Oktatóanyag: Virtuális központ védelme az Azure Firewall Managerrel

Az Azure Firewall Managerrel biztonságos virtuális központokat hozhat létre a magánhálózati ip-címekre, az Azure PaaS-be és az internetre irányuló felhőbeli hálózati forgalom védelméhez. A tűzfal felé történő forgalomirányítás automatizált, így nincs szükség felhasználó által definiált útvonalak (UDR-ek) létrehozására.

A Firewall Manager a központi virtuális hálózati architektúrát is támogatja. A biztonságos virtuális központ és a központi virtuális hálózat architektúrájának típusainak összehasonlításához tekintse meg az Azure Firewall Manager architektúrabeállításait?

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Küllős virtuális hálózat létrehozása
• Biztonságos virtuális központ létrehozása
• A küllős virtuális hálózatok csatlakoztatása
• Forgalom átirányítása a központba
• A kiszolgálók üzembe helyezése
• Tűzfalszabályzat létrehozása és a központ védelme
• A tűzfal tesztelése

Fontos

Az oktatóanyagban szereplő eljárás az Azure Firewall Manager használatával hoz létre egy új, Azure Virtual WAN által védett központot. A Firewall Managerrel frissíthet egy meglévő központot, de nem konfigurálhatja az Azure-beli rendelkezésre állási zónákat az Azure Firewallhoz. Egy meglévő központot biztonságos központtá is konvertálhat az Azure Portal használatával, az Azure Firewall konfigurálása virtual WAN-központban című cikkben leírtak szerint. Az Azure Firewall Managerhez hasonlóan azonban nem konfigurálható a rendelkezésre állási zónák. Meglévő központ frissítéséhez és az Azure Firewall rendelkezésre állási zónáinak megadásához (ajánlott) a következő oktatóanyagban ismertetett frissítési eljárást kell követnie: A virtuális központ védelme az Azure PowerShell használatával.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Küllős architektúra létrehozása

Először hozzon létre küllős virtuális hálózatokat, ahol elhelyezheti a kiszolgálókat.

Két küllős virtuális hálózat és alhálózat létrehozása

A két virtuális hálózat mindegyike rendelkezik számítási feladatokat kiszolgálóval, és a tűzfal védi őket.

1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

2. Keressen rá a virtuális hálózatra, jelölje ki, és válassza a Létrehozás lehetőséget.

3. Hozzon létre egy virtuális hálózatot a következő beállításokkal:

   Beállítás	Érték
   Előfizetés	Az előfizetés kiválasztása
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget, és írja be az fw-manager-rg nevet, és válassza az OK gombot
   Virtuális hálózat neve	Küllő-01
   Régió	USA keleti régiója

4. Válassza a Tovább, majd a Tovább lehetőséget.

5. A Hálózatkezelés lapon hozzon létre alhálózatokat az alábbi beállításokkal:

   Beállítás	Érték
   IPv4-címtér hozzáadása	10.0.0.0/16 (alapértelmezett)
   Alhálózatok
   Számítási feladat alhálózata
   Név	Számítási feladat –01-SN
   Kezdőcím	10.0.1.0/24
   Bastion alhálózat
   Név	AzureBastionSubnet
   Kezdőcím	10.0.2.0/26

6. Válassza a Mentés, a Véleményezés és a Létrehozás lehetőséget, majd a Létrehozás lehetőséget.

Ismételje meg ezt az eljárást egy másik hasonló virtuális hálózat létrehozásához az fw-manager-rg erőforráscsoportban:

Beállítás	Érték
Név	Küllő-02
Címtér	10.1.0.0/16
Alhálózat neve	Számítási feladat –02-SN
Kezdőcím	10.1.1.0/24

A biztonságos virtuális központ létrehozása

Hozza létre a biztonságos virtuális központot a Firewall Managerrel.

1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

2. A keresőmezőbe írja be a Tűzfalkezelőt, és válassza a Tűzfalkezelő lehetőséget.

3. A Tűzfalkezelő központi telepítések területén válassza a Virtuális központok lehetőséget.

4. A Tűzfalkezelőben | A Virtuális központok lapon válassza az Új biztonságos virtuális központ létrehozása lehetőséget.

5. Az Új biztonságos virtuális központ létrehozása lapon adja meg a következő adatokat:

   Beállítás	Érték
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza az fw-manager-rg lehetőséget
   Régió	USA keleti régiója
   Biztonságos virtuális központ neve	Hub-01
   Központi címtér	10.2.0.0/16

6. Válassza az Új vWAN lehetőséget.

   Beállítás	Érték
   Új virtuális WAN-név	Vwan-01
   Típus	Standard
   VPN-átjáró hozzáadása a megbízható biztonsági partnerek engedélyezéséhez	Hagyja üresen a jelölőnégyzetet.

