakor, ha az "Interhub" beállítás engedélyezve van.

# Get the Azure Firewall resource ID
$AzFWId = $(Get-AzVirtualHub -ResourceGroupName <thname> -name  $HubName).AzureFirewall.Id

# Create routing policy and routing intent
$policy1 = New-AzRoutingPolicy -Name "PrivateTraffic" -Destination @("PrivateTraffic") -NextHop $firewall.Id
$policy2 = New-AzRoutingPolicy -Name "PublicTraffic" -Destination @("Internet") -NextHop $firewall.Id
New-AzRoutingIntent -ResourceGroupName "<rgname>" -VirtualHubName "<hubname>" -Name "hubRoutingIntent" -RoutingPolicy @($policy1, $policy2)
If your Virtual WAN uses non-RFC1918 address prefixes (for example, `40.0.0.0/24` in a virtual network or on-premises), you should add an extra route to the `defaultRouteTable` after completing the routing intent configuration. Name this route **private_traffic**. If you use a different name, the route will work as expected, but the configuration will not be reflected in the Azure portal.

```azurepowershell-interactive
# Get the defaultRouteTable
$defaultRouteTable = Get-AzVHubRouteTable -ResourceGroupName routingIntent-Demo -HubName wus_hub1 -Name defaultRouteTable

# Get the routes automatically created by routing intent. If private routing policy is enabled, this is the route named _policy_PrivateTraffic. If internet routing policy is enabled, this is the route named _policy_InternetTraffic. 
$privatepolicyroute = $defaultRouteTable.Routes[1]


# Create new route named private_traffic for non-RFC1918 prefixes
$private_traffic = New-AzVHubRoute -Name "private-traffic" -Destination @("30.0.0.0/24") -DestinationType "CIDR" -NextHop $AzFWId -NextHopType ResourceId

# Create new routes for route table
$newroutes = @($privatepolicyroute, $private_traffic)

# Update route table
Update-AzVHubRouteTable -ResourceGroupName <rgname> -ParentResourceName <hubname> -Name defaultRouteTable -Route $newroutes

Kapcsolat tesztelése

Most, hogy a biztonságos központ teljesen működőképes, tesztelheti a kapcsolatot úgy, hogy üzembe helyez egy virtuális gépet a központhoz csatlakoztatott küllős virtuális hálózaton.

Először hozzon létre SSH-kulcsokat a hitelesítéshez:

# Generate SSH key pair for VM authentication
ssh-keygen -t rsa -b 4096 -f ~/.ssh/vwan-lab-key -N ""
$sshPublicKey = Get-Content ~/.ssh/vwan-lab-key.pub

Most hozza létre a nyilvános IP-címek nélküli virtuális gépeket:

# Create VMs in spokes for testing
$VMLocalAdminUser = "azureuser"
$VMSize = "Standard_B2ms"
# Spoke1
$Spoke1 = Get-AzVirtualNetwork -ResourceGroupName $RG -Name "spoke1"
Add-AzVirtualNetworkSubnetConfig -Name "vm" -VirtualNetwork $Spoke1 -AddressPrefix "10.1.1.0/26"
$Spoke1 | Set-AzVirtualNetwork
$VM1 = New-AzVM -Name "spoke1-vm" -ResourceGroupName $RG -Location $Location `
            -Image "Ubuntu2204" -Size $VMSize `
            -VirtualNetworkName "spoke1" -SubnetName "vm" `
            -PublicIpAddressName "" -OpenPorts 22,80 `
            -GenerateSshKey -SshKeyName "spoke1-ssh-key"
$NIC1 = Get-AzNetworkInterface -ResourceId $($VM1.NetworkProfile.NetworkInterfaces[0].Id)
$Spoke1VMPrivateIP = $NIC1.IpConfigurations[0].PrivateIpAddress
# Spoke2
$Spoke2 = Get-AzVirtualNetwork -ResourceGroupName $RG -Name "spoke2"
Add-AzVirtualNetworkSubnetConfig -Name "vm" -VirtualNetwork $Spoke2 -AddressPrefix "10.1.2.0/26"
$Spoke2 | Set-AzVirtualNetwork
$VM2 = New-AzVM -Name "spoke2-vm" -ResourceGroupName $RG -Location $Location `
            -Image "Ubuntu2204" -Size $VMSize `
            -VirtualNetworkName "spoke2" -SubnetName "vm" `
            -PublicIpAddressName "" -OpenPorts 22,80 `
            -GenerateSshKey -SshKeyName "spoke2-ssh-key"
$NIC2 = Get-AzNetworkInterface -ResourceId $($VM2.NetworkProfile.NetworkInterfaces[0].Id)
$Spoke2VMPrivateIP = $NIC2.IpConfigurations[0].PrivateIpAddress

Az Azure Bastion üzembe helyezése

Helyezze üzembe az Azure Bastiont a Küllő-01 virtuális hálózaton, hogy nyilvános IP-címek vagy DNST-szabályok nélkül biztonságosan csatlakozzon a virtuális gépekhez.

