Condividi tramite

Esercitazione: Proteggere l'hub virtuale con Gestione firewall di Azure

Gestione firewall di Azure consente di creare hub virtuali protetti per proteggere il traffico di rete cloud destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. Il routing del traffico verso il firewall è automatizzato, pertanto non è necessario creare route definite dall'utente.

Gestione firewall supporta anche un'architettura di rete virtuale hub. Per un confronto delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.

In questa esercitazione verranno illustrate le procedure per:

  • Creare la rete virtuale spoke
  • Creare un hub virtuale protetto
  • Connettere le reti virtuali hub-spoke
  • Instradare il traffico all'hub
  • Distribuire i server
  • Creare un criterio firewall e proteggere l'hub
  • Testare il firewall

Importante

La procedura descritta in questa esercitazione usa Gestione firewall di Azure per creare un nuovo hub protetto della rete WAN virtuale di Azure. È possibile usare Gestione firewall per aggiornare un hub esistente, ma non è possibile configurare le zone di disponibilità di Azure per Firewall di Azure. È anche possibile convertire un hub esistente in un hub protetto usando il portale di Azure, come indicato in Configurare Firewall di Azure in un hub della rete WAN virtuale. Come Gestione firewall di Azure, tuttavia, non è possibile configurare le zone di disponibilità. Per aggiornare un hub esistente e specificare le zone di disponibilità per Firewall di Azure (scelta consigliata), è necessario attenersi alla procedura di aggiornamento riportata in Esercitazione: Proteggere l'hub virtuale con Azure PowerShell.

Diagramma che mostra la rete cloud sicura.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'architettura hub-spoke

Prima di tutto, creare reti virtuali spoke in cui poter collocare i server.

Creare due reti virtuali spoke e le subnet

Le due reti virtuali includono ognuna un server del carico di lavoro e sono entrambe protette dal firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Cercare Rete virtuale, selezionarla, quindi fare clic su Crea.

  3. Creare una rete virtuale con le impostazioni seguenti:

    Impostazione valore
    Subscription Selezionare la propria sottoscrizione
    Resource group Selezionare Crea nuovo, digitare fw-manager-rg come nome e selezionare OK
    Nome della rete virtuale Spoke-01
    Region Stati Uniti orientali

  4. Selezionare Avanti e quindi Avanti.

  5. Nella scheda Rete creare subnet con le impostazioni seguenti:

    Impostazione valore
    Aggiungere lo spazio indirizzi IPv4 10.0.0.0/16 (predefinito)
    Subnet
    Workload subnet
    Nome Workload-01-SN
    Indirizzo iniziale 10.0.1.0/24
    Subnet Bastion
    Nome AzureBastionSubnet
    Indirizzo iniziale 10.0.2.0/26

  6. Selezionare Salva, Rivedi e crea, quindi fare clic su Crea.

Ripetere questa procedura per creare un'altra rete virtuale simile nel gruppo di risorse fw-manager-rg:

Impostazione valore
Nome Spoke-02
Spazio degli indirizzi 10.1.0.0/16
Nome della subnet Workload-02-SN
Indirizzo iniziale 10.1.1.0/24

Creare l'hub virtuale protetto

Creare l'hub virtuale protetto usando Gestione firewall.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. Nella casella di ricerca digitare Gestione firewall, quindi selezionare Gestione firewall.

  3. Nella pagina Gestione firewall, in Distribuzioni, selezionare Hub virtuali.

  4. Nella pagina Gestione firewall | Hub virtuali selezionare Crea nuovo hub virtuale protetto.

  5. Nella pagina Crea nuovo hub virtuale protetto immettere le informazioni seguenti:

    Impostazione valore
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare fw-manager-rg
    Region Stati Uniti orientali
    Nome hub virtuale protetto Hub-01
    Spazio indirizzi hub 10.2.0.0/16

  6. Selezionare Nuova rete WAN virtuale.

    Impostazione valore
    Nuovo nome della rete WAN virtuale Vwan-01
    Type Standard
    Includere il gateway VPN per abilitare i partner di sicurezza affidabili Lasciare deselezionata la casella di controllo.