7. Válassza a Következő lehetőséget: Azure Firewall.

8. Fogadja el az alapértelmezett Azure Firewall-kompatibilis beállítást.

9. Azure Firewall-szint esetén válassza a Standard lehetőséget.

10. Válassza ki a rendelkezésre állási zónák kívánt kombinációját.

    Fontos

    A Virtual WAN a központban elérhető hubok és szolgáltatások gyűjteménye. A szükséges számú virtuális WAN üzembe helyezhető. A Virtual WAN-központban több szolgáltatás is létezik, például VPN, ExpressRoute stb. A rendszer automatikusan telepíti ezeket a szolgáltatásokat a rendelkezésre állási zónákban az Azure Firewall kivételével, ha a régió támogatja a rendelkezésre állási zónákat. Az Azure Virtual WAN rugalmasságához igazodva minden rendelkezésre álló rendelkezésre állási zónát ki kell választania.

11. Írja be az 1 értéket a Nyilvános IP-címek számának megadása szövegmezőbe, vagy társítson egy meglévő nyilvános IP-címet (előzetes verzió) ezzel a tűzfallal.

12. A Tűzfalszabályzat területen győződjön meg arról, hogy az alapértelmezett megtagadási házirend ki van jelölve. A cikk későbbi részében pontosíthatja a beállításokat.

13. Válassza a Következő: Biztonsági partnerszolgáltató lehetőséget.

14. Fogadja el a megbízható biztonsági partneralapértelmezett letiltott beállítását, és válassza a Tovább: Véleményezés + létrehozás lehetőséget.

15. Válassza a Létrehozás parancsot.

Feljegyzés

Egy biztonságos virtuális központ létrehozása akár 30 percet is igénybe vehet.

Az üzembe helyezés befejezése után megtalálhatja a tűzfal nyilvános IP-címét.

1. Nyissa meg a Firewall Managert.
2. Válassza a Virtuális központok lehetőséget.
3. Válassza a Hub-01 lehetőséget.
4. Válassza a AzureFirewall_Hub-01 lehetőséget.
5. Jegyezze fel a később használni kívánt nyilvános IP-címet.

A küllős virtuális hálózatok csatlakoztatása

Most már társviszonyt létesíthet a küllős virtuális hálózatokkal.

1. Válassza ki az fw-manager-rg erőforráscsoportot, majd a Vwan-01 virtuális WAN-t.

2. A Kapcsolatok területen válassza a Virtuális hálózati kapcsolatok lehetőséget.

   Beállítás	Érték
   Kapcsolat neve	küllős küllő 01
   Hubs	Hub-01
   Erőforráscsoport	fw-manager-rg
   Virtuális hálózat	Küllő-01

3. Válassza a Létrehozás parancsot.

4. Ismételje meg az előző lépéseket a Küllő-02 virtuális hálózat csatlakoztatásához a következő beállításokkal:

   Beállítás	Érték
   Kapcsolat neve	küllős küllő 02
   Hubs	Hub-01
   Erőforráscsoport	fw-manager-rg
   Virtuális hálózat	Küllő-02

A kiszolgálók üzembe helyezése

1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

2. Keresse meg az Ubuntu Server 22.04 LTS-t , és válassza ki.

3. Válassza aVirtuális gép>.

4. Adja meg a következő értékeket a virtuális gép számára:

   Beállítás	Érték
   Erőforráscsoport	fw-manager-rg
   Virtuális gép neve	Srv-workload-01
   Régió	(US) Az USA keleti régiója
   Image	Ubuntu Server 22.04 LTS – x64 Gen2
   Hitelesítési típus	Nyilvános SSH-kulcs
   Felhasználónév	azureuser
   Nyilvános SSH-kulcs forrása	Új kulcspár létrehozása
   Kulcspár neve	srv-workload-01_key

5. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Nincs lehetőséget.

6. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

7. Fogadja el a lemez alapértelmezett értékét, és válassza a Tovább: Hálózatkezelés lehetőséget.

8. Válassza a Küllő-01 lehetőséget a virtuális hálózathoz, és válassza a Workload-01-SN lehetőséget az alhálózathoz.

9. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

10. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

11. Válassza a Tovább:Figyelés lehetőséget.

12. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához.

13. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

14. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

15. Amikor a rendszer kéri, töltse le és mentse a titkos kulcsfájlt (például srv-workload-01_key.pem).

Az alábbi táblázatban található információk segítségével konfigurálhat egy másik Srv-Workload-02 nevű virtuális gépet. A többi konfiguráció megegyezik az Srv-workload-01 virtuális gépével, de használjon egy másik kulcspárnevet, például srv-workload-02_key.