# Deploy Azure Bastion for secure VM access
$BastionPip = New-AzPublicIpAddress -ResourceGroupName $RG -Name "bastion-pip" `
    -Location $Location -AllocationMethod Static -Sku Standard
$Spoke1 = Get-AzVirtualNetwork -ResourceGroupName $RG -Name "spoke1"
$BastionSubnet = Get-AzVirtualNetworkSubnetConfig -Name "AzureBastionSubnet" -VirtualNetwork $Spoke1
New-AzBastion -ResourceGroupName $RG -Name "spoke1-bastion" `
    -PublicIpAddress $BastionPip -VirtualNetwork $Spoke1 -Sku "Basic"

Note

Az Azure Bastion üzembe helyezése körülbelül 10 percet vehet igénybe.

Alapértelmezés szerint a tűzfalszabályzat blokkolja az összes forgalmat. A kapcsolt virtuális gépek és az internet közötti hozzáférés engedélyezéséhez tűzfalszabályokat kell konfigurálnia. Először hozzon létre egy hálózati szabályt a virtuális hálózatok közötti SSH-forgalom engedélyezéséhez. Ezután adjon hozzá egy alkalmazásszabályt, amely csak a teljes tartománynévhez (FQDN) ifconfig.coengedélyezi az internet-hozzáférést, amely a HTTP-kérelemben látható forrás IP-címet adja vissza:

# Add Network Rule
$SSHRule = New-AzFirewallPolicyNetworkRule -Name PermitSSH -Protocol TCP `
        -SourceAddress "10.0.0.0/8" -DestinationAddress "10.0.0.0/8" -DestinationPort 22
$NetCollection = New-AzFirewallPolicyFilterRuleCollection -Name "Management" -Priority 100 -ActionType Allow -Rule $SSHRule
$NetGroup = New-AzFirewallPolicyRuleCollectionGroup -Name "Management" -Priority 200 -RuleCollection $NetCollection -FirewallPolicyObject $FWPolicy
# Add Application Rule
$ifconfigRule = New-AzFirewallPolicyApplicationRule -Name PermitIfconfig -SourceAddress "10.0.0.0/8" -TargetFqdn "ifconfig.co" -Protocol "http:80","https:443"
$AppCollection = New-AzFirewallPolicyFilterRuleCollection -Name "TargetURLs" -Priority 300 -ActionType Allow -Rule $ifconfigRule
$NetGroup = New-AzFirewallPolicyRuleCollectionGroup -Name "TargetURLs" -Priority 300 -RuleCollection $AppCollection -FirewallPolicyObject $FWPolicy

Mielőtt bármilyen forgalmat küldene, ellenőrizze az egyes virtuális gépek érvényes útvonalait. Az útvonaltábláknak meg kell jelenítenie a Virtual WAN-tól tanult előtagokat (0.0.0.0/0 és RFC1918 tartományokat), de nem tartalmazhatják a másik küllős virtuális hálózat címelőtagját.

# Check effective routes in the VM NIC in spoke 1
# Note that 10.1.2.0/24 (the prefix for spoke2) should not appear
Get-AzEffectiveRouteTable -ResourceGroupName $RG -NetworkInterfaceName $NIC1.Name | ft
# Check effective routes in the VM NIC in spoke 2
# Note that 10.1.1.0/24 (the prefix for spoke1) should not appear
Get-AzEffectiveRouteTable -ResourceGroupName $RG -NetworkInterfaceName $NIC2.Name | ft

Forgalmat generálhat az egyik virtuális gépről a másikra, és ellenőrizheti, hogy az Azure Firewall szűrte-e. Az Azure Bastion használatával csatlakozhat a virtuális gépekhez. Ebben a példában a következőt fogja:

  • Csatlakozás a spoke1-vmhez az Azure Bastion használatával az Azure Portalon keresztül
  • Öt ICMP-visszhangkérést (pinget) küldjön az ág1 virtuális gépről az ág2 virtuális gépre.
