Zelfstudie: Uw virtuele hubnetwerk beveiligen met Behulp van Azure Firewall Manager
Als u het on-premises netwerk verbindt met een virtueel Azure-netwerk om een hybride netwerk te maken, is de mogelijkheid om de toegang tot uw Azure-netwerkresources te beheren een belangrijk onderdeel van een algemeen beveiligingsplan.
Met behulp van Azure Firewall Manager kunt u een virtueel hubnetwerk maken om het hybride netwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. U kunt Azure Firewall Manager gebruiken om de netwerktoegang in een hybride netwerk te beheren met behulp van beleid dat toegestaan en geweigerd netwerkverkeer definieert.
Firewall Manager biedt ook ondersteuning voor een beveiligde virtuele architectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.
Voor deze zelfstudie maakt u drie virtuele netwerken:
- VNet-Hub: de firewall bevindt zich in dit virtuele netwerk.
- VNet-spoke: het virtuele spoke-netwerk vertegenwoordigt de workload die zich bevindt in Azure.
- VNet-Onprem: het on-premises virtuele netwerk vertegenwoordigt een on-premises netwerk. In een werkelijke implementatie kan deze worden verbonden met behulp van een VPN- of ExpressRoute-verbinding. Om het eenvoudig te houden wordt in deze zelfstudie een VPN-gatewayverbinding gebruikt en wordt een on-premises netwerk vertegenwoordigd door een virtueel Azure-netwerk.
In deze zelfstudie leert u het volgende:
- Een firewallbeleid maken
- De virtuele netwerken maken
- De firewall configureren en implementeren
- De VPN-gateways maken en verbinden
- De hub- en virtuele spoke-netwerken koppelen
- De routes maken
- De virtuele machines maken
- De firewall testen
Vereisten
Een hybride netwerk maakt gebruik van het hub-and-spoke-architectuurmodel om verkeer tussen Azure VNets en on-premises netwerken te routeren. De hub-en-spoke-architectuur heeft de volgende vereisten:
- Om het verkeer van het spoke-subnet te routeren via de hub-firewall, hebt u een door de gebruiker gedefinieerde route (UDR) nodig die naar de firewall wijst en waarvoor de instelling Doorgifte van route van virtuele netwerkgateway is uitgeschakeld. Deze optie voorkomt routedistributie naar de spoke-subnetten. Hierdoor veroorzaken geleerde routes geen conflicten met uw UDR.
- Configureer een UDR in het subnet van de hubgateway die verwijst naar het IP-adres van de firewall als de volgende hop naar de spoke-netwerken. Er is geen door de gebruiker gedefinieerde route (UDR) nodig in het Azure Firewall-subnet, omdat het de routes overneemt van BGP.
Zie het gedeelte Routes maken in deze zelfstudie voor informatie over hoe deze routes worden gemaakt.
Notitie
Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.
Azure Firewall kan worden geconfigureerd voor ondersteuning van geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.
Notitie
Verkeer tussen rechtstreeks gepeerde VNets wordt rechtstreeks gerouteerd, zelfs als de UDR naar Azure Firewall als standaardgateway wijst. Als u in dit scenario subnet-naar-subnet-verkeer wilt verzenden, moet een UDR het voorvoegsel van het doelsubnetwerk expliciet op beide subnetten bevatten.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Een firewallbeleid maken
Meld u aan bij het Azure-portaal.
Typ Firewall Manager in de zoekbalk van Azure Portal en druk op Enter.
Selecteer op de pagina Azure Firewall Manager onder Beveiliging de optie Azure Firewall-beleid.
Selecteer Azure Firewall-beleid maken.
Selecteer uw abonnement, selecteer voor Resourcegroep de optie Nieuwe maken en maak een resourcegroep met de naam FW-Hybrid-Test.
Voor de beleidsnaam typt u Pol-Net01.
Selecteer bij Regio VS - oost.
Selecteer Volgende: DNS-instellingen.
Selecteer Volgende: TLS-inspectie
Selecteer Volgende:Regels.
Selecteer Een regelverzameling toevoegen.
Bij Naam typt u RCNet01.
Bij Type regelverzameling selecteert u Netwerk.
Bij Prioriteit typt u 100.
