Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu usługi Azure Firewall Manager

  • Artykuł

Za pomocą usługi Azure Firewall Manager można utworzyć zabezpieczone koncentratory wirtualne w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do prywatnych adresów IP, usługi Azure PaaS i Internetu. Routing ruchu do zapory jest zautomatyzowany, więc nie ma potrzeby tworzenia tras zdefiniowanych przez użytkownika (UDR).

Menedżer zapory obsługuje również architekturę sieci wirtualnej koncentratora. Aby zapoznać się z porównaniem typów architektury zabezpieczonego koncentratora wirtualnego i koncentratora sieci wirtualnej, zobacz Jakie są opcje architektury usługi Azure Firewall Manager?

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie sieci wirtualnej będącej szprychą
  • Tworzenie zabezpieczonego koncentratora wirtualnego
  • Połączenie sieci wirtualnych piasty i szprych
  • Kierowanie ruchu do centrum
  • Wdrażanie serwerów
  • Tworzenie zasad zapory i zabezpieczanie centrum
  • Testowanie zapory

Ważne

Procedura w tym samouczku używa usługi Azure Firewall Manager do utworzenia nowego koncentratora zabezpieczonego przez wirtualną sieć WAN platformy Azure. Za pomocą menedżera zapory można uaktualnić istniejące centrum, ale nie można skonfigurować usługi Azure Strefy dostępności dla usługi Azure Firewall. Istnieje również możliwość przekonwertowania istniejącego centrum na zabezpieczone centrum przy użyciu witryny Azure Portal, zgodnie z opisem w temacie Konfigurowanie usługi Azure Firewall w koncentratorze usługi Virtual WAN. Jednak podobnie jak w przypadku usługi Azure Firewall Manager, nie można skonfigurować Strefy dostępności. Aby uaktualnić istniejące centrum i określić Strefy dostępności dla usługi Azure Firewall (zalecane) należy wykonać procedurę uaktualniania w artykule Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu programu Azure PowerShell.

Diagram showing the secure cloud network.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie architektury piasty i szprych

Najpierw utwórz sieci wirtualne będące szprychami, w których można umieścić serwery.

Tworzenie dwóch sieci wirtualnych i podsieci szprych

Obie sieci wirtualne mają w nich serwer obciążenia i są chronione przez zaporę.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. Wyszukaj pozycję Sieć wirtualna, wybierz ją, a następnie wybierz pozycję Utwórz.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wpisz fw-manager-rg jako nazwę i wybierz przycisk OK.
  5. W polu Nazwa sieci wirtualnej wpisz Szprycha-01.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Wybierz Dalej.
  8. Na stronie Zabezpieczenia wybierz pozycję Dalej.
  9. W obszarze Dodaj przestrzeń adresową IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.
  10. W obszarze Podsieci wybierz pozycję domyślne.
  11. W polu Nazwa wpisz Workload-01-SN.
  12. W polu Adres początkowy wpisz 10.0.1.0/24.
  13. Wybierz pozycję Zapisz.
  14. Wybierz pozycję Przejrzyj i utwórz.
  15. Wybierz pozycję Utwórz.

Powtórz tę procedurę, aby utworzyć inną podobną sieć wirtualną w grupie zasobów fw-manager-rg :

Nazwa: Szprycha-02
Przestrzeń adresowa: 10.1.0.0/16
Nazwa podsieci: Workload-02-SN
Adres początkowy: 10.1.1.0/24

Tworzenie zabezpieczonego koncentratora wirtualnego

Utwórz zabezpieczone koncentrator wirtualny przy użyciu menedżera zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W polu wyszukiwania wpisz Menedżer zapory i wybierz pozycję Menedżer zapory.

  3. Na stronie Menedżer zapory w obszarze Wdrożenia wybierz pozycję Koncentratory wirtualne.

  4. W Menedżerze zapory | Strona Koncentratory wirtualne wybierz pozycję Utwórz nowe zabezpieczone koncentrator wirtualny.

    Screenshot of creating a new secured virtual hub.

  5. Wybierz swoją subskrypcję.

  6. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. W polu Nazwa zabezpieczonego koncentratora wirtualnego wpisz Hub-01.

  9. W polu Przestrzeń adresowa centrum wpisz 10.2.0.0/16.

  10. Wybierz pozycję Nowa vWAN.

  11. Dla nowej nazwy wirtualnej sieci WAN wpisz Vwan-01.

  12. W polu Typ wybierz pozycję Standardowa.

  13. Pozostaw pole wyboru Uwzględnij bramę sieci VPN, aby włączyć zaufanych partnerów zabezpieczeń pole wyboru.

    Screenshot of creating a new virtual hub with properties.

