Oktatóanyag: Virtuális központ védelme az Azure Firewall Managerrel

  • Cikk

Az Azure Firewall Managerrel biztonságos virtuális központokat hozhat létre a magánhálózati ip-címekre, az Azure PaaS-be és az internetre irányuló felhőbeli hálózati forgalom védelméhez. A tűzfal felé történő forgalomirányítás automatizált, így nincs szükség felhasználó által definiált útvonalak (UDR-ek) létrehozására.

A Firewall Manager a központi virtuális hálózati architektúrát is támogatja. A biztonságos virtuális központ és a központi virtuális hálózat architektúrájának típusainak összehasonlításához tekintse meg az Azure Firewall Manager architektúrabeállításait?

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Küllős virtuális hálózat létrehozása
  • Biztonságos virtuális központ létrehozása
  • a küllős virtuális hálózatok Csatlakozás
  • Forgalom átirányítása a központba
  • A kiszolgálók üzembe helyezése
  • Tűzfalszabályzat létrehozása és a központ védelme
  • A tűzfal tesztelése

Fontos

Az oktatóanyagban szereplő eljárás az Azure Firewall Manager használatával hoz létre egy új, Azure Virtual WAN által védett központot. A Firewall Managerrel frissíthet egy meglévő központot, de nem konfigurálhatja az Azure-beli rendelkezésre állási zónákat az Azure Firewallhoz. Egy meglévő központot biztonságos központtá is konvertálhat az Azure Portal használatával, az Azure Firewall konfigurálása virtual WAN-központban című cikkben leírtak szerint. Az Azure Firewall Managerhez hasonlóan azonban nem konfigurálható a rendelkezésre állási zónák. Meglévő központ frissítéséhez és az Azure Firewall rendelkezésre állási zónáinak megadásához (ajánlott) kövesse a frissítési eljárást a következő oktatóanyagban: A virtuális központ védelme az Azure PowerShell használatával.

Diagram showing the secure cloud network.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Küllős architektúra létrehozása

Először hozzon létre küllős virtuális hálózatokat, ahol elhelyezheti a kiszolgálókat.

Két küllős virtuális hálózat és alhálózat létrehozása

A két virtuális hálózat mindegyike rendelkezik számítási feladatokat kiszolgálóval, és a tűzfal védi őket.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. Keressen rá a virtuális hálózatra, jelölje ki, és válassza a Létrehozás lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Erőforráscsoport esetén válassza az Új létrehozása lehetőséget, és írja be az fw-manager-rg nevet, majd kattintson az OK gombra.
  5. A virtuális hálózat neveként írja be a Küllő-01 nevet.
  6. Régió esetén válassza az USA keleti régióját.
  7. Válassza a Tovább lehetőséget.
  8. A Biztonság lapon válassza a Tovább gombot.
  9. Az IPv4-címtér hozzáadása területen fogadja el az alapértelmezett 10.0.0.0/16-os értéket.
  10. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.
  11. A Név mezőbe írja be a Workload-01-SN nevet.
  12. Kezdőcímként írja be a 10.0.1.0/24-es címet.
  13. Válassza a Mentés lehetőséget.
  14. Válassza az Áttekintés + létrehozás lehetőséget.
  15. Válassza a Létrehozás lehetőséget.

Ismételje meg ezt az eljárást egy másik hasonló virtuális hálózat létrehozásához az fw-manager-rg erőforráscsoportban:

Név: Küllő-02
Címtér: 10.1.0.0/16
Alhálózat neve: Workload-02-SN
Kezdőcím: 10.1.1.0/24

A biztonságos virtuális központ létrehozása

Hozza létre a biztonságos virtuális központot a Firewall Managerrel.

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A keresőmezőbe írja be a Tűzfalkezelőt, és válassza a Tűzfalkezelő lehetőséget.

  3. A Tűzfalkezelő központi telepítések területén válassza a Virtuális központok lehetőséget.

  4. A Tűzfalkezelőben | A Virtuális központok lapon válassza az Új biztonságos virtuális központ létrehozása lehetőséget.

    Screenshot of creating a new secured virtual hub.

  5. Válassza ki az előfizetését.

  6. Erőforráscsoport esetén válassza az fw-manager-rg lehetőséget.

  7. Régió esetén válassza az USA keleti régióját.

  8. A biztonságos virtuális központ neveként írja be a Hub-01 nevet.

  9. A központi címtérhez írja be a 10.2.0.0/16 címet.

  10. Válassza az Új vWAN lehetőséget.

  11. Az új virtuális WAN-névhez írja be a Vwan-01 nevet.

  12. A Standard típus kiválasztása esetén.

  13. Hagyja bejelölve a VPN-átjáró belefoglalása jelölőnégyzetet a megbízható biztonsági partnerek engedélyezéséhez.

    Screenshot of creating a new virtual hub with properties.