Beállítás	Érték
Virtuális hálózat	Küllő-02
Alhálózat	Számítási feladat –02-SN

A kiszolgálók üzembe helyezése után válasszon ki egy kiszolgálóerőforrást, és a hálózatkezelésben jegyezze fel az egyes kiszolgálók magánhálózati IP-címét.

Az Nginx telepítése a kiszolgálókra

A virtuális gépek üzembe helyezése után telepítse az Nginxet mindkét kiszolgálóra, hogy később ellenőrizze a webes kapcsolatot.

1. Az Azure Portalon lépjen a Srv-workload-01 virtuális gépre.

2. Válassza a RunShellScript parancs futtatása lehetőséget>.

3. Futtassa a következő parancsot:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html
   

4. Ismételje meg ugyanazokat a lépéseket az Srv-workload-02 esetében, és cserélje le a gazdagépnevet az echo parancsban:

   sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html
   

Az Azure Bastion üzembe helyezése

Telepítse az Azure Bastiont a Spoke-01 virtuális hálózatra a virtuális gépek biztonságos eléréséhez.

1. Az Azure Portalon keresse meg a Bastionst , és válassza ki.

2. Válassza a Létrehozás parancsot.

3. Konfigurálja a Bastiont a következő beállításokkal:

   Beállítás	Érték
   Előfizetés	Az előfizetés kiválasztása
   Erőforráscsoport	fw-manager-rg
   Név	Bastion-01
   Régió	USA keleti régiója
   Kategória	Fejlesztő
   Virtuális hálózat	Küllő-01
   Alhálózat	AzureBastionSubnet (10.0.2.0/26)

4. Válassza az Ellenőrzés és létrehozás lehetőséget, majd a Létrehozás lehetőséget.

Feljegyzés

Az Azure Bastion üzembe helyezése körülbelül 10 percet vehet igénybe.

Tűzfalszabályzat létrehozása és a központ védelme

A tűzfalszabályzat szabálygyűjteményeket határoz meg egy vagy több biztonságos virtuális központ forgalmának irányításához. Létrehozhatja a tűzfalszabályzatot, majd biztonságossá teheti a központot.

1. A Firewall Managerben válassza az Azure Firewall-szabályzatokat.

2. Válassza az Azure Firewall-szabályzat létrehozása lehetőséget.

3. Erőforráscsoport esetén válassza az fw-manager-rg lehetőséget.

4. A Szabályzat részletei területen a Policy-01 névtípushozés a régióhoz válassza az USA keleti régióját.

5. Szabályzatszint esetén válassza a Standard lehetőséget.

6. Válassza a Tovább: DNS-beállítások lehetőséget.

7. Válassza a Következő: TLS-vizsgálat lehetőséget.

8. Válassza a Következő: Szabályok lehetőséget.

9. A Szabályok lapon válassza a Szabálygyűjtemény hozzáadása lehetőséget.

10. A Szabálygyűjtemény hozzáadása lapon adja meg a következő adatokat.

    Beállítás	Érték
    Név	App-RC-01
    Szabálygyűjtemény típusa	Alkalmazás
    Prioritás	100
    Szabálygyűjtési művelet	Engedélyezés
    Szabály neve	Allow-msft
    Forrás típusa	IP-cím
    Forrás	*
    Protokoll	http,https
    Cél típusa	FQDN
    Cél	*.microsoft.com

11. Válassza a Hozzáadás lehetőséget.

12. Adjon hozzá egy hálózati szabályt a küllős virtuális hálózatok közötti SSH- és HTTP-forgalom engedélyezéséhez.

13. Válassza a Szabálygyűjtemény hozzáadása lehetőséget, és adja meg a következő adatokat.

    Beállítás	Érték
    Név	vnet-access
    Szabálygyűjtemény típusa	Hálózat
    Prioritás	100
    Szabálygyűjtési művelet	Engedélyezés
    Szabály neve	Allow-SSH-HTTP
    Forrás típusa	IP-cím
    Forrás	10.0.0.0/16,10.1.0.0/16
    Protokoll	TCP
    Célportok	22,80
    Cél típusa	IP-cím
    Cél	10.0.0.0/16,10.1.0.0/16

14. Válassza a Hozzáadás, majd a Tovább: IDPS lehetőséget.

15. Az IDPS lapon válassza a Tovább: Fenyegetésintelligencia lehetőséget

16. A Fenyegetésfelderítés lapon fogadja el az alapértelmezett beállításokat, és válassza a Véleményezés és létrehozás lehetőséget:

17. Tekintse át a kijelölés megerősítéséhez, majd válassza a Létrehozás lehetőséget.

Szabályzat társítása

A tűzfalszabályzat társítása a központtal.