  • Próbáljon MEG TCP-kapcsolatot létesíteni a 22-s porton a nc (netcat) segédprogrammal a jelzőkkel, amely adatküldés nélkül ellenőrzi a -vz kapcsolatot

Figyelje meg, hogy a pingelési kérelmek meghiúsulnak (a tűzfal blokkolja), míg a 22-as portON a TCP-kapcsolat sikeres, ahogy azt a korábban konfigurált hálózati szabály megengedi.

A kapcsolat tesztelése:

  1. Az Azure-portálon navigáljon a spoke1-vm virtuális géphez.
  2. Válassza a Csatlakozás a>Bastionon keresztül lehetőséget.
  3. Adja meg az azureuser felhasználónevet, és töltse fel a korábban létrehozott titkos kulcsfájlt.
  4. SSH-munkamenet megnyitásához válassza a Csatlakozás lehetőséget.
  5. Az SSH-munkamenetben futtassa a következő parancsokat:
# Ping should fail (blocked by firewall)
ping $Spoke2VMPrivateIP -c 5
# SSH connectivity check should succeed (allowed by firewall)
nc -vz $Spoke2VMPrivateIP 22

Cserélje le a $Spoke2VMPrivateIP helyére a spoke2-vm tényleges privát IP-címét (ez a PowerShell kimenetben jelenik meg).

Az internet-hozzáférést a tűzfalon keresztül is tesztelheti. A segédprogramot az engedélyezett teljes tartománynévre (curl) használó ifconfig.co HTTP-kérelmeknek sikeresnek kell lenniük, míg a más célhelyekre (például bing.com) irányuló kérelmeket a tűzfalszabályzatnak le kell tiltani.

Az ugyanazon az SSH munkameneten belül a spoke1-vm-ből:

# This HTTP request should succeed, since it is allowed in an app rule in the AzFW, and return the public IP of the FW
curl -s4 ifconfig.co
# This HTTP request should fail, since the FQDN bing.com is not in any app rule in the firewall policy
curl -s4 bing.com

Annak ellenőrzéséhez, hogy a tűzfal a várt módon küldi-e el a csomagokat, tekintse át az Azure Monitornak küldött naplókat. Mivel az Azure Firewall úgy van konfigurálva, hogy diagnosztikai naplókat küldjön az Azure Monitornak, a Kusto Query Language (KQL) használatával lekérdezheti és elemezheti a vonatkozó naplóbejegyzéseket:

Note

Körülbelül 1 percet is igénybe vehet, amíg a naplók el lesznek küldve az Azure Monitornak

# Getting Azure Firewall network rule Logs
$LogWS = Get-AzOperationalInsightsWorkspace -ResourceGroupName $RG
$LogQuery = 'AzureDiagnostics
| where Category == "AzureFirewallNetworkRule"
| where TimeGenerated >= ago(5m)
| parse msg_s with Protocol " request from " SourceIP ":" SourcePortInt:int " to " TargetIP ":" TargetPortInt:int *
| parse msg_s with * ". Action: " Action1a
| parse msg_s with * " was " Action1b " to " NatDestination
| parse msg_s with Protocol2 " request from " SourceIP2 " to " TargetIP2 ". Action: " Action2
| extend SourcePort = tostring(SourcePortInt),TargetPort = tostring(TargetPortInt)
| extend Action = case(Action1a == "", case(Action1b == "",Action2,Action1b), Action1a),Protocol = case(Protocol == "", Protocol2, Protocol),SourceIP = case(SourceIP == "", SourceIP2, SourceIP),TargetIP = case(TargetIP == "", TargetIP2, TargetIP),SourcePort = case(SourcePort == "", "N/A", SourcePort),TargetPort = case(TargetPort == "", "N/A", TargetPort),NatDestination = case(NatDestination == "", "N/A", NatDestination)
| project TimeGenerated, Protocol, SourceIP,SourcePort,TargetIP,TargetPort,Action, NatDestination, Resource
| take 25 '
$(Invoke-AzOperationalInsightsQuery -Workspace $LogWS -Query $LogQuery).Results | ft

Az előző parancsban különböző bejegyzéseket kell látnia:

  • Elvetett ICMP-csomagok a virtuális gépek közötti ágakban (10.1.1.4 és 10.1.2.4)
  • Engedélyezett SSH-kapcsolatok a végpontok virtuális gépei között

Itt egy mintakimenet, amelyet a fenti parancs állít elő:

TimeGenerated            Protocol    SourceIP       SourcePort TargetIP      TargetPort Action  NatDestination Resource
-------------            --------    --------       ---------- --------      ---------- ------  -------------- --------
2020-10-04T20:53:07.045Z TCP         10.1.1.4       35932      10.1.2.4      22         Allow   N/A            AZFW1
2020-10-04T20:52:47.475Z TCP         10.1.1.4       53748      10.1.2.4      22         Allow   N/A            AZFW1
2020-10-04T20:51:04.682Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1
2020-10-04T20:51:17.031Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1
2020-10-04T20:51:18.049Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1
2020-10-04T20:51:19.075Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1
2020-10-04T20:51:20.097Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1
2020-10-04T20:51:21.121Z ICMP Type=8 10.1.1.4       N/A        10.1.2.4      N/A        Deny    N/A            AZFW1

Ha meg szeretné tekinteni az alkalmazásszabályok naplóit (az engedélyezett és a megtagadott HTTP-kapcsolatok leírását), vagy módosítani szeretné a naplók megjelenítésének módját, próbálkozzon más KQL-lekérdezésekkel. Az Azure Firewall Azure Monitor-naplóiban találhat néhány példát.

