Share via

Zelfstudie: Uw virtuele hub beveiligen met Azure Firewall Manager

Met behulp van Azure Firewall Manager kunt u beveiligde virtuele hubs maken om het cloudnetwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. Verkeersroutering naar de firewall wordt geautomatiseerd, dus u hoeft geen door de gebruiker gedefinieerde routes (UDR's) te maken.

Firewall Manager biedt ook ondersteuning voor een virtuele-netwerkarchitectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.

In deze zelfstudie leert u het volgende:

  • Het virtuele spoke-netwerk maken
  • Een beveiligde virtuele hub maken
  • De hub- en virtuele spoke-netwerken verbinden
  • Verkeer doorsturen naar uw hub
  • De servers implementeren
  • Een firewallbeleid maken en uw hub beveiligen
  • De firewall testen

Belangrijk

De procedure in deze zelfstudie maakt gebruik van Azure Firewall Manager om een nieuwe met Azure Virtual WAN beveiligde hub te maken. U kunt Firewall Manager gebruiken om een bestaande hub te upgraden, maar u kunt Azure Beschikbaarheidszones niet configureren voor Azure Firewall. Het is ook mogelijk om een bestaande hub te converteren naar een beveiligde hub met behulp van Azure Portal, zoals beschreven in Azure Firewall configureren in een Virtual WAN-hub. Maar net als Azure Firewall Manager kunt u Beschikbaarheidszones niet configureren. Als u een bestaande hub wilt upgraden en Beschikbaarheidszones wilt opgeven voor Azure Firewall (aanbevolen), moet u de upgradeprocedure volgen in de zelfstudie: Uw virtuele hub beveiligen met behulp van Azure PowerShell.

Diagram met het beveiligde cloudnetwerk.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een hub-en-spoke-architectuur maken

Maak eerst virtuele spoke-netwerken waarin u uw servers kunt plaatsen.

Maak twee virtuele spoke-netwerken en subnetten

De twee virtuele netwerken hebben elk een workloadserver en worden beveiligd door de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Zoek naar virtueel netwerk, selecteer het en selecteer Maken.

  3. Maak een virtueel netwerk met de volgende instellingen:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer Nieuwe maken en typ fw-manager-rg voor de naam en selecteer OK
    Naam van virtueel netwerk Spoke-01
    Regio VS - oost

  4. Selecteer Volgende en vervolgens Volgende.

  5. Maak op het tabblad Netwerken subnetten met de volgende instellingen:

    Instelling Weergegeven als
    IPv4-adresruimte toevoegen 10.0.0.0/16 (standaard)
    Subnetten
    Werklastsubnet
    Naam Workload-01-SN
    Beginadres 10.0.1.0/24
    Bastion-subnet
    Naam AzureBastionSubnet
    Beginadres 10.0.2.0/26

  6. Selecteer Opslaan, Beoordelen en maken en selecteer Vervolgens Maken.

Herhaal deze procedure om een ander vergelijkbaar virtueel netwerk te maken in de resourcegroep fw-manager-rg :

Instelling Weergegeven als
Naam Spoke-02
Adresruimte 10.1.0.0/16
Subnetnaam Workload-02-SN
Beginadres 10.1.1.0/24

De beveiligde virtuele hub maken

Maak uw beveiligde virtuele hub met behulp van Firewall Manager.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. In het zoekvak typt u Firewall Manager en selecteert u Firewall Manager.

  3. Selecteer virtuele hubs op de pagina Firewall Manager onder Implementaties.

  4. In Firewall Manager | Pagina Virtuele hubs , selecteer Nieuwe beveiligde virtuele hub maken.

  5. Voer op de pagina Nieuwe beveiligde virtuele hub maken de volgende gegevens in:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer fw-manager-rg
    Regio VS - oost
    Naam van beveiligde virtuele hub Hub-01
    Hubadresruimte 10.2.0.0/16

  6. Selecteer Nieuwe vWAN.

    Instelling Weergegeven als
    Nieuwe naam van virtuele WAN Vwan-01
    Type Standaard
    VPN-gateway opnemen om vertrouwde beveiligingspartners in te schakelen Laat het selectievakje uitgeschakeld.