Bij Actie selecteert u Toestaan.
Onder Regels typt u bij Naam de naam AllowWeb.
Typ bij Bron 192.168.1.0/24.
Bij Protocol selecteert u TCP.
Typ bij Doelpoorten 80.
Bij Doeltype selecteert u IP-adres.
Bij Doel typt u 10.6.0.0/16.
Voer op de volgende rij van de regel de volgende informatie in:
Naam: typ AllowRDP
Bron: typ 192.168.1.0/24.
Protocol: selecteer TCP
Doelpoorten: typ 3389
Doeltype: selecteer IP-adres
Bij Doel typt u 10.6.0.0/16Selecteer Toevoegen.
Selecteer Controleren + maken.
Controleer de gegevens en selecteer vervolgens Maken.
Het virtuele hub-netwerk voor de firewall maken
Notitie
De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.
Selecteer op de startpagina van de Azure-portal Een resource maken.
Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.
Selecteer Maken.
Selecteer uw abonnement bij Abonnement.
Geef voor Resourcegroep de naam FW-Hybrid-Test op.
Geef bij Naam VNet-hub op.
Selecteer bij Regio VS - oost.
Selecteer Volgende.
Selecteer Volgende in de beveiliging.
Voor IPv4-adresruimte typt u 10.5.0.0/16.
Selecteer onder Subnetten de standaardwaarde.
Selecteer Azure Firewall voor subnetdoeleinden.
Voor het beginadres typt u 10.5.0.0/26.
Accepteer de overige standaardinstellingen en selecteer Opslaan.
Selecteer Controleren + maken.
Selecteer Maken.
Voeg nog een subnet toe met een subnetdoel dat is ingesteld op Virtual Network Gateway met een beginadres van 10.5.1.0/27. Dit subnet wordt gebruikt voor de VPN-gateway.
Het virtuele spoke-netwerk maken
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.
- Selecteer Maken.
- Selecteer uw abonnement bij Abonnement.
- Geef voor Resourcegroep de naam FW-Hybrid-Test op.
- Bij Naam typt u VNet-Spoke.
- Selecteer bij Regio VS - oost.
- Selecteer Volgende.
- Selecteer Volgende op de pagina Beveiliging.
- Selecteer Volgende: IP-adressen.
- Bij IPv4-adresruimte typt u 10.6.0.0/16.
- Selecteer onder Subnetten de standaardwaarde.
- Wijzig de naam in SN-Workload.
- Voor het beginadres typt u 10.6.0.0/24.
- Accepteer de overige standaardinstellingen en selecteer Opslaan.
- Selecteer Controleren + maken.
- Selecteer Maken.
Het on-premises virtuele netwerk maken
Selecteer op de startpagina van de Azure-portal Een resource maken.
Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.
Selecteer Maken.
Selecteer uw abonnement bij Abonnement.
Geef voor Resourcegroep de naam FW-Hybrid-Test op.
Voor de naam van het virtuele netwerk typt u VNet-OnPrem.
Selecteer bij Regio VS - oost.
Selecteer Volgende.
Selecteer Volgende op de pagina Beveiliging.
Bij IPv4-adresruimte typt u 192.168.0.0/16.
Selecteer onder Subnetten de standaardwaarde.
Wijzig de naam in SN-Corp.
Voor het beginadres typt u 192.168.1.0/24.
Accepteer de overige standaardinstellingen en selecteer Opslaan.
Selecteer Een subnet toevoegen.
Voor subnetdoel selecteert u Virtuele netwerkgateway.
Voor beginadrestype 192.168.2.0/27.
Selecteer Toevoegen.
Selecteer Controleren + maken.
Selecteer Maken.
De firewall configureren en implementeren
Wanneer beveiligingsbeleid is gekoppeld aan een hub, wordt dit een virtueel hubnetwerk genoemd.
Converteer het virtuele netwerk VNet-Hub naar een virtueel hubnetwerk en beveilig het met Azure Firewall.
Typ Firewall Manager in de zoekbalk van Azure Portal en druk op Enter.
Selecteer Overzicht in het rechterdeelvenster.
Selecteer op de pagina van Azure Firewall Manager onder Beveiliging toevoegen aan virtuele netwerken de optie Virtuele netwerken van de hub weergeven.