  14. Wybierz pozycję Dalej: Azure Firewall.

  15. Zaakceptuj domyślne ustawienie włączone w usłudze Azure Firewall.

  16. W obszarze Warstwa usługi Azure Firewall wybierz pozycję Standardowa.

  17. Wybierz odpowiednią kombinację Strefy dostępności.

Ważne

Usługa Virtual WAN to kolekcja centrów i usług udostępnianych w centrum. Możesz wdrożyć dowolną liczbę potrzebnych wirtualnych sieci WAN. W koncentratorze usługi Virtual WAN istnieje wiele usług, takich jak VPN, ExpressRoute itd. Każda z tych usług jest wdrażana automatycznie w Strefy dostępności z wyjątkiem usługi Azure Firewall, jeśli region obsługuje Strefy dostępności. Aby dopasować się do odporności usługi Azure Virtual WAN, należy wybrać wszystkie dostępne Strefy dostępności.

Screenshot of configuring Azure Firewall parameters.

  1. Wpisz 1 w polu tekstowym Określ liczbę publicznych adresów IP.

  2. W obszarze Zasady zapory upewnij się, że wybrano domyślne zasady odmowy. Ustawienia uściślisz w dalszej części tego artykułu.

  3. Wybierz pozycję Dalej: Dostawca partnera zabezpieczeń.

    Screenshot of configuring Trusted Partners parameters.

  4. Zaakceptuj domyślne ustawienie Wyłączone zaufanego partnera zabezpieczeń, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

    Screenshot of creating the Firewall instance.

Uwaga

Utworzenie zabezpieczonego koncentratora wirtualnego może potrwać do 30 minut.

Publiczny adres IP zapory można znaleźć po zakończeniu wdrażania.

  1. Otwórz menedżera zapory.
  2. Wybierz pozycję Koncentratory wirtualne.
  3. Wybierz pozycję hub-01.
  4. Wybierz pozycję AzureFirewall_Hub-01.
  5. Zanotuj publiczny adres IP do późniejszego użycia.

Połączenie sieci wirtualnych piasty i szprych

Teraz możesz łączyć sieci wirtualne piasty i szprych.

  1. Wybierz grupę zasobów fw-manager-rg , a następnie wybierz wirtualną sieć WAN Vwan-01 .

  2. W obszarze Połączenie ivity wybierz pozycję Połączenia sieci wirtualnej.

    Screenshot of adding Virtual Network connections.

  3. Wybierz opcję Dodaj połączenie.

  4. W polu nazwa Połączenie ion wpisz hub-spoke-01.

  5. W obszarze Koncentratory wybierz pozycję Hub-01.

  6. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  7. W obszarze Sieć wirtualna wybierz pozycję Szprycha-01.

  8. Wybierz pozycję Utwórz.

  9. Powtórz polecenie , aby połączyć sieć wirtualną Spoke-02 : nazwa połączenia — hub-spoke-02.

Wdrażanie serwerów

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter na liście Popularne .

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Grupa zasobów fw-manager-rg
    Virtual machine name Srv-workload-01
    Region (Region) (STANY ZJEDNOCZONE) Wschodnie stany USA)
    nazwa użytkownika Administracja istrator wpisz nazwę użytkownika
    Hasło wpisz hasło

  4. W obszarze Reguły portów wejściowych w obszarze Publiczne porty wejściowe wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Wybierz pozycję Szprycha-01 dla sieci wirtualnej i wybierz pozycję Workload-01-SN dla podsieci.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Wybierz pozycję Dalej:Monitorowanie.

  11. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Skorzystaj z informacji w poniższej tabeli, aby skonfigurować inną maszynę wirtualną o nazwie Srv-Workload-02. Pozostała część konfiguracji jest taka sama jak maszyna wirtualna Srv-workload-01 .

Ustawienie Wartość
Sieć wirtualna Szprycha-02
Podsieć Workload-02-SN

Po wdrożeniu serwerów wybierz zasób serwera, a w obszarze Sieć zanotuj prywatny adres IP dla każdego serwera.

Tworzenie zasad zapory i zabezpieczanie centrum

Zasady zapory definiują kolekcje reguł, aby kierować ruch do co najmniej jednego zabezpieczonego koncentratora wirtualnego. Utworzysz zasady zapory, a następnie zabezpieczysz centrum.

  1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.

    Screenshot of creating an Azure Policy with first step.

  2. Wybierz pozycję Utwórz zasady usługi Azure Firewall.

    Screenshot