Zelfstudie: Uw virtuele hub beveiligen met Azure Firewall Manager

  • Artikel

Met behulp van Azure Firewall Manager kunt u beveiligde virtuele hubs maken om het cloudnetwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. Verkeersroutering naar de firewall wordt geautomatiseerd, dus u hoeft geen door de gebruiker gedefinieerde routes (UDR's) te maken.

Firewall Manager biedt ook ondersteuning voor een virtuele-netwerkarchitectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.

In deze zelfstudie leert u het volgende:

  • Het virtuele spoke-netwerk maken
  • Een beveiligde virtuele hub maken
  • De hub- en virtuele spoke-netwerken verbinden
  • Verkeer doorsturen naar uw hub
  • De servers implementeren
  • Een firewallbeleid maken en uw hub beveiligen
  • De firewall testen

Belangrijk

De procedure in deze zelfstudie maakt gebruik van Azure Firewall Manager om een nieuwe met Azure Virtual WAN beveiligde hub te maken. U kunt Firewall Manager gebruiken om een bestaande hub te upgraden, maar u kunt Azure Beschikbaarheidszones niet configureren voor Azure Firewall. Het is ook mogelijk om een bestaande hub te converteren naar een beveiligde hub met behulp van Azure Portal, zoals beschreven in Azure Firewall configureren in een Virtual WAN-hub. Maar net als Azure Firewall Manager kunt u Beschikbaarheidszones niet configureren. Als u een bestaande hub wilt upgraden en Beschikbaarheidszones wilt opgeven voor Azure Firewall (aanbevolen), moet u de upgradeprocedure volgen in de zelfstudie: Uw virtuele hub beveiligen met behulp van Azure PowerShell.

Diagram showing the secure cloud network.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een hub-en-spoke-architectuur maken

Maak eerst virtuele spoke-netwerken waarin u uw servers kunt plaatsen.

Maak twee virtuele spoke-netwerken en subnetten

De twee virtuele netwerken hebben elk een workloadserver en worden beveiligd door de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Zoek naar virtueel netwerk, selecteer het en selecteer Maken.
  3. Selecteer uw abonnement bij Abonnement.
  4. Voor de resourcegroep selecteert u Nieuwe maken en typt u fw-manager-rg voor de naam en selecteert u OK.
  5. Typ Spoke-01 voor de naam van het virtuele netwerk.
  6. Selecteer bij RegioVS - oost.
  7. Selecteer Volgende.
  8. Selecteer Volgende op de pagina Beveiliging.
  9. Accepteer onder IPv4-adresruimte toevoegen de standaardwaarde 10.0.0.0/16.
  10. Selecteer onder Subnetten de standaardwaarde.
  11. Bij Naam typt u Workload-01-SN.
  12. Voor het beginadres typt u 10.0.1.0/24.
  13. Selecteer Opslaan.
  14. Selecteer Controleren + maken.
  15. Selecteer Maken.

Herhaal deze procedure om een ander vergelijkbaar virtueel netwerk te maken in de resourcegroep fw-manager-rg :

Naam: Spoke-02
Adresruimte: 10.1.0.0/16
Subnetnaam: Workload-02-SN
Beginadres: 10.1.1.0/24

De beveiligde virtuele hub maken

Maak uw beveiligde virtuele hub met behulp van Firewall Manager.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. In het zoekvak typt u Firewall Manager en selecteert u Firewall Manager.

  3. Selecteer virtuele hubs op de pagina Firewall Manager onder Implementaties.

  4. In Firewall Manager | Pagina Virtuele hubs , selecteer Nieuwe beveiligde virtuele hub maken.

    Screenshot of creating a new secured virtual hub.

  5. Selecteer Abonnement.

  6. Selecteer voor resourcegroep de optie fw-manager-rg.

  7. Selecteer bij RegioVS - oost.

  8. Als de Naam van beveiligde virtuele hub typt u Hub-01.

  9. Voor hubadresruimte typt u 10.2.0.0/16.

  10. Selecteer Nieuwe vWAN.

  11. Typ Vwan-01 voor de nieuwe naam van het virtuele WAN.

  12. Selecteer Standard als type.

  13. Laat het selectievakje VPN-gateway opnemen om vertrouwde beveiligingspartners in te schakelen leeg.

    Screenshot of creating a new virtual hub with properties.