Schakel onder Virtuele netwerken het selectievakje voor VNet-hub in.
Selecteer Beveiliging beheren en selecteer vervolgens Een firewall implementeren met firewallbeleid.
Selecteer Premium op de pagina Virtuele netwerken converteren, onder de Azure Firewall-laag. Schakel onder Firewallbeleid het selectievakje voor Pol-Net01 in.
Volgende selecteren: Controleren en bevestigen
Controleer de gegevens en selecteer vervolgens Bevestigen.
Het implementeren duurt een paar minuten.
Als de implementatie is voltooid, gaat u naar de resourcegroep FW-Hybrid-Test en selecteert u de firewall.
Noteer het privé-IP-adres van de firewall op de pagina Overzicht. U gebruikt deze later wanneer u de standaardroute maakt.
De VPN-gateways maken en verbinden
Het virtuele hub-netwerk en het on-premises virtuele netwerk zijn verbonden via VPN-gateways.
Een VPN-gateway maken voor het virtuele hub-netwerk
Maak nu een VPN-gateway voor het virtuele hub-netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
- Selecteer Virtuele netwerkgateway en vervolgens Maken.
- Bij Naam typt u GW-hub.
- Selecteer bij Regio (VS) VS - oost.
- Bij Gatewaytype selecteert u VPN.
- Selecteer VpnGw2 voor SKU.
- Selecteer Generation2 voor Generatie.
- Bij Virtueel netwerk selecteert u VNet-hub.
- Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-hub-GW-pip als de naam.
- Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
- Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
- Controleer de configuratie en selecteer vervolgens Maken.
Een VPN-gateway maken voor het on-premises virtuele netwerk
Maak nu de VPN-gateway voor het on-premises virtuele netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
- Selecteer Virtuele netwerkgateway en vervolgens Maken.
- Bij Naam typt u GW-Onprem.
- Selecteer bij Regio (VS) VS - oost.
- Bij Gatewaytype selecteert u VPN.
- Selecteer VpnGw2 voor SKU.
- Selecteer Generation2 voor Generatie.
- Bij Virtueel netwerk selecteert u VNet-Onprem.
- Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-Onprem-GW-pip als de naam.
- Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
- Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
- Controleer de configuratie en selecteer vervolgens Maken.
De VPN-verbindingen maken
U kunt nu de VPN-verbindingen maken tussen de hub-gateway en de on-premises gateway.
In deze stap maakt u de verbinding van het virtuele hub-netwerk naar het on-premises virtuele netwerk. In de voorbeelden wordt naar een gedeelde sleutel verwezen. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het duurt enige tijd om de verbinding te maken.
- Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-hub.
- Selecteer Verbindingen in de linkerkolom onder Instellingen.
- Selecteer Toevoegen.
- Voor de verbindingsnaam typt u Hub-naar-Onprem.
- Bij Verbindingstype selecteert u VNet-naar-VNet.
- Selecteer Volgende: Instellingen.
- Voor de eerste virtuele netwerkgateway selecteert u GW-hub.
- Bij Tweede virtuele netwerkgateway selecteert u GW-Onprem.
- Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
- Selecteer Controleren + maken.
- Selecteer Maken.
Maak de verbinding van het on-premises virtuele netwerk naar het virtuele hub-netwerk. Deze stap is vergelijkbaar met de vorige, behalve dat u de verbinding maakt vanuit VNet-Onprem naar VNet-hub. Zorg dat de gedeelde sleutels overeenkomen. De verbinding wordt na enkele minuten tot stand gebracht.
- Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-Onprem.
- Selecteer Verbindingen in de linkerkolom.
- Selecteer Toevoegen.
- Typ Onprem-to-Hub als de naam van de verbinding.
- Bij Verbindingstype selecteert u VNet-naar-VNet.
- Selecteer Volgende: Instellingen.
- Selecteer GW-Onprem voor de eerste virtuele netwerkgateway.
- Bij Tweede virtuele netwerkgateway selecteert u GW-hub.
- Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
- Selecteer OK.
De verbinding controleren
Na ongeveer vijf minuten of zodra de tweede netwerkverbinding is geïmplementeerd, moet de status van beide verbindingen zijn verbonden.