A tesztkörnyezet megtisztításához törölje az erőforráscsoportot és az összes társított erőforrást a Remove-AzResourceGroup parancsmag használatával. Ezzel eltávolítja a Virtual WAN-t, a Virtual Hubot, az Azure Firewallt és az oktatóanyag során létrehozott egyéb erőforrásokat.

# Delete resource group and all contained resources
Remove-AzResourceGroup -Name $RG

Új Azure Firewall üzembe helyezése rendelkezésre állási zónákkal egy meglévő központban

Az előző lépések bemutatták, hogyan hozhat létre új Azure Virtual WAN Hubot az Azure PowerShell használatával, és hogyan biztonságossá teheti azt az Azure Firewall használatával. Egy meglévő Azure Virtual WAN Hubot is biztonságossá tehet hasonló szkriptalapú megközelítéssel. Bár a Firewall Manager képes biztonságos központtá alakítani egy központot, nem támogatja az Azure Firewall üzembe helyezését a rendelkezésre állási zónákban a portálon keresztül. Az Azure Firewall mindhárom rendelkezésre állási zónában való üzembe helyezéséhez használja az alábbi PowerShell-szkriptet a meglévő Virtual WAN Hub biztonságos központtá alakításához.

Note

Ez az eljárás üzembe helyez egy új Azure Firewallt. A rendelkezésre állási zónák nélküli meglévő Azure Firewall nem frissíthető olyanra, amely rendelkezik rendelkezésre állási zónákkal. Először törölnie kell a meglévő Azure Firewallt a központban, és újra létre kell hoznia ezzel az eljárással.

# Variable definition
$RG = "vwan-rg"
$Location = "westeurope"
$VwanName = "vwan"
$HubName =  "hub1"
$FirewallName = "azfw1"
$FirewallTier = "Standard" # or "Premium"
$FirewallPolicyName = "VwanFwPolicy"

# Get references to vWAN and vWAN Hub to convert #
$Vwan = Get-AzVirtualWan -ResourceGroupName $RG -Name $VwanName
$Hub = Get-AzVirtualHub -ResourceGroupName  $RG -Name $HubName

# Create a new Firewall Policy #
$FWPolicy = New-AzFirewallPolicy -Name $FirewallPolicyName -ResourceGroupName $RG -Location $Location

# Create a new Firewall Public IP #
$AzFWPIPs = New-AzFirewallHubPublicIpAddress -Count 1
$AzFWHubIPs = New-AzFirewallHubIpAddress -PublicIP $AzFWPIPs

# Create Firewall instance #
$AzFW = New-AzFirewall -Name $FirewallName -ResourceGroupName $RG -Location $Location `
            -VirtualHubId $Hub.Id -FirewallPolicyId $FWPolicy.Id `
            -SkuName "AZFW_Hub" -HubIPAddress $AzFWHubIPs `
            -SkuTier $FirewallTier `
            -Zone 1,2,3

A szkript futtatása után a rendelkezésre állási zónáknak meg kell jelennie a biztonságos központ tulajdonságai között, ahogyan az alábbi képernyőképen látható:

Képernyőkép a védett virtuális központ rendelkezésre állási zónáiról.

Az Azure Firewall üzembe helyezése után végre kell hajtania az Azure Firewall korábbi üzembe helyezésének konfigurációs lépéseit, és egyéni útválasztási szakaszt kell konfigurálnia a megfelelő útválasztás és biztonság biztosítása érdekében.

Következő lépések

Tudnivalók a megbízható biztonsági partnerekről

  • Last updated on