Tutorial: Mengamankan hub virtual Anda menggunakan Azure Firewall Manager
Dengan menggunakan Azure Firewall Manager, Anda dapat membuat hub virtual yang aman untuk mengamankan lalu lintas jaringan cloud Anda yang ditujukan untuk alamat IP pribadi, Azure PaaS, dan Internet. Perutean lalu lintas ke firewall dilakukan secara otomatis, jadi tidak perlu membuat rute yang ditentukan pengguna (UDR).
Firewall Manager juga mendukung arsitektur jaringan virtual hub. Untuk perbandingan jenis hub virtual yang aman dan jenis arsitektur jaringan virtual hub, lihat Apa saja opsi arsitektur Azure Firewall Manager?
Dalam tutorial ini, Anda akan mempelajari cara:
- Membuat jaringan virtual spoke
- Membuat hub virtual yang aman
- Menyambungkan jaringan virtual hub dan spoke
- Merutekan lalu lintas ke hub Anda
- Menyebarkan server
- Membuat kebijakan firewall dan mengamankan hub Anda
- Menguji firewall
Penting
Prosedur dalam tutorial ini menggunakan Azure Firewall Manager untuk membuat hub aman Azure Virtual WAN baru. Anda dapat menggunakan Firewall Manager untuk meningkatkan hub yang ada, tetapi Anda tidak dapat mengonfigurasi Zona Ketersediaan Azure untuk Azure Firewall. Dimungkinkan juga untuk mengonversi hub yang ada ke hub aman menggunakan portal Azure, seperti yang dijelaskan dalam Mengonfigurasi Azure Firewall di hub Virtual WAN. Tetapi seperti Azure Firewall Manager, Anda tidak dapat mengonfigurasi Zona Ketersediaan. Untuk meningkatkan hub yang ada dan menentukan Zona Ketersediaan untuk Azure Firewall (disarankan) Anda harus mengikuti prosedur peningkatan di Tutorial: Mengamankan hub virtual Anda menggunakan Azure PowerShell.
Prasyarat
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Membuat arsitektur hub dan spoke
Pertama, buat jaringan virtual spoke tempat Anda dapat meletakkan server Anda.
Membuat dua jaringan virtual spoke dan subnet
Kedua jaringan virtual tersebut masing-masing akan memiliki server beban kerja di dalamnya dan akan dilindungi oleh firewall.
- Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
- Cari Jaringan Virtual, dan pilih Buat.
- Untuk Langganan, Pilih langganan Anda.
- Untuk Grup Sumber Daya, pilih Buat baru, dan ketik fw-manager-rg untuk nama dan pilih OK.
- Untuk Nama, ketik Spoke-01.
- Untuk Wilayah, pilih US Timur.
- Pilih Selanjutnya: Alamat IP.
- Untuk Ruang alamat, terima default 10.0.0.0/16.
- Pilih Tambahkan Subnet.
- Untuk Nama subnet, ketik Workload-01-SN.
- Untuk Rentang alamat subnet ketik 10.0.1.0/24.
- Pilih Tambahkan.
- Pilih Tinjau + buat.
- Pilih Buat.
Ulangi prosedur ini untuk membuat jaringan virtual serupa lainnya di grup sumber daya fw-manager-rg :
Nama: Spoke-02
Ruang alamat: 10.1.0.0/16
Nama subnet: Workload-02-SN
Rentang alamat subnet:10.1.1.0/24
Membuat hub virtual yang aman
Buat hub virtual yang aman menggunakan Firewall Manager.
Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
Dalam kotak pencarian, ketik Firewall Manager dan pilih Firewall Manager.
Pada halaman Firewall Manager di bawah Penerapan, pilih Hub virtual.
Di Firewall Manager| Hub virtual, pilih Buat hub virtual aman baru.
Pilih Langganan Anda.
Untuk Grup sumber daya, pilih fw-manager-rg.
Untuk Wilayah, pilih US Timur.
Untuk Nama hub virtual aman, ketik Hub-01.
Untuk Ruang Alamat Hub, ketik 10.2.0.0/16.
Pilih vWAN Baru.
Untuk nama WAN virtual baru, ketik Vwan-01.
Untuk Jenis Pilih Standar.
Kosongkan kotak centang Sertakan gateway VPN untuk mengaktifkan Mitra Keamanan Tepercaya.
Pilih Berikutnya: Azure Firewall.
Terima pengaturan default Azure FirewallDiaktifkan.
Untuk tingkat Azure Firewall, pilih Standar.
Pilih kombinasi Zona Ketersediaan yang diinginkan.
Penting
Virtual WAN adalah kumpulan hub dan layanan yang tersedia di dalam hub. Anda dapat menyebarkan Virtual WAN sebanyak yang dibutuhkan. Di hub Virtual WAN, ada beberapa layanan seperti VPN, ExpressRoute, dan sebagainya. Masing-masing layanan ini secara otomatis disebarkan di seluruh Zona Ketersediaan kecuali Azure Firewall, jika wilayah tersebut mendukung Zona Ketersediaan. Untuk menyelaraskan dengan ketahanan Azure Virtual WAN, Anda harus memilih semua Zona Ketersediaan yang tersedia.