  7. Selecteer Volgende: Azure Firewall.

  8. Accepteer de standaardinstelling voor Azure Firewallingeschakeld .

  9. Selecteer Standard voor de Azure Firewall-laag.

  10. Selecteer de gewenste combinatie van Beschikbaarheidszones.

    Belangrijk

    Een Virtual WAN is een verzameling hubs en services die beschikbaar worden gesteld in de hub. U kunt zoveel virtuele WAN's implementeren als u nodig hebt. In een Virtual WAN-hub zijn er meerdere services zoals VPN, ExpressRoute, enzovoort. Elk van deze services wordt automatisch geïmplementeerd in Beschikbaarheidszones behalve Azure Firewall, als de regio ondersteuning biedt voor Beschikbaarheidszones. Als u wilt uitlijnen op de tolerantie van Azure Virtual WAN, moet u alle beschikbare Beschikbaarheidszones selecteren.

  11. Typ 1 in het tekstvak Geef het aantal openbare IP-adressen op of koppel een bestaand openbaar IP-adres (preview) aan deze firewall.

  12. Zorg ervoor dat onder Firewallbeleid het standaardbeleid voor weigeren is geselecteerd. U verfijnt uw instellingen verderop in dit artikel.

  13. Selecteer Volgende: Provider van beveiligingspartner.

  14. Accepteer de standaardinstelling Vertrouwde beveiligingspartneruitgeschakeld en selecteer Volgende: Beoordelen en maken.

  15. Selecteer Maken.

Notitie

Het kan tot 30 minuten duren voordat een beveiligde virtuele hub wordt gemaakt.

U vindt het openbare IP-adres van de firewall nadat de implementatie is voltooid.

  1. Open Firewall Manager.
  2. Selecteer Virtuele hubs.
  3. Selecteer hub-01.
  4. Selecteer AzureFirewall_Hub-01.
  5. Noteer het openbare IP-adres om later te gebruiken.

De hub- en virtuele spoke-netwerken verbinden

U kunt nu de virtuele hub- en spoke-netwerken koppelen.

  1. Selecteer de resourcegroep fw-manager-rg en selecteer vervolgens het virtuele WAN van Vwan-01 .

  2. Onder Connectiviteit selecteert u Virtuele netwerkverbindingen.

    Instelling Weergegeven als
    Verbindingsnaam hub-spoke-01
    Hubs Hub-01
    Resourcegroep fw-manager-rg
    Virtueel netwerk Spoke-01

  3. Selecteer Maken.

  4. Herhaal de vorige stappen om het virtuele spoke-02-netwerk te verbinden met de volgende instellingen:

    Instelling Weergegeven als
    Verbindingsnaam hub-spoke-02
    Hubs Hub-01
    Resourcegroep fw-manager-rg
    Virtueel netwerk Spoke-02

De servers implementeren

  1. Selecteer Een resource maken in de Azure-portal.

  2. Zoek naar Ubuntu Server 22.04 LTS en selecteer deze.

  3. Selecteer Virtuelemachine>.

  4. Voer deze waarden in voor de virtuele machine:

    Instelling Weergegeven als
    Resourcegroep fw-manager-rg
    Naam van de virtuele machine Srv-workload-01
    Regio (VS) VS - oost
    Afbeelding Ubuntu Server 22.04 LTS - x64 Gen2
    Verificatietype Openbare SSH-sleutel
    Gebruikersnaam azureuser-
    Bron voor openbare SSH-sleutel Nieuw sleutelpaar genereren
    Naam van sleutelpaar srv-workload-01_key

  5. Selecteer onder Regels voor binnenkomende poort, voor Openbare binnenkomende poorten de optie Geen.

  6. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  7. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  8. Selecteer Spoke-01 voor het virtuele netwerk en selecteer Workload-01-SN voor het subnet.

  9. Selecteer Geen voor Openbaar IP.

  10. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  11. Selecteer Volgende:Bewaking.

  12. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen.