  14. Válassza a Következő lehetőséget: Azure Firewall.

  15. Fogadja el az alapértelmezett Azure Firewall-kompatibilis beállítást.

  16. Azure Firewall-szint esetén válassza a Standard lehetőséget.

  17. Válassza ki a rendelkezésre állási zónák kívánt kombinációját.

Fontos

A Virtual WAN a központban elérhető hubok és szolgáltatások gyűjteménye. A szükséges virtuális WAN-okat üzembe helyezheti. A Virtual WAN-központban több szolgáltatás is létezik, például VPN, ExpressRoute stb. A rendszer automatikusan telepíti ezeket a szolgáltatásokat a rendelkezésre állási zónákban az Azure Firewall kivételével, ha a régió támogatja a rendelkezésre állási zónákat. Az Azure Virtual WAN rugalmasságához igazodva minden rendelkezésre álló rendelkezésre állási zónát ki kell választania.

Screenshot of configuring Azure Firewall parameters.

  1. Írja be az 1 értéket a Nyilvános IP-címek számának megadása szövegmezőbe.

  2. A Tűzfalszabályzat területen győződjön meg arról, hogy az alapértelmezett megtagadási házirend ki van jelölve. A cikk későbbi részében pontosíthatja a beállításokat.

  3. Válassza a Következő: Biztonsági partnerszolgáltató lehetőséget.

    Screenshot of configuring Trusted Partners parameters.

  4. Fogadja el a megbízható biztonsági partneralapértelmezett letiltott beállítását, és válassza a Tovább: Véleményezés + létrehozás lehetőséget.

  5. Válassza a Létrehozás parancsot.

    Screenshot of creating the Firewall instance.

Feljegyzés

Egy biztonságos virtuális központ létrehozása akár 30 percet is igénybe vehet.

Az üzembe helyezés befejezése után megtalálhatja a tűzfal nyilvános IP-címét.

  1. Nyissa meg a Firewall Managert.
  2. Válassza a Virtuális központok lehetőséget.
  3. Válassza a Hub-01 lehetőséget.
  4. Válassza a AzureFirewall_Hub-01 lehetőséget.
  5. Jegyezze fel a később használni kívánt nyilvános IP-címet.

a küllős virtuális hálózatok Csatlakozás

Most már társviszonyt létesíthet a küllős virtuális hálózatokkal.

  1. Válassza ki az fw-manager-rg erőforráscsoportot, majd a Vwan-01 virtuális WAN-t.

  2. A Csatlakozás ivity területen válassza a Virtuális hálózati kapcsolatok lehetőséget.

    Screenshot of adding Virtual Network connections.

  3. Válassza a Kapcsolat hozzáadása lehetőséget.

  4. A Csatlakozás ion neveként írja be a küllő-01 nevet.

  5. A Hubs esetében válassza a Hub-01 lehetőséget.

  6. Erőforráscsoport esetén válassza az fw-manager-rg lehetőséget.

  7. Virtuális hálózat esetén válassza a Küllő-01 lehetőséget.

  8. Válassza a Létrehozás lehetőséget.

  9. Ismételje meg a küllő-02 virtuális hálózat csatlakoztatását: kapcsolat neve – küllős-02.

A kiszolgálók üzembe helyezése

  1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget a népszerű listában.

  3. Adja meg a következő értékeket a virtuális gép számára:

    Beállítás Érték
    Erőforráscsoport fw-manager-rg
    Virtuális gép neve Srv-workload-01
    Régió (USA) USA keleti régiója)
    Rendszergazda istrator felhasználónév írja be a felhasználónevet
    Jelszó jelszó beírása

  4. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el a lemez alapértelmezett értékét, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Válassza a Küllő-01 lehetőséget a virtuális hálózathoz, és válassza a Workload-01-SN lehetőséget az alhálózathoz.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Válassza a Tovább:Figyelés lehetőséget.

  11. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  12. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

Az alábbi táblázatban található információk segítségével konfigurálhat egy másik Srv-Workload-02 nevű virtuális gépet. A többi konfiguráció megegyezik az Srv-workload-01 virtuális géppel.

Beállítás Érték
Virtuális hálózat Küllő-02
Alhálózat Számítási feladat –02-SN

A kiszolgálók üzembe helyezése után válasszon ki egy kiszolgálóerőforrást, és a hálózatkezelésben jegyezze fel az egyes kiszolgálók magánhálózati IP-címét.