  7. Selezionare Avanti: Firewall di Azure.

  8. Accettare l'impostazione predefinita per Firewall di Azure, Abilitato.

  9. Come livello di Firewall di Azure selezionare Standard.

  10. Selezionare la combinazione desiderata di zone di disponibilità.

    Importante

    Una rete WAN virtuale è un insieme di hub e servizi resi disponibili all'interno dell'hub. È possibile distribuire tutte le reti WAN virtuali necessarie. In un hub della rete WAN virtuale sono presenti più servizi, come VPN, ExpressRoute e così via. Ognuno di questi servizi viene distribuito automaticamente tra le zone di disponibilità, ad eccezione di Firewall di Azure, se l'area supporta le zone di disponibilità. Per conformarsi alla resilienza della rete WAN virtuale di Azure, è opportuno selezionare tutte le zone di disponibilità disponibili.

  11. Digitare 1 nella casella di testo Specificare il numero di indirizzi IP pubblici o associare al firewall un indirizzo IP pubblico esistente (anteprima).

  12. In Criterio firewall verificare che Criterio di rifiuto predefinito sia selezionato. Le impostazioni verranno perfezionate più avanti in questo articolo.

  13. Selezionare Avanti: Provider partner di sicurezza.

  14. Accettare l'impostazione predefinita per Partner di sicurezza affidabile, Disabilitato e selezionare Avanti: Rivedi e crea.

  15. Selezionare Crea.

Note

La creazione di un hub virtuale protetto può richiedere fino a 30 minuti.

Dopo il completamento della distribuzione, è possibile trovare l'indirizzo IP pubblico del firewall.

  1. Aprire Gestione firewall.
  2. Selezionare Hub virtuali.
  3. Selezionare hub-01.
  4. Selezionare AzureFirewall_Hub-01.
  5. Prendere nota dell'indirizzo IP pubblico, che verrà usato in seguito.

Connettere le reti virtuali hub-spoke

Eseguire ora il peering tra le reti virtuali hub-spoke.

  1. Selezionare il gruppo di risorse fw-manager-rg e quindi la rete WAN virtuale Vwan-01.

  2. In Connettività selezionare Connessioni rete virtuale.

    Impostazione valore
    Nome connessione hub-spoke-01
    Hub Hub-01
    Resource group fw-manager-rg
    Rete virtuale Spoke-01

  3. Selezionare Crea.

  4. Ripetere i passaggi precedenti per connettere la rete virtuale Spoke-02 con le impostazioni seguenti:

    Impostazione valore
    Nome connessione hub-spoke-02
    Hub Hub-01
    Resource group fw-manager-rg
    Rete virtuale Spoke-02

Distribuire i server

  1. Nel portale di Azure fare clic su Crea una risorsa.

  2. Cercare Ubuntu Server 22.04 LTS e selezionarlo.

  3. Seleziona Crea>macchina virtuale.

  4. Immettere i valori seguenti per la macchina virtuale:

    Impostazione valore
    Resource group fw-manager-rg
    Nome della macchina virtuale Srv-workload-01
    Region (Stati Uniti) Stati Uniti orientali
    Immagine Ubuntu Server 22.04 LTS - x64 Gen2
    Tipo di autenticazione Chiave pubblica SSH
    Nome utente azureuser
    Origine chiave pubblica SSH Generare una nuova coppia di chiavi
    Nome della coppia di chiavi srv-workload-01_key

  5. In Regole porta in ingresso, per Porte in ingresso pubbliche, selezionare Nessuna.

  6. Accettare tutte le altre impostazioni predefinite, quindi selezionare Avanti: Dischi.

  7. Accettare le impostazioni predefinite per i dischi, quindi selezionare Next:Networking.

  8. Selezionare Spoke-01 per la rete virtuale e Workload-01-SN per la subnet.

  9. In IP pubblico selezionare Nessuno.

  10. Accettare tutte le altre impostazioni predefinite, quindi selezionare Avanti: Gestione.

  11. Selezionare Avanti: Monitoraggio.

  12. Selezionare Disabilitare per disabilitare la diagnostica di avvio.

  13. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  14. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  15. Quando richiesto, scaricare e salvare il file di chiave privata , ad esempio srv-workload-01_key.pem.

Usare le informazioni della tabella seguente per configurare un'altra macchina virtuale denominata Srv-Workload-02. Il resto della configurazione è uguale alla macchina virtuale Srv-workload-01 , ma usare un nome di coppia di chiavi diverso, ad esempio srv-workload-02_key.

Impostazione valore
Rete virtuale Spoke-02
Subnet Workload-02-SN

Dopo la distribuzione dei server, selezionare una risorsa server e in Rete prendere nota dell'indirizzo IP privato di ogni server.

Installare Nginx sui server

Dopo aver distribuito le macchine virtuali, installare Nginx in entrambi i server per verificare la connettività Web in un secondo momento.

  1. Nel portale di Azure passare alla macchina virtuale Srv-workload-01 .

  2. Selezionare Run command RunShellScript (Esegui comando>RunShellScript).

  3. Esegui questo comando:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html

  4. Ripetere gli stessi passaggi per Srv-workload-02, sostituendo il nome host nel comando echo:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html

Distribuire Azure Bastion

Distribuire Azure Bastion nella rete virtuale Spoke-01 per connettersi in modo sicuro alle macchine virtuali.

  1. Nel portale di Azure cercare Bastion e selezionarlo.

  2. Selezionare Crea.

  3. Configurare Bastion con le impostazioni seguenti:

    Impostazione valore
    Subscription Selezionare la propria sottoscrizione
    Resource group fw-manager-rg
    Nome Bastion-01
    Region Stati Uniti orientali
    Tier Sviluppatore
    Rete virtuale Spoke-01
    Subnet AzureBastionSubnet (10.0.2.0/26)

  4. Selezionare Rivedi e crea e quindi Crea.

Note

Il completamento della distribuzione di Azure Bastion può richiedere circa 10 minuti.

Creare un criterio firewall e proteggere l'hub

Un criterio firewall definisce raccolte di regole per indirizzare il traffico su uno o più hub virtuali protetti. Creare il criterio firewall, quindi proteggere l'hub.

  1. In Gestione firewall selezionare Criteri Firewall di Azure.

  2. Selezionare Crea criterio firewall di Azure.

  3. Per Gruppo di risorse selezionare fw-manager-rg.

  4. In Dettagli criteri, per Nome digitare Policy-01 e per Area selezionare Stati Uniti orientali.

  5. In Livello criteri selezionare Standard.

  6. Selezionare Avanti: Impostazioni DNS.

  7. Selezionare Avanti: Ispezione TLS.

  8. Selezionare Avanti: Regole.

  9. Nella scheda Regole selezionare Aggiungi una raccolta regole.

  10. Nella pagina Aggiungi una raccolta regole immettere le informazioni seguenti.

    Impostazione valore
    Nome App-RC-01
    Tipo di raccolta regole Applicazione
    Priorità 100
    Azione della raccolta regole Consenti
    Nome regola Allow-msft
    Tipo di sorgente Indirizzo IP
    Fonte *
    Protocollo http,https
    Tipo destinazione FQDN
    Destination *.microsoft.com

  11. Selezionare Aggiungi.

  12. Aggiungere una regola di rete per consentire il traffico SSH e HTTP tra le reti virtuali spoke.

  13. Selezionare Aggiungi una raccolta regole e immettere le informazioni seguenti.

    Impostazione valore
    Nome accesso alla rete virtuale
    Tipo di raccolta regole Rete
    Priorità 100
    Azione della raccolta regole Consenti
    Nome regola Allow-SSH-HTTP
    Tipo di sorgente Indirizzo IP
    Fonte 10.0.0.0/16,10.1.0.0/16
    Protocollo TCP
    Porte di destinazione 22,80
    Tipo destinazione Indirizzo IP
    Destination 10.0.0.0/16,10.1.0.0/16

  14. Selezionare Aggiungi, quindi Avanti: IDPS.

  15. Nella pagina IDPS selezionare Avanti: Intelligence sulle minacce.

  16. Nella pagina Intelligence sulle minacce accettare le impostazioni predefinite e selezionare Rivedi e crea:

  17. Rivedere per confermare la selezione, quindi selezionare Crea.

Associare criteri

Associare i criteri firewall all'hub.

  1. In Gestione firewall selezionare Criteri Firewall di Azure.
  2. Selezionare la casella di controllo per Policy-01.
  3. Selezionare Gestisci associazioni, Associa hub.
  4. Selezionare hub-01.
  5. Selezionare Aggiungi.

Instradare il traffico all'hub

A questo punto è necessario assicurarsi che il traffico di rete venga instradato attraverso il firewall.

  1. In Gestione firewall selezionare Hub virtuali.

  2. Selezionare Hub-01.

  3. In Impostazioni selezionare Configurazione della sicurezza.

  4. In Traffico Internet selezionare Firewall di Azure.

  5. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).

    Note

    Nel caso si usino intervalli di indirizzi IP pubblici per reti private in una rete virtuale o in un ramo locale, è necessario specificare in modo esplicito questi prefissi di indirizzi IP. Selezionare la sezione Prefissi del traffico privato e aggiungere questi prefissi a quelli degli indirizzi RFC1918.

  6. In Inter-hub selezionare Abilitato per abilitare la funzionalità di finalità del routing della rete WAN virtuale. La finalità del routing è il meccanismo attraverso cui è possibile configurare la rete WAN virtuale per instradare il traffico da ramo a ramo (da locale a locale) tramite Firewall di Azure distribuito nell'hub della rete WAN virtuale. Per altre informazioni sui prerequisiti e considerazioni associate alla funzionalità di finalità del routing, vedere Documentazione sulla finalità del routing.

  7. Selezionare Salva.

  8. Selezionare OK nella finestra di dialogo Avviso.

  9. Selezionare OK nella finestra di dialogo Esegui migrazione per usare inter-hub.

    Note

    L'aggiornamento delle tabelle di route richiede alcuni minuti.

  10. Assicurarsi che le due connessioni indichino che Firewall di Azure protegge il traffico Internet e privato.

Testare il firewall

Per testare le regole del firewall, usare Azure Bastion per connettersi a Srv-Workload-01 e verificare che funzionino sia l'applicazione che le regole di rete.

Testare la regola dell'applicazione

A questo punto testare le regole del firewall per verificare che tutto funzioni come previsto.

  1. Nel portale di Azure passare alla macchina virtuale Srv-workload-01 .

  2. Selezionare Connetti>Connetti tramite Bastion.

  3. Specificare il nome utente azureuser e caricare il file di chiave .pem privata scaricato al momento della creazione della macchina virtuale.

  4. Selezionare Connetti per aprire una sessione SSH.

  5. Nella sessione SSH eseguire il comando seguente per testare l'accesso a Microsoft:

    curl https://www.microsoft.com

    Verrà visualizzato il contenuto HTML restituito, confermando che l'accesso è consentito.

  6. Testare l'accesso a Google (che deve essere bloccato):

    curl https://www.google.com

    Il timeout o l'esito negativo della richiesta indica che il firewall sta bloccando il sito.

Si è verificato che la regola di applicazione del firewall funziona:

  • È possibile passare al nome di dominio completo consentito ma non agli altri.

Testare la regola di rete

Testare ora la regola di rete connettendosi da Srv-Workload-01 a Srv-Workload-02 usando HTTP.

  1. Testare la connettività HTTP al server Web Nginx in Srv-Workload-02:

    curl http://<Srv-Workload-02-private-IP>

    Verrà visualizzato lo stato restituito dal server Web.

Pulire le risorse

Dopo aver testato le risorse del firewall, eliminare il gruppo di risorse fw-manager-rg per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Altre informazioni sui partner di sicurezza affidabili

  • Last updated on