  13. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  14. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  15. Wanneer u hierom wordt gevraagd, downloadt en slaat u het bestand met de persoonlijke sleutel op (bijvoorbeeld srv-workload-01_key.pem).

Gebruik de informatie in de volgende tabel om een andere virtuele machine, Srv-Workload-02, te configureren. De rest van de configuratie is hetzelfde als de virtuele machine Srv-workload-01 , maar gebruik een andere sleutelpaarnaam, zoals srv-workload-02_key.

Instelling Weergegeven als
Virtueel netwerk Spoke-02
Subnet Workload-02-SN

Nadat de servers zijn geïmplementeerd, selecteert u een serverresource en in Netwerken noteert u het privé-IP-adres voor elke server.

Nginx installeren op de servers

Nadat de virtuele machines zijn geïmplementeerd, installeert u Nginx op beide servers om de webconnectiviteit later te controleren.

  1. Navigeer in Azure Portal naar de virtuele Srv-workload-01-machine .

  2. Selecteer Run command>RunShellScript.

  3. Voer de volgende opdracht uit:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html

  4. Herhaal dezelfde stappen voor Srv-workload-02, waarbij u de hostnaam in de echoopdracht vervangt:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html

Azure Bastion implementeren

Implementeer Azure Bastion in het virtuele spoke-01-netwerk om veilig verbinding te maken met de virtuele machines.

  1. Zoek in Azure Portal naar Bastions en selecteer deze.

  2. Selecteer Maken.

  3. Configureer bastion met de volgende instellingen:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement
    Resourcegroep fw-manager-rg
    Naam Bastion-01
    Regio VS - oost
    Rang Ontwikkelaar
    Virtueel netwerk Spoke-01
    Subnet AzureBastionSubnet (10.0.2.0/26)

  4. Selecteer Beoordelen + creëren en selecteer daarna Creëren.

Notitie

Het kan ongeveer 10 minuten duren voordat de Implementatie van Azure Bastion is voltooid.

Een firewallbeleid maken en uw hub beveiligen

Met een firewallbeleid worden verzamelingen regels gedefinieerd om verkeer om te leiden naar een of meer beveiligde virtuele hubs. U maakt uw firewallbeleid en beveiligt vervolgens uw hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.

  2. Selecteer Azure Firewall-beleid maken.

  3. Selecteer voor resourcegroep de optie fw-manager-rg.

  4. Onder Beleidsdetails typt u voor naambeleid-01 en voor Regio selecteert u VS - oost.

  5. Selecteer Standard voor de beleidslaag.

  6. Selecteer Volgende: DNS-instellingen.

  7. Selecteer Volgende: TLS-inspectie.

  8. Selecteer Volgende: Regels.

  9. Op het tabblad Regels selecteert u Een regelverzameling toevoegen.

  10. Voer op de pagina Een regelverzameling toevoegen de volgende gegevens in.

    Instelling Weergegeven als
    Naam App-RC-01
    Type regelverzameling Toepassing
    Prioriteit 100
    Actie Regelverzameling Toestaan
    Naam van regel Allow-msft
    Brontype IP-adres
    Bron *
    Protocol http,https
    Doeltype FQDN
    Bestemming *.microsoft.com

  11. Selecteer Toevoegen.

  12. Voeg een netwerkregel toe om SSH- en HTTP-verkeer tussen de virtuele spoke-netwerken toe te staan.

  13. Selecteer Een regelverzameling toevoegen en voer de volgende gegevens in.

    Instelling Weergegeven als
    Naam vnet-toegang
    Type regelverzameling Netwerk
    Prioriteit 100
    Actie Regelverzameling Toestaan
    Naam van regel Allow-SSH-HTTP
    Brontype IP-adres
    Bron 10.0.0.0/16,10.1.0.0/16
    Protocol TCP
    Doelpoorten 22,80
    Doeltype IP-adres
    Bestemming 10.0.0.0/16,10.1.0.0/16

  14. Selecteer Toevoegen en selecteer vervolgens Volgende: IDPS.

  15. Selecteer volgende op de pagina IDPS: Bedreigingsinformatie

  16. Accepteer de standaardinstellingen op de pagina Bedreigingsinformatie en selecteer Controleren en Maken:

  17. Controleer of u uw selectie wilt bevestigen en selecteer vervolgens Maken.

Beleid koppelen

Koppel het firewallbeleid aan de hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.
  2. Schakel het selectievakje voor Policy-01 in.
  3. Selecteer Koppelingen beheren, Hubs koppelen.
  4. Selecteer hub-01.
  5. Selecteer Toevoegen.