De hub- en virtuele spoke-netwerken koppelen
Koppel nu de virtuele hub- en spoke-netwerken.
Open de resourcegroep FW-Hybrid-Test en selecteer het virtuele netwerk VNet-hub.
Selecteer in de linkerkolom Peerings.
Selecteer Toevoegen.
Onder Samenvatting van extern virtueel netwerk:
Naam instelling Weergegeven als Naam van peeringkoppeling SpoketoHub Implementatiemodel voor het virtuele netwerk Resourcebeheer Abonnement <uw abonnement> Virtueel netwerk VNet-Spoke 'VNet-Spoke' toegang geven tot 'VNet-hub' geselecteerd Toestaan dat 'VNet-Spoke' doorgestuurd verkeer van 'VNet-Hub' ontvangt geselecteerd Gateway of routeserver in VNet-Spoke toestaan verkeer door te sturen naar 'VNet-Hub' niet geselecteerd VNet-Spoke inschakelen om de externe gateway of routeserver van VNet-hub te gebruiken geselecteerd Onder Samenvatting van het lokale virtuele netwerk:
Naam instelling Weergegeven als Naam van peeringkoppeling HubtoSpoke 'VNet-hub' toegang geven tot 'VNet-Spoke' geselecteerd Toestaan dat 'VNet-hub' doorgestuurd verkeer van 'VNet-Spoke' ontvangt geselecteerd Gateway of routeserver in 'VNet-Hub' toestaan om verkeer door te sturen naar 'VNet-Spoke' geselecteerd VNet-hub inschakelen voor het gebruik van externe gateway of routeserver van VNet-Spoke niet geselecteerd Selecteer Toevoegen.
De routes maken
Maak nu een paar routes:
- Een route van het subnet van de hub-gateway naar het spoke-subnet via het IP-adres van de firewall
- Een standaardroute van het spoke-subnet via het IP-adres van de firewall
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak routeringstabel en druk op Enter.
- Selecteer Routeringstabel.
- Selecteer Maken.
- Selecteer FW-Hybrid-Test als de resourcegroep.
- Selecteer bij Regio VS - oost.
- Voor de naam typt u UDR-Hub-Spoke.
- Selecteer Controleren + maken.
- Selecteer Maken.
- Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
- Selecteer Routes in de linkerkolom.
- Selecteer Toevoegen.
- Voor de routenaam typt u ToSpoke.
- Selecteer IP-adressen voor doeltype.
- Voor DOEL-IP-adressen/CIDR-bereiken typt u 10.6.0.0/16.
- Voor het volgende hoptype selecteert u Virtueel apparaat.
- Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
- Selecteer Toevoegen.
Koppel nu de route aan het subnet.
- Selecteer op de pagina UDR-Hub-Spoke - Routes Subnetten.
- Selecteer Koppelen.
- Onder Virtueel netwerk selecteert u VNet-hub.
- Onder Subnet selecteert u GatewaySubnet.
- Selecteer OK.
Maak nu de standaardroute vanaf het spoke-subnet.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak routeringstabel en druk op Enter.
- Selecteer Routeringstabel.
- Selecteer Maken.
- Selecteer FW-Hybrid-Test als de resourcegroep.
- Selecteer bij Regio VS - oost.
- Voor de naam typt u UDR-DG.
- Selecteer Nee als u gatewayroutes wilt doorgeven.
- Selecteer Controleren + maken.
- Selecteer Maken.
- Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
- Selecteer Routes in de linkerkolom.
- Selecteer Toevoegen.
- Voor de routenaam typt u ToHub.
- Selecteer IP-adressen voor doeltype
- Voor DOEL-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.
- Voor het volgende hoptype selecteert u Virtueel apparaat.
- Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
- Selecteer Toevoegen.
Koppel nu de route aan het subnet.
- Selecteer op de pagina UDR-DG - Routes Subnetten.
- Selecteer Koppelen.
- Onder Virtueel netwerk selecteert u VNet-spoke.
- Onder Subnet selecteert u SN-Workload.
- Selecteer OK.
Virtuele machines maken
Maak nu de spoke-workloadmachines en on-premises virtuele machines en plaats ze in de toepasselijke subnetten.