Tűzfalszabályzat létrehozása és a központ védelme

A tűzfalszabályzat szabálygyűjteményeket határoz meg egy vagy több biztonságos virtuális központ forgalmának irányításához. Létrehozhatja a tűzfalszabályzatot, majd biztonságossá teheti a központot.

  1. A Firewall Managerben válassza az Azure Firewall-szabályzatokat.

    Screenshot of creating an Azure Policy with first step.

  2. Válassza az Azure Firewall-szabályzat létrehozása lehetőséget.

    Screenshot of configuring Azure Policy settings in first step.

  3. Erőforráscsoport esetén válassza az fw-manager-rg lehetőséget.

  4. A Szabályzat részletei területen a Policy-01 névtípushozés a régióhoz válassza az USA keleti régióját.

  5. Szabályzatszint esetén válassza a Standard lehetőséget.

  6. Válassza a Tovább: DNS-Gépház lehetőséget.

    Screenshot of configuring DNS settings.

  7. Válassza a Következő: TLS-vizsgálat lehetőséget.

    Screenshot of configuring TLS settings.

  8. Válassza a Következő: Szabályok lehetőséget.

  9. A Szabályok lapon válassza a Szabálygyűjtemény hozzáadása lehetőséget.

    Screenshot of configuring Rule Collection.

  10. A Szabálygyűjtemény hozzáadása lapon írja be az App-RC-01 nevet a névhez.

  11. A szabálygyűjtemény típusához válassza az Alkalmazás lehetőséget.

  12. A Prioritás mezőbe írja be a 100-et.

  13. Győződjön meg arról, hogy a szabálygyűjtési művelet engedélyezve van.

  14. A szabály neveként írja be az Allow-msft parancsot.

  15. A Forrás típusnál válassza az IP-címet.

  16. A Forrás mezőbe írja be a következőt*:

  17. Protokoll esetén írja be a http,https parancsot.

  18. Győződjön meg arról, hogy a céltípus teljes tartománynév.

  19. A Cél mezőbe írja be a *.microsoft.com.

  20. Válassza a Hozzáadás lehetőséget.

  21. Adjon hozzá egy DNST-szabályt , amellyel távoli asztalt csatlakoztathat az Srv-Workload-01 virtuális géphez.

    1. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
    2. A Név mezőbe írja be a dnat-rdp nevet.
    3. Szabálygyűjtemény-típus esetén válassza a DNAT lehetőséget.
    4. A Prioritás mezőbe írja be a 100-et.
    5. A szabály neveként írja be az Allow-rdp parancsot.
    6. A Forrás típusnál válassza az IP-címet.
    7. A Forrás mezőbe írja be a következőt*:
    8. A Protokoll beállításnál válassza a TCP lehetőséget.
    9. Célportok esetén írja be a 3389-es típust.
    10. A Cél mezőbe írja be a tűzfal korábban feljegyzett nyilvános IP-címét.
    11. Lefordított típus esetén válassza az IP-cím lehetőséget.
    12. Lefordított cím esetén írja be a korábban feljegyzett Srv-Workload-01 magánhálózati IP-címét.
    13. A Lefordított port mezőben adja meg a 3389 értéket.
    14. Válassza a Hozzáadás lehetőséget.

  22. Adjon hozzá egy hálózati szabályt, amellyel távoli asztalt csatlakoztathat a Srv-Workload-01-ből a Srv-Workload-02-hez.

    1. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
    2. A Név mezőbe írja be a vnet-rdp nevet.
    3. A szabálygyűjtemény típusához válassza a Hálózat lehetőséget.
    4. A Prioritás mezőbe írja be a 100-et.
    5. Szabálygyűjtési művelet esetén válassza az Engedélyezés lehetőséget.
    6. A szabálynév típusának Allow-vnet (Allow-vnet) típusa.
    7. A Forrás típusnál válassza az IP-címet.
    8. A Forrás mezőbe írja be a következőt*:
    9. A Protokoll beállításnál válassza a TCP lehetőséget.
    10. Célportok esetén írja be a 3389-es típust.
    11. Céltípus esetén válassza az IP-cím lehetőséget.
    12. Célként írja be a korábban feljegyzett Srv-Workload-02 magánhálózati IP-címet.
    13. Válassza a Hozzáadás lehetőséget.

  23. Válassza a Tovább: IDPS lehetőséget.

  24. Az IDPS lapon válassza a Tovább: Fenyegetésintelligencia lehetőséget

    Screenshot of configuring IDPS settings.