Pilih Kebijakan Firewall untuk diterapkan pada instans Azure Firewall baru. Pilih Kebijakan Tolak Default, Anda akan memperbaiki pengaturan Anda nanti di artikel ini.
Pilih Berikutnya: Penyedia Mitra Keamanan.
Terima pengaturan default Mitra Keamanan TepercayaDinonaktifkan, dan pilih Berikutnya: Tinjau + buat.
Pilih Buat.
Catatan
Mungkin perlu waktu hingga 30 menit untuk membuat hub virtual yang aman.
Anda bisa mendapatkan alamat IP publik firewall setelah penyebaran selesai.
- Buka Firewall Manager.
- Pilih Hub virtual.
- Pilih hub-01.
- Di bawah Azure Firewall, pilih Konfigurasi IP publik.
- Perhatikan alamat IP publik yang akan digunakan nanti.
Menyambungkan jaringan virtual hub dan spoke
Sekarang anda dapat meyerekan jaringan virtual hub dan spoke.
Pilih grup sumber daya fw-manager-rg, lalu pilih WAN virtual Vwan-01.
Di bawah Konektivitas, pilih Koneksi jaringan virtual.
Pilih Tambahkan koneksi.
Untuk Nama koneksi, ketik hub-spoke-01.
Untuk Hub, pilih Hub-01.
Untuk Grup sumber daya, pilih fw-manager-rg.
Untuk Jaringan Virtual, pilih Spoke-01.
Pilih Buat.
Ulangi untuk menghubungkan jaringan virtual Spoke-02: nama koneksi - hub-spoke-02
Menyebarkan server
Pada portal Microsoft Azure, pilih Buat sumber daya.
Pilih Pusat Data Windows Server 2019 di daftar Populer.
Masukkan nilai-nilai ini untuk komputer virtual:
Pengaturan Nilai Grup sumber daya fw-manager-rg Nama komputer virtual Srv-workload-01 Wilayah (US) US Timur) Nama pengguna administrator ketik nama pengguna Kata sandi ketik kata sandi Di bawah Aturan port masuk, untuk Port masuk publik, pilih Tidak Ada.
Terima default lainnya lalu pilih Berikutnya: Disk.
Pakai default disk dan pilih Berikutnya : Jaringan.
Pilih Spoke-01 untuk jaringan virtual dan pilih Workload-01-SN untuk subnet.
Untuk IP Publik, pilih Tidak Ada.
Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.
Pilih Berikutnya:Pemantauan.
Pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.
Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.
Gunakan informasi dalam tabel berikut untuk mengonfigurasi komputer virtual lain bernama Srv-Workload-02. Konfigurasi yang lainnya sama dengan komputer virtual Srv-workload-01.
Pengaturan | Nilai |
---|---|
Jaringan virtual | Spoke-02 |
Subnet | Workload-02-SN |
Setelah server disebarkan, pilih sumber daya server, dan di Penjaringan perhatikan alamat IP privat untuk setiap server.
Membuat kebijakan firewall dan mengamankan hub Anda
Kebijakan firewall mendefinisikan kumpulan aturan untuk mengarahkan lalu lintas pada satu atau beberapa hub virtual yang aman. Anda akan membuat kebijakan firewall, lalu mengamankan hub Anda.
Dari Pengelola Firewall, pilih kebijakan Azure Firewall.
Pilih Buat Kebijakan Azure Firewall.
Untuk Grup sumber daya, pilih fw-manager-rg.
Di bawah Detail kebijakan, untuk Nama ketik Policy-01 dan untuk Wilayah pilih US Timur.
Untuk Tingkat kebijakan, pilih Standar.
Pilih Berikutnya: Pengaturan DNS.
Pilih Berikutnya: Inspeksi TLS.
Pilih Berikutnya : Aturan.
Pada tab Aturan, pilih Tambahkan kumpulan aturan.
Pada halaman Tambahkan kumpulan aturan, ketik App-RC-01 untuk Nama.
Untuk Tipe kumpulan aturan, pilih Aplikasi.
Untuk Prioritas, ketik 100.
Pastikan Tindakan kumpulan aturanDiizinkan.
Untuk aturan Nama ketik Allow-msft.
Untuk Jenis Sumber, pilih alamat IP.
Untuk Sumber, ketik * .
Untuk Protokol, ketik http,https.
Pastikan Jenis Tujuan adalah FQDN.
Untuk Tujuan, ketik *.microsoft.com.
Pilih Tambahkan.
Tambahkan aturan DNAT sehingga Anda dapat menghubungkan desktop jarak jauh ke mesin virtual Srv-Workload-01.
