Tutorial: Mengamankan hub virtual Anda menggunakan Azure Firewall Manager

Dengan menggunakan Azure Firewall Manager, Anda dapat membuat hub virtual yang aman untuk mengamankan lalu lintas jaringan cloud Anda yang ditujukan untuk alamat IP pribadi, Azure PaaS, dan Internet. Perutean lalu lintas ke firewall dilakukan secara otomatis, jadi tidak perlu membuat rute yang ditentukan pengguna (UDR).

amankan jaringan cloud

Firewall Manager juga mendukung arsitektur jaringan virtual hub. Untuk perbandingan jenis hub virtual yang aman dan jenis arsitektur jaringan virtual hub, lihat Apa saja opsi arsitektur Azure Firewall Manager?

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual spoke
  • Membuat hub virtual yang aman
  • Menyambungkan jaringan virtual hub dan spoke
  • Merutekan lalu lintas ke hub Anda
  • Menyebarkan server
  • Membuat kebijakan firewall dan mengamankan hub Anda
  • Menguji firewall

Penting

Prosedur dalam tutorial ini menggunakan Azure Firewall Manager untuk membuat hub aman Azure Virtual WAN baru. Anda dapat menggunakan Firewall Manager untuk meningkatkan hub yang ada, tetapi Anda tidak dapat mengonfigurasi Zona Ketersediaan Azure untuk Azure Firewall. Dimungkinkan juga untuk mengonversi hub yang ada ke hub aman menggunakan portal Azure, seperti yang dijelaskan dalam Mengonfigurasi Azure Firewall di hub Virtual WAN. Tetapi seperti Azure Firewall Manager, Anda tidak dapat mengonfigurasi Zona Ketersediaan. Untuk meningkatkan hub yang ada dan menentukan Zona Ketersediaan untuk Azure Firewall (disarankan) Anda harus mengikuti prosedur peningkatan di Tutorial: Mengamankan hub virtual Anda menggunakan Azure PowerShell.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat arsitektur hub dan spoke

Pertama, buat jaringan virtual spoke tempat Anda dapat meletakkan server Anda.

Membuat dua jaringan virtual spoke dan subnet

Kedua jaringan virtual tersebut masing-masing akan memiliki server beban kerja di dalamnya dan akan dilindungi oleh firewall.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Cari Jaringan Virtual, dan pilih Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup Sumber Daya, pilih Buat baru, dan ketik fw-manager-rg untuk nama dan pilih OK.
  5. Untuk Nama, ketik Spoke-01.
  6. Untuk Wilayah, pilih US Timur.
  7. Pilih Selanjutnya: Alamat IP.
  8. Untuk Ruang alamat, terima default 10.0.0.0/16.
  9. Pilih Tambahkan Subnet.
  10. Untuk Nama subnet, ketik Workload-01-SN.
  11. Untuk Rentang alamat subnet ketik 10.0.1.0/24.
  12. Pilih Tambahkan.
  13. Pilih Tinjau + buat.
  14. Pilih Buat.

Ulangi prosedur ini untuk membuat jaringan virtual serupa lainnya di grup sumber daya fw-manager-rg :

Nama: Spoke-02
Ruang alamat: 10.1.0.0/16
Nama subnet: Workload-02-SN
Rentang alamat subnet:10.1.1.0/24

Membuat hub virtual yang aman

Buat hub virtual yang aman menggunakan Firewall Manager.

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Dalam kotak pencarian, ketik Firewall Manager dan pilih Firewall Manager.

  3. Pada halaman Firewall Manager di bawah Penerapan, pilih Hub virtual.

  4. Di Firewall Manager| Hub virtual, pilih Buat hub virtual aman baru.

    Cuplikan layar pembuatan hub virtual aman baru.

  5. Pilih Langganan Anda.

  6. Untuk Grup sumber daya, pilih fw-manager-rg.

  7. Untuk Wilayah, pilih US Timur.

  8. Untuk Nama hub virtual aman, ketik Hub-01.

  9. Untuk Ruang Alamat Hub, ketik 10.2.0.0/16.

  10. Pilih vWAN Baru.

  11. Untuk nama WAN virtual baru, ketik Vwan-01.

  12. Untuk Jenis Pilih Standar.

  13. Kosongkan kotak centang Sertakan gateway VPN untuk mengaktifkan Mitra Keamanan Tepercaya.

    Cuplikan layar pembuatan hub virtual baru dengan properti.