  25. A Fenyegetésfelderítés lapon fogadja el az alapértelmezett beállításokat, és válassza a Véleményezés és létrehozás lehetőséget:

    Screenshot of configuring Threat Intelligence settings.

  26. Tekintse át a kijelölés megerősítéséhez, majd válassza a Létrehozás lehetőséget.

Szabályzat társítása

A tűzfalszabályzat társítása a központtal.

  1. A Firewall Managerben válassza az Azure Tűzfalszabályzatok lehetőséget.

  2. Jelölje be a Policy-01 jelölőnégyzetét.

  3. Válassza a Társítások kezelése, Hubok társítása lehetőséget.

    Screenshot of configuring Policy association.

  4. Válassza a Hub-01 lehetőséget.

  5. Válassza a Hozzáadás lehetőséget.

    Screenshot of adding Policy and Hub settings.

Forgalom átirányítása a központba

Most gondoskodnia kell arról, hogy a hálózati forgalom a tűzfalon keresztül legyen irányítva.

  1. A Firewall Managerben válassza a Virtuális központok lehetőséget.

  2. Válassza a Hub-01 lehetőséget.

  3. A Gépház területen válassza a Biztonsági konfiguráció lehetőséget.

  4. Az internetes forgalom alatt válassza az Azure Firewall lehetőséget.

  5. A Privát forgalom területen válassza a Küldés az Azure Firewallon keresztül lehetőséget.

    Feljegyzés

    Ha nyilvános IP-címtartományokat használ egy virtuális hálózat vagy egy helyszíni ág magánhálózataihoz, explicit módon meg kell adnia ezeket az IP-címelőtagokat. Válassza ki a Privát forgalom előtagok szakaszt , majd vegye fel őket a RFC1918 címelőtagok mellé.

  6. Az Inter-Hub területen válassza az Engedélyezve lehetőséget a Virtual WAN útválasztási szándék funkció engedélyezéséhez. Az útválasztási szándék az a mechanizmus, amellyel konfigurálhatja a Virtual WAN-t az ág-ág (helyszíni és helyszíni) forgalom átirányítására a Virtual WAN Hubban üzembe helyezett Azure Firewallon keresztül. Az útválasztási szándék funkcióval kapcsolatos előfeltételekkel és szempontokkal kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját.

  7. Válassza a Mentés lehetőséget.

  8. Válassza az OK gombot a Figyelmeztetés párbeszédpanelen.

    Screenshot of Secure Connections.

  9. Válassza az OK gombot az Áttelepítés lapon a központközi párbeszédpanel használatához.

    Feljegyzés

    Az útvonaltáblák frissítése néhány percet vesz igénybe.

  10. Győződjön meg arról, hogy a két kapcsolat azt mutatja, hogy az Azure Firewall az internet és a magánforgalom védelmét is biztosítja.

    Screenshot of Secure Connections final status.

A tűzfal tesztelése

A tűzfalszabályok teszteléséhez csatlakoztassa a távoli asztalt a tűzfal nyilvános IP-címével, amely a Srv-Workload-01-hez van csatlakoztatva. Innen egy böngészővel tesztelje az alkalmazásszabályt, és csatlakoztassa a távoli asztalt a Srv-Workload-02-hez a hálózati szabály teszteléséhez.

Az alkalmazásszabály tesztelése

Most tesztelje a tűzfalszabályokat, és ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakozás egy távoli asztalt a nyilvános IP-cím tűzfalához, és jelentkezzen be.

  2. Nyissa meg az Internet Explorert, és navigáljon a következő címre: https://www.microsoft.com.

  3. Válassza az OK>bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Ekkor megjelenik a Microsoft kezdőlapja.

  4. Nyissa meg a következő címet: https://www.google.com.

    Ezt a tűzfalnak blokkolnia kell.

Így ellenőrizte, hogy a tűzfalalkalmazás szabálya működik-e:

  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.

A hálózati szabály tesztelése

Most tesztelje a hálózati szabályt.

  • A Srv-Workload-01-ből nyisson meg egy távoli asztalt a Srv-Workload-02 privát IP-címére.

    Egy távoli asztalnak csatlakoznia kell a Srv-Workload-02-hez.

Így ellenőrizte, hogy működik-e a tűzfal hálózati szabálya:

  • Távoli asztalt csatlakoztathat egy másik virtuális hálózaton található kiszolgálóhoz.

Az erőforrások eltávolítása

Ha végzett a tűzfalerőforrások tesztelésével, törölje az fw-manager-rg erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

Tudnivalók a megbízható biztonsági partnerekről