- Pilih Tambahkan/Kumpulan Aturan.
- Untuk Nama, ketik dnat-rdp.
- Untuk Jenis kumpulan aturan, pilih DNAT.
- Untuk Prioritas, ketik 100.
- Untuk aturan Nama ketik Allow-rdp.
- Untuk Jenis Sumber, pilih alamat IP.
- Untuk Sumber, ketik * .
- Untuk Protokol, pilih TCP.
- Untuk Port Tujuan, ketik 3389.
- Untuk Jenis Tujuan, pilih Alamat IP.
- Untuk Tujuan, ketik alamat IP publik firewall yang Anda perhatikan sebelumnya.
- Untuk Jenis yang diterjemahkan, pilih Alamat IP.
- Untuk Alamat Terjemahan, ketik alamat IP privat untuk Srv-Workload-01 yang Anda perhatikan sebelumnya.
- Untuk Port terjemahan, ketik 3389.
- Pilih Tambahkan.
Tambahkan Aturan jaringan sehingga Anda dapat menghubungkan desktop jarak jauh dari Srv-Workload-01 ke Srv-Workload-02.
- Pilih Tambahkan Kumpulan Aturan.
- Untuk Nama, ketik vnet-rdp.
- Untuk Jenis kumpulan aturan, pilih Jaringan.
- Untuk Prioritas, ketik 100.
- Untuk Tindakan kumpulan aturan, pilih Izinkan.
- Untuk aturan Nama ketik Allow-vnet.
- Untuk Jenis Sumber, pilih alamat IP.
- Untuk Sumber, ketik * .
- Untuk Protokol, pilih TCP.
- Untuk Port Tujuan, ketik 3389.
- Untuk Jenis Tujuan, pilih Alamat IP.
- Untuk Tujuan, ketik alamat IP privat Srv-Workload-02 yang Anda perhatikan sebelumnya.
- Pilih Tambahkan.
Pilih Berikutnya: IDPS.
Pada halaman IDPS , pilih Berikutnya: Inteligensi Ancaman
Di halaman Inteligensi Ancaman , terima default dan pilih Tinjau dan Buat:
Tinjau untuk mengonfirmasi pilihan Anda lalu pilih Buat.
Mengaitkan kebijakan
Kaitkan kebijakan firewall dengan hub.
Dari Firewall Manager, pilih Tampilkan kebijakan Azure Firewall.
Pilih kotak centang untuk Policy-01.
Pilih Kelola kaitan, Hub terkait.
Pilih hub-01.
Pilih Tambahkan.
Merutekan lalu lintas ke hub Anda
Sekarang Anda harus memastikan bahwa lalu lintas jaringan akan dialihkan melalui firewall Anda.
Dari Firewall Manager, pilih Hub virtual.
Pilih Hub-01.
Di bawah Pengaturan, pilih Konfigurasi keamanan.
Di bawah Lalu lintas Internet, pilih Azure Firewall.
Di bawah Lalu lintas privat, pilih Kirim melalui Azure Firewall.
Pilih Simpan.
Pilih Oke pada dialog Peringatan.
Catatan
Perlu beberapa menit untuk memperbarui tabel rute.
Verifikasi bahwa kedua koneksi menunjukkan Azure Firewall yang mengamankan lalu lintas Internet dan privat.
Menguji firewall
Untuk menguji aturan firewall, Anda akan menyambungkan desktop jarak jauh menggunakan alamat IP publik firewall, yang di-NAT ke Srv-Workload-01. Dari sana Anda akan menggunakan browser untuk menguji aturan aplikasi dan menyambungkan desktop jarak jauh ke Srv-Workload-02 untuk menguji aturan jaringan.
Menguji aturan aplikasi
Sekarang, uji aturan firewall untuk mengonfirmasi bahwa ia bekerja seperti yang diharapkan.
Sambungkan desktop jarak jauh ke alamat IP publik firewall, dan masuk.
Buka Internet Explorer dan telusuri
https://www.microsoft.com
.Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.
Anda akan melihat halaman beranda Microsoft.
Telusuri
https://www.google.com
.Anda akan diblokir oleh firewall.
Maka sekarang Anda telah memverifikasi bahwa aturan aplikasi firewall berfungsi:
- Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.
Menguji aturan jaringan
Sekarang uji aturan jaringan.
Dari Srv-Workload-01, buka desktop jarak jauh ke alamat IP privat Srv-Workload-02.
Desktop jarak jauh akan tersambung ke Srv-Workload-02.
Maka sekarang Anda telah memverifikasi bahwa aturan jaringan firewall berfungsi:
- Anda bisa menyambungkan desktop jarak jauh ke server yang berada di jaringan virtual lainnya.
Menghapus sumber daya
Setelah selesai menguji sumber daya firewall Anda, hapus grup sumber daya fw-manager-rg untuk menghapus semua sumber daya yang terkait dengan firewall.