  14. Pilih Berikutnya: Azure Firewall.

  15. Terima pengaturan default Azure FirewallDiaktifkan.

  16. Untuk tingkat Azure Firewall, pilih Standar.

  17. Pilih kombinasi Zona Ketersediaan yang diinginkan.

Penting

Virtual WAN adalah kumpulan hub dan layanan yang tersedia di dalam hub. Anda dapat menyebarkan Virtual WAN sebanyak yang dibutuhkan. Di hub Virtual WAN, ada beberapa layanan seperti VPN, ExpressRoute, dan sebagainya. Masing-masing layanan ini secara otomatis disebarkan di seluruh Zona Ketersediaan kecuali Azure Firewall, jika wilayah tersebut mendukung Zona Ketersediaan. Untuk menyelaraskan dengan ketahanan Azure Virtual WAN, Anda harus memilih semua Zona Ketersediaan yang tersedia.

Cuplikan layar mengonfigurasi parameter Azure Firewall.

  1. Pilih Kebijakan Firewall untuk diterapkan pada instans Azure Firewall baru. Pilih Kebijakan Tolak Default, Anda akan memperbaiki pengaturan Anda nanti di artikel ini.

  2. Pilih Berikutnya: Penyedia Mitra Keamanan.

    Cuplikan layar mengonfigurasi parameter Mitra Tepercaya.

  3. Terima pengaturan default Mitra Keamanan TepercayaDinonaktifkan, dan pilih Berikutnya: Tinjau + buat.

  4. Pilih Buat.

    Cuplikan layar pembuatan instans Firewall.

Catatan

Mungkin perlu waktu hingga 30 menit untuk membuat hub virtual yang aman.

Anda bisa mendapatkan alamat IP publik firewall setelah penyebaran selesai.

  1. Buka Firewall Manager.
  2. Pilih Hub virtual.
  3. Pilih hub-01.
  4. Di bawah Azure Firewall, pilih Konfigurasi IP publik.
  5. Perhatikan alamat IP publik yang akan digunakan nanti.

Menyambungkan jaringan virtual hub dan spoke

Sekarang anda dapat meyerekan jaringan virtual hub dan spoke.

  1. Pilih grup sumber daya fw-manager-rg, lalu pilih WAN virtual Vwan-01.

  2. Di bawah Konektivitas, pilih Koneksi jaringan virtual.

    Cuplikan layar penambahan koneksi Virtual Network.

  3. Pilih Tambahkan koneksi.

  4. Untuk Nama koneksi, ketik hub-spoke-01.

  5. Untuk Hub, pilih Hub-01.

  6. Untuk Grup sumber daya, pilih fw-manager-rg.

  7. Untuk Jaringan Virtual, pilih Spoke-01.

  8. Pilih Buat.

  9. Ulangi untuk menghubungkan jaringan virtual Spoke-02: nama koneksi - hub-spoke-02

Menyebarkan server

  1. Pada portal Microsoft Azure, pilih Buat sumber daya.

  2. Pilih Pusat Data Windows Server 2019 di daftar Populer.

  3. Masukkan nilai-nilai ini untuk komputer virtual:

    Pengaturan Nilai
    Grup sumber daya fw-manager-rg
    Nama komputer virtual Srv-workload-01
    Wilayah (US) US Timur)
    Nama pengguna administrator ketik nama pengguna
    Kata sandi ketik kata sandi
  4. Di bawah Aturan port masuk, untuk Port masuk publik, pilih Tidak Ada.

  5. Terima default lainnya lalu pilih Berikutnya: Disk.

  6. Pakai default disk dan pilih Berikutnya : Jaringan.

  7. Pilih Spoke-01 untuk jaringan virtual dan pilih Workload-01-SN untuk subnet.

  8. Untuk IP Publik, pilih Tidak Ada.

  9. Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.

  10. Pilih Berikutnya:Pemantauan.

  11. Pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.

  12. Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.