  14. Selecteer Volgende: Azure Firewall.

  15. Accepteer de standaardinstelling voor Azure Firewallingeschakeld .

  16. Selecteer Standard voor de Azure Firewall-laag.

  17. Selecteer de gewenste combinatie van Beschikbaarheidszones.

Belangrijk

Een Virtual WAN is een verzameling hubs en services die beschikbaar worden gesteld in de hub. U kunt zoveel virtuele WAN's implementeren die u nodig hebt. In een Virtual WAN-hub zijn er meerdere services zoals VPN, ExpressRoute, enzovoort. Elk van deze services wordt automatisch geïmplementeerd in Beschikbaarheidszones behalve Azure Firewall, als de regio ondersteuning biedt voor Beschikbaarheidszones. Als u wilt uitlijnen op de tolerantie van Azure Virtual WAN, moet u alle beschikbare Beschikbaarheidszones selecteren.

Screenshot of configuring Azure Firewall parameters.

  1. Typ 1 in het tekstvak Geef het aantal openbare IP-adressen op.

  2. Zorg ervoor dat onder Firewallbeleid het standaardbeleid voor weigeren is geselecteerd. U verfijnt uw instellingen verderop in dit artikel.

  3. Selecteer Volgende: Provider van beveiligingspartner.

    Screenshot of configuring Trusted Partners parameters.

  4. Accepteer de standaardinstelling Vertrouwde beveiligingspartneruitgeschakeld en selecteer Volgende: Beoordelen en maken.

  5. Selecteer Maken.

    Screenshot of creating the Firewall instance.

Notitie

Het kan tot 30 minuten duren voordat een beveiligde virtuele hub wordt gemaakt.

U vindt het openbare IP-adres van de firewall nadat de implementatie is voltooid.

  1. Open Firewall Manager.
  2. Selecteer Virtuele hubs.
  3. Selecteer hub-01.
  4. Selecteer AzureFirewall_Hub-01.
  5. Noteer het openbare IP-adres om later te gebruiken.

De hub- en virtuele spoke-netwerken verbinden

U kunt nu de virtuele hub- en spoke-netwerken koppelen.

  1. Selecteer de resourcegroep fw-manager-rg en selecteer vervolgens het virtuele WAN van Vwan-01 .

  2. Onder Connectiviteit selecteert u Virtuele netwerkverbindingen.

    Screenshot of adding Virtual Network connections.

  3. Selecteer Verbinding toevoegen.

  4. Als Verbindingsnaam typt u hub-spoke-01.

  5. Als Hubs selecteert u Hub-01.

  6. Selecteer voor resourcegroep de optie fw-manager-rg.

  7. Als Virtueel netwerk, selecteert u Spoke-01.

  8. Selecteer Maken.

  9. Herhaal dit om verbinding te maken met het virtuele spoke-02-netwerk : verbindingsnaam - hub-spoke-02.

De servers implementeren

  1. Selecteer Een resource maken in de Azure-portal.

  2. Selecteer Windows Server 2019 Datacenter in de lijst Populair .

  3. Voer deze waarden in voor de virtuele machine:

    Instelling Weergegeven als
    Resourcegroep fw-manager-rg
    Virtual machine name Srv-workload-01
    Regio (VS) VS - oost
    Beheerdersgebruikersnaam typ een gebruikersnaam
    Wachtwoord typ een wachtwoord

  4. Selecteer onder Regels voor binnenkomende poort, voor Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  7. Selecteer Spoke-01 voor het virtuele netwerk en selecteer Workload-01-SN voor het subnet.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Volgende:Bewaking.

  11. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  12. Controleer de instellingen op de overzichtspagina en selecteer Maken.