1. A Firewall Managerben válassza az Azure Tűzfalszabályzatok lehetőséget.
2. Jelölje be a Policy-01 jelölőnégyzetét.
3. Válassza a Társítások kezelése, Hubok társítása lehetőséget.
4. Válassza a Hub-01 lehetőséget.
5. Válassza a Hozzáadás lehetőséget.

Forgalom átirányítása a központba

Most gondoskodnia kell arról, hogy a hálózati forgalom a tűzfalon keresztül legyen irányítva.

1. A Firewall Managerben válassza a Virtuális központok lehetőséget.

2. Válassza a Hub-01 lehetőséget.

3. A Beállítások területen válassza a Biztonsági konfiguráció lehetőséget.

4. Az internetes forgalom alatt válassza az Azure Firewall lehetőséget.

5. A Privát forgalom területen válassza a Küldés az Azure Firewallon keresztül lehetőséget.

   Feljegyzés

   Ha nyilvános IP-címtartományokat használ egy virtuális hálózat vagy egy helyszíni ág magánhálózataihoz, explicit módon meg kell adnia ezeket az IP-címelőtagokat. Válassza ki a Privát forgalom előtagok szakaszt , majd vegye fel őket a RFC1918 címelőtagok mellé.

6. Az Inter-Hub területen válassza az Engedélyezve lehetőséget a Virtual WAN útválasztási szándék funkció engedélyezéséhez. Az útválasztási szándék az a mechanizmus, amellyel konfigurálhatja a Virtual WAN-t az ág-ág (helyszíni és helyszíni) forgalom átirányítására a Virtual WAN Hubban üzembe helyezett Azure Firewallon keresztül. Az útválasztási szándék funkcióval kapcsolatos előfeltételekkel és szempontokkal kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját.

7. Válassza a Mentés lehetőséget.

8. Válassza az OK gombot a Figyelmeztetés párbeszédpanelen.

9. Válassza az OK gombot az Áttelepítés lapon a központközi párbeszédpanel használatához.

   Feljegyzés

   Az útvonaltáblák frissítése néhány percet vesz igénybe.

10. Győződjön meg arról, hogy a két kapcsolat azt mutatja, hogy az Azure Firewall az internet és a magánforgalom védelmét is biztosítja.

A tűzfal tesztelése

A tűzfalszabályok teszteléséhez az Azure Bastion használatával csatlakozzon a Srv-Workload-01-hez , és ellenőrizze, hogy az alkalmazás- és a hálózati szabályok is működnek-e.

Az alkalmazásszabály tesztelése

Most tesztelje a tűzfalszabályokat, és ellenőrizze, hogy a várt módon működik-e.

1. Az Azure Portalon lépjen a Srv-workload-01 virtuális gépre.

2. Válassza a Csatlakozás a>Bastionon keresztül lehetőséget.

3. Adja meg az azureuser felhasználónevet, és töltse fel a virtuális gép létrehozásakor letöltött titkos kulcsfájlt .pem .

4. SSH-munkamenet megnyitásához válassza a Csatlakozás lehetőséget.

5. Az SSH-munkamenetben futtassa a következő parancsot a Microsofthoz való hozzáférés teszteléséhez:

   curl https://www.microsoft.com
   

   Látnia kell a visszaadott HTML-tartalmat, és ellenőriznie kell, hogy engedélyezett-e a hozzáférés.

6. A Google-hozzáférés tesztelése (amelyet le kell tiltani):

   curl https://www.google.com
   

   A kérésnek időtúllépést vagy meghiúsulást kell végrehajtania, amely azt jelzi, hogy a tűzfal blokkolja a webhelyet.

Így ellenőrizte, hogy a tűzfalalkalmazás szabálya működik-e:

• Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.

A hálózati szabály tesztelése

Most tesztelje a hálózati szabályt az Srv-Workload-01-ről a Srv-Workload-02-hez HTTP használatával való csatlakozással.

1. Tesztelje a HTTP-kapcsolatot az Nginx webkiszolgálóval a Srv-Workload-02 rendszeren:

   curl http://<Srv-Workload-02-private-IP>
   

   Látnia kell a webkiszolgáló által visszaadott állapotot.

Az erőforrások eltávolítása

Ha végzett a tűzfalerőforrások tesztelésével, törölje az fw-manager-rg erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

Tudnivalók a megbízható biztonsági partnerekről