Gunakan informasi dalam tabel berikut untuk mengonfigurasi komputer virtual lain bernama Srv-Workload-02. Konfigurasi yang lainnya sama dengan komputer virtual Srv-workload-01.

Pengaturan Nilai
Jaringan virtual Spoke-02
Subnet Workload-02-SN

Setelah server disebarkan, pilih sumber daya server, dan di Penjaringan perhatikan alamat IP privat untuk setiap server.

Membuat kebijakan firewall dan mengamankan hub Anda

Kebijakan firewall mendefinisikan kumpulan aturan untuk mengarahkan lalu lintas pada satu atau beberapa hub virtual yang aman. Anda akan membuat kebijakan firewall, lalu mengamankan hub Anda.

  1. Dari Pengelola Firewall, pilih kebijakan Azure Firewall.

    Cuplikan layar pembuatan Azure Policy dengan langkah pertama.

  2. Pilih Buat Kebijakan Azure Firewall.

    Cuplikan layar mengonfigurasi pengaturan Azure Policy pada langkah pertama.

  3. Untuk Grup sumber daya, pilih fw-manager-rg.

  4. Di bawah Detail kebijakan, untuk Nama ketik Policy-01 dan untuk Wilayah pilih US Timur.

  5. Untuk Tingkat kebijakan, pilih Standar.

  6. Pilih Berikutnya: Pengaturan DNS.

    Cuplikan layar mengonfigurasi pengaturan DNS.

  7. Pilih Berikutnya: Inspeksi TLS.

    Cuplikan layar mengonfigurasi pengaturan TLS.

  8. Pilih Berikutnya : Aturan.

  9. Pada tab Aturan, pilih Tambahkan kumpulan aturan.

    Cuplikan layar mengonfigurasi Kumpulan Aturan.

  10. Pada halaman Tambahkan kumpulan aturan, ketik App-RC-01 untuk Nama.

  11. Untuk Tipe kumpulan aturan, pilih Aplikasi.

  12. Untuk Prioritas, ketik 100.

  13. Pastikan Tindakan kumpulan aturanDiizinkan.

  14. Untuk aturan Nama ketik Allow-msft.

  15. Untuk Jenis Sumber, pilih alamat IP.

  16. Untuk Sumber, ketik * .

  17. Untuk Protokol, ketik http,https.

  18. Pastikan Jenis Tujuan adalah FQDN.

  19. Untuk Tujuan, ketik *.microsoft.com.

  20. Pilih Tambahkan.

  21. Tambahkan aturan DNAT sehingga Anda dapat menghubungkan desktop jarak jauh ke mesin virtual Srv-Workload-01.

    1. Pilih Tambahkan/Kumpulan Aturan.
    2. Untuk Nama, ketik dnat-rdp.
    3. Untuk Jenis kumpulan aturan, pilih DNAT.
    4. Untuk Prioritas, ketik 100.
    5. Untuk aturan Nama ketik Allow-rdp.
    6. Untuk Jenis Sumber, pilih alamat IP.
    7. Untuk Sumber, ketik * .
    8. Untuk Protokol, pilih TCP.
    9. Untuk Port Tujuan, ketik 3389.
    10. Untuk Jenis Tujuan, pilih Alamat IP.
    11. Untuk Tujuan, ketik alamat IP publik firewall yang Anda perhatikan sebelumnya.
    12. Untuk Jenis yang diterjemahkan, pilih Alamat IP.
    13. Untuk Alamat Terjemahan, ketik alamat IP privat untuk Srv-Workload-01 yang Anda perhatikan sebelumnya.
    14. Untuk Port terjemahan, ketik 3389.
    15. Pilih Tambahkan.
  22. Tambahkan Aturan jaringan sehingga Anda dapat menghubungkan desktop jarak jauh dari Srv-Workload-01 ke Srv-Workload-02.