Gebruik de informatie in de volgende tabel om een andere virtuele machine, Srv-Workload-02, te configureren. De rest van de configuratie is hetzelfde als voor de virtuele machine Srv-workload-01.

Instelling Weergegeven als
Virtueel netwerk Spoke-02
Subnet Workload-02-SN

Nadat de servers zijn geïmplementeerd, selecteert u een serverresource en in Netwerken noteert u het privé-IP-adres voor elke server.

Een firewallbeleid maken en uw hub beveiligen

Met een firewallbeleid worden verzamelingen regels gedefinieerd om verkeer om te leiden naar een of meer beveiligde virtuele hubs. U maakt uw firewallbeleid en beveiligt vervolgens uw hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.

    Screenshot of creating an Azure Policy with first step.

  2. Selecteer Azure Firewall-beleid maken.

    Screenshot of configuring Azure Policy settings in first step.

  3. Selecteer voor resourcegroep de optie fw-manager-rg.

  4. Onder Beleidsdetails typt u voor naambeleid-01 en voor Regio selecteert u VS - oost.

  5. Selecteer Standard voor de beleidslaag.

  6. Selecteer Volgende: DNS-Instellingen.

    Screenshot of configuring DNS settings.

  7. Selecteer Volgende: TLS-inspectie.

    Screenshot of configuring TLS settings.

  8. Selecteer Volgende: Regels.

  9. Op het tabblad Regels selecteert u Een regelverzameling toevoegen.

    Screenshot of configuring Rule Collection.

  10. Op de pagina Een regelverzameling toevoegen typt u App-RC-01 voor de Naam.

  11. Als Type regelverzameling selecteert u Toepassing.

  12. Bij Prioriteit typt u 100.

  13. Controleer of Type regelverzameling is ingesteld op Toestaan.

  14. Voor de regelnaam typt u Allow-msft.

  15. Selecteer IP-adres als het Brontype.

  16. Typ bij Bron*.

  17. Als Protocol typt u http,https.

  18. Controleer of Doeltype is ingesteld op FQDN.

  19. Typ *.microsoft.com voor Bestemming.

  20. Selecteer Toevoegen.

  21. Voeg een DNAT-regel toe zodat u een extern bureaublad kunt verbinden met de virtuele Srv-Workload-01-machine .

    1. Selecteer Een regelverzameling toevoegen.
    2. Bij Naam typt u dnat-rdp.
    3. Bij Type regelverzameling selecteert u DNAT.
    4. Bij Prioriteit typt u 100.
    5. Voor de regelnaam typt u Allow-rdp.
    6. Selecteer IP-adres als het Brontype.
    7. Typ bij Bron*.
    8. Bij Protocol selecteert u TCP.
    9. Typ bij Doelpoorten3389.
    10. Bij Doeladressen typt u het openbare IP-adres van de firewall dat u eerder hebt bewaard.
    11. Selecteer IP-adres voor vertaald type.
    12. Bij Omgezet adres typt u het privé-IP-adres voor de Srv-Workload-01 dat u eerder hebt bewaard.
    13. Bij Vertaalde poort typt u 3389.
    14. Selecteer Toevoegen.

  22. Voeg een netwerkregel toe zodat u een extern bureaublad van Srv-Workload-01 kunt verbinden met Srv-Workload-02.

    1. Selecteer Een regelverzameling toevoegen.
    2. Bij Naam typt u vnet-rdp.
    3. Bij Type regelverzameling selecteert u Netwerk.
    4. Bij Prioriteit typt u 100.
    5. Selecteer Toestaan voor de actie Regelverzameling.
    6. Als de Naam van de regel typt u Allow-vnet.
    7. Selecteer IP-adres als het Brontype.
    8. Typ bij Bron*.
    9. Bij Protocol selecteert u TCP.
    10. Typ bij Doelpoorten3389.
    11. Bij Doeltype selecteert u IP-adres.
    12. Bij Doeladressen typt u het privé-IP-adres van Srv-workload-02 dat u eerder hebt bewaard.
    13. Selecteer Toevoegen.

  23. Selecteer Volgende: IDPS.

  24. Selecteer volgende op de pagina IDPS: Bedreigingsinformatie

    Screenshot of configuring IDPS settings.

  25. Accepteer de standaardinstellingen op de pagina Bedreigingsinformatie en selecteer Controleren en Maken:

    Screenshot of configuring Threat Intelligence settings.

  26. Controleer of u uw selectie wilt bevestigen en selecteer vervolgens Maken.

Beleid koppelen

Koppel het firewallbeleid aan de hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.

  2. Schakel het selectievakje voor Policy-01 in.

  3. Selecteer Koppelingen beheren, Hubs koppelen.

    Screenshot of configuring Policy association.

  4. Selecteer hub-01.

  5. Selecteer Toevoegen.

    Screenshot of adding Policy and Hub settings.

Verkeer doorsturen naar uw hub

Nu moet u ervoor zorgen dat netwerkverkeer wordt omgeleid door uw firewall.

  1. Selecteer virtuele hubs in Firewall Manager.

  2. Selecteer Hub-01.

  3. Onder Instellingen selecteert u Beveiligingsconfiguratie.

  4. Onder Internetverkeer selecteert u Azure Firewall.

  5. Onder Privéverkeer selecteert u Verzenden via Azure Firewall.

    Notitie

    Als u openbare IP-adresbereiken gebruikt voor privénetwerken in een virtueel netwerk of een on-premises vertakking, moet u deze IP-adresvoorvoegsels expliciet opgeven. Selecteer de sectie Voorvoegsels voor privéverkeer en voeg deze vervolgens toe naast de RFC1918 adresvoorvoegsels.

  6. Selecteer onder Inter-hub ingeschakeld om de functie virtual WAN-routering in te schakelen. Routeringsintentie is het mechanisme waarmee u Virtual WAN kunt configureren om verkeer van vertakking naar vertakking (on-premises naar on-premises) te routeren via Azure Firewall die is geïmplementeerd in de Virtual WAN-hub. Zie de documentatie over routeringsintentie voor meer informatie over vereisten en overwegingen die zijn gekoppeld aan de functie voor routeringsintentie.

  7. Selecteer Opslaan.

  8. Selecteer OK in het dialoogvenster Waarschuwing .

    Screenshot of Secure Connections.

  9. Selecteer OK in het dialoogvenster Migreren om interhub te gebruiken.

    Notitie

    Het duurt enkele minuten om de routetabellen bij te werken.

  10. Controleer of de twee verbindingen tonen dat Azure Firewall zowel internet- als privéverkeer beveiligt.

    Screenshot of Secure Connections final status.

De firewall testen

Als u de firewallregels wilt testen, verbindt u een extern bureaublad met behulp van het openbare IP-adres van de firewall. Dit adres is NATed naar Srv-Workload-01. Gebruik daar een browser om de toepassingsregel te testen en een extern bureaublad te verbinden met Srv-Workload-02 om de netwerkregel te testen.

De toepassingsregel testen

Test nu de firewallregels om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall en meld u aan.

  2. Open Internet Explorer en blader naar https://www.microsoft.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    Als het goed is, ziet u nu de startpagina van Microsoft.

  4. Blader naar https://www.google.com.

    De firewall moet dit blokkeren.

U hebt nu gecontroleerd of de firewalltoepassingsregel werkt:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.

De netwerkregel testen

Test nu de netwerkregel.

  • Open vanuit Srv-Workload-01 een extern bureaublad naar het privé-IP-adres van Srv-Workload-02.

    Een extern bureaublad moet verbinding maken met SRV-Workload-02.

U hebt nu gecontroleerd of de firewallnetwerkregel werkt:

  • U kunt een extern bureaublad verbinden met een server die zich in een ander virtueel netwerk bevindt.

Resources opschonen

Wanneer u klaar bent met het testen van uw firewallresources, verwijdert u de resourcegroep fw-manager-rg om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Meer informatie over vertrouwde beveiligingspartners