De virtuele workloadmachine maken
Maak in het virtuele spoke-netwerk een virtuele machine waarop IIS wordt uitgevoerd, zonder openbaar IP-adres.
Selecteer op de startpagina van de Azure-portal Een resource maken.
Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
Voer deze waarden in voor de virtuele machine:
- Resourcegroep - FW-Hybrid-Test selecteren
- Naam van virtuele machine: VM-Spoke-01
- Regio - (VS) VS - oost
- Gebruikersnaam: typ een gebruikersnaam
- Wachtwoord: typ een wachtwoord
Selecteer voor Openbare binnenkomende poorten Geselecteerde poorten toestaan en selecteer vervolgens HTTP (80)en RDP (3389).
Selecteer Volgende: schijven.
Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
Selecteer VNet-Spoke voor het virtuele netwerk en het subnet is SN-Workload.
Selecteer Volgende: Beheer.
Selecteer Volgende: Bewaking.
Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer Vervolgens Maken.
IIS installeren
Open Cloud Shell via de Azure-portal en controleer of deze is ingesteld op PowerShell.
Voer de volgende opdracht uit om IIS op de virtuele machine te installeren en indien nodig de locatie te wijzigen:
Set-AzVMExtension ` -ResourceGroupName FW-Hybrid-Test ` -ExtensionName IIS ` -VMName VM-Spoke-01 ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
De on-premises virtuele machine maken
Dit is een virtuele machine waarmee u verbinding kunt maken met het openbare IP-adres via Extern bureaublad. Vanaf daar maakt u vervolgens verbinding met de on-premises server via de firewall.
Selecteer op de startpagina van de Azure-portal Een resource maken.
Selecteer onder Populair Windows Server 2019 Datacenter.
Voer deze waarden in voor de virtuele machine:
- Resourcegroep - Bestaande selecteren en vervolgens FW-Hybrid-Test selecteren
- Naam van virtuele machine - VM-Onprem
- Regio - (VS) VS - oost
- Gebruikersnaam: typ een gebruikersnaam
- Wachtwoord: typ uw wachtwoord
Selecteer voor Openbare binnenkomende poorten Geselecteerde poorten toestaan en selecteer vervolgens RDP (3389).
Selecteer Volgende: schijven.
Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
Selecteer VNet-Onprem voor het virtuele netwerk en controleer of het subnet SN-Corp is.
Selecteer Volgende: Beheer.
Selecteer Volgende: Bewaking.
Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer Vervolgens Maken.
De firewall testen
Noteer eerst het privé-IP-adres van de virtuele machine VM-Spoke-01 op de overzichtspagina van VM-Spoke-01.
Maak vanuit de Azure-portal verbinding met de virtuele machine VM-OnPrem.
Open een webbrowser op VM-OnPrem en blader naar http://<privé-IP-adres VM-spoke-01>.
U ziet nu de webpagina VM-spoke-01 :
Maak vanaf de virtuele machine VM-Onprem via Extern bureaublad verbinding met VM-spoke-01 op het privé-IP-adres.
Deze verbinding moet worden gemaakt en u moet zich kunnen aanmelden.
U hebt nu gecontroleerd of de firewallregels werken:
- U kunt de bladeren op de webserver in het virtuele spoke-netwerk.
- U kunt verbinding maken met de server in het virtuele spoke-netwerk met behulp van RDP.
Wijzig vervolgens de verzameling netwerkregels van de firewall in Weigeren om te controleren of de regels werken zoals verwacht.
- Open de resourcegroep FW-Hybrid-Test en selecteer het firewallbeleid Pol-Net01 .
- Selecteer onder Instellingen regelverzamelingen.
- Selecteer de RCNet01-regelverzameling .
- Selecteer bij Actie regelverzameling de optie Weigeren.
- Selecteer Opslaan.
Sluit eventuele externe bureaubladen en browsers in VM-Onprem voordat u de gewijzigde regels test. Nadat de update van de regelverzameling is voltooid, voert u de tests opnieuw uit. Ze moeten allemaal deze keer geen verbinding maken.
Resources opschonen
U kunt uw firewallresources bewaren voor verder onderzoek of de resourcegroep FW-Hybrid-Test verwijderen om alle firewallresources te verwijderen.