    1. Pilih Tambahkan Kumpulan Aturan.
    2. Untuk Nama, ketik vnet-rdp.
    3. Untuk Jenis kumpulan aturan, pilih Jaringan.
    4. Untuk Prioritas, ketik 100.
    5. Untuk Tindakan kumpulan aturan, pilih Izinkan.
    6. Untuk aturan Nama ketik Allow-vnet.
    7. Untuk Jenis Sumber, pilih alamat IP.
    8. Untuk Sumber, ketik * .
    9. Untuk Protokol, pilih TCP.
    10. Untuk Port Tujuan, ketik 3389.
    11. Untuk Jenis Tujuan, pilih Alamat IP.
    12. Untuk Tujuan, ketik alamat IP privat Srv-Workload-02 yang Anda perhatikan sebelumnya.
    13. Pilih Tambahkan.
  23. Pilih Berikutnya: IDPS.

  24. Pada halaman IDPS , pilih Berikutnya: Inteligensi Ancaman

    Cuplikan layar mengonfigurasi pengaturan IDPS.

  25. Di halaman Inteligensi Ancaman , terima default dan pilih Tinjau dan Buat:

    Cuplikan layar mengonfigurasi pengaturan Inteligensi Ancaman.

  26. Tinjau untuk mengonfirmasi pilihan Anda lalu pilih Buat.

Mengaitkan kebijakan

Kaitkan kebijakan firewall dengan hub.

  1. Dari Firewall Manager, pilih Tampilkan kebijakan Azure Firewall.

  2. Pilih kotak centang untuk Policy-01.

  3. Pilih Kelola kaitan, Hub terkait.

    Cuplikan layar mengonfigurasi asosiasi Kebijakan.

  4. Pilih hub-01.

  5. Pilih Tambahkan.

    Cuplikan layar menambahkan pengaturan Kebijakan dan Hub.

Merutekan lalu lintas ke hub Anda

Sekarang Anda harus memastikan bahwa lalu lintas jaringan akan dialihkan melalui firewall Anda.

  1. Dari Firewall Manager, pilih Hub virtual.

  2. Pilih Hub-01.

  3. Di bawah Pengaturan, pilih Konfigurasi keamanan.

  4. Di bawah Lalu lintas Internet, pilih Azure Firewall.

  5. Di bawah Lalu lintas privat, pilih Kirim melalui Azure Firewall.

  6. Pilih Simpan.

  7. Pilih Oke pada dialog Peringatan.

    Cuplikan layar Koneksi Aman.

    Catatan

    Perlu beberapa menit untuk memperbarui tabel rute.

  8. Verifikasi bahwa kedua koneksi menunjukkan Azure Firewall yang mengamankan lalu lintas Internet dan privat.

    Cuplikan layar status akhir Koneksi Aman.

Menguji firewall

Untuk menguji aturan firewall, Anda akan menyambungkan desktop jarak jauh menggunakan alamat IP publik firewall, yang di-NAT ke Srv-Workload-01. Dari sana Anda akan menggunakan browser untuk menguji aturan aplikasi dan menyambungkan desktop jarak jauh ke Srv-Workload-02 untuk menguji aturan jaringan.

Menguji aturan aplikasi

Sekarang, uji aturan firewall untuk mengonfirmasi bahwa ia bekerja seperti yang diharapkan.

  1. Sambungkan desktop jarak jauh ke alamat IP publik firewall, dan masuk.

  2. Buka Internet Explorer dan telusuri https://www.microsoft.com.

  3. Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.

    Anda akan melihat halaman beranda Microsoft.

  4. Telusuri https://www.google.com.

    Anda akan diblokir oleh firewall.

Maka sekarang Anda telah memverifikasi bahwa aturan aplikasi firewall berfungsi:

  • Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.

Menguji aturan jaringan

Sekarang uji aturan jaringan.

  • Dari Srv-Workload-01, buka desktop jarak jauh ke alamat IP privat Srv-Workload-02.

    Desktop jarak jauh akan tersambung ke Srv-Workload-02.

Maka sekarang Anda telah memverifikasi bahwa aturan jaringan firewall berfungsi:

  • Anda bisa menyambungkan desktop jarak jauh ke server yang berada di jaringan virtual lainnya.

Menghapus sumber daya

Setelah selesai menguji sumber daya firewall Anda, hapus grup sumber daya fw-manager-rg untuk menghapus semua sumber daya yang terkait dengan firewall.

Langkah berikutnya