Verkeer doorsturen naar uw hub

Nu moet u ervoor zorgen dat netwerkverkeer wordt omgeleid door uw firewall.

  1. Selecteer virtuele hubs in Firewall Manager.

  2. Selecteer Hub-01.

  3. Onder Instellingen selecteert u Beveiligingsconfiguratie.

  4. Onder Internetverkeer selecteert u Azure Firewall.

  5. Onder Privéverkeer selecteert u Verzenden via Azure Firewall.

    Notitie

    Als u openbare IP-adresbereiken gebruikt voor privénetwerken in een virtueel netwerk of een on-premises vertakking, moet u deze IP-adresvoorvoegsels expliciet opgeven. Selecteer de sectie Voorvoegsels voor privéverkeer en voeg deze vervolgens toe naast de RFC1918 adresvoorvoegsels.

  6. Selecteer onder Inter-hub ingeschakeld om de functie virtual WAN-routering in te schakelen. Routeringsintentie is het mechanisme waarmee u Virtual WAN kunt configureren om verkeer van vertakking naar vertakking (on-premises naar on-premises) te routeren via Azure Firewall die is geïmplementeerd in de Virtual WAN-hub. Zie de documentatie over routeringsintentie voor meer informatie over vereisten en overwegingen die zijn gekoppeld aan de functie voor routeringsintentie.

  7. Selecteer Opslaan.

  8. Selecteer OK in het dialoogvenster Waarschuwing .

  9. Selecteer OK in het dialoogvenster Migreren om interhub te gebruiken.

    Notitie

    Het duurt enkele minuten om de routetabellen bij te werken.

  10. Controleer of de twee verbindingen tonen dat Azure Firewall zowel internet- als privéverkeer beveiligt.

De firewall testen

Als u de firewallregels wilt testen, gebruikt u Azure Bastion om verbinding te maken met Srv-Workload-01 en controleert u of zowel de toepassing als de netwerkregels werken.

De toepassingsregel testen

Test nu de firewallregels om te controleren of deze werkt zoals verwacht.

  1. Navigeer in Azure Portal naar de virtuele Srv-workload-01-machine .

  2. Selecteer Verbinding maken>via Bastion.

  3. Geef de gebruikersnaam azureuser op en upload het persoonlijke sleutelbestand .pem dat u hebt gedownload toen u de virtuele machine maakte.

  4. Selecteer Verbinding maken om een SSH-sessie te openen.

  5. Voer in de SSH-sessie de volgende opdracht uit om de toegang tot Microsoft te testen:

    curl https://www.microsoft.com

    Je zou HTML-inhoud moeten zien die wordt geretourneerd, wat bevestigt dat toegang is toegestaan.

  6. Toegang tot Google testen (die moet worden geblokkeerd):

    curl https://www.google.com

    De aanvraag moet een time-out uitvoeren of mislukken, waarbij wordt weergegeven dat de firewall deze site blokkeert.

U hebt nu gecontroleerd of de firewalltoepassingsregel werkt:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.

De netwerkregel testen

Test nu de netwerkregel door via HTTP verbinding te maken tussen Srv-Workload-01 en Srv-Workload-02 .

  1. HTTP-connectiviteit met de Nginx-webserver testen op Srv-Workload-02:

    curl http://<Srv-Workload-02-private-IP>

    U ziet nu de status die wordt geretourneerd door de webserver.

Resources opschonen

Wanneer u klaar bent met het testen van uw firewallresources, verwijdert u de resourcegroep fw-manager-rg om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Meer informatie over vertrouwde beveiligingspartners

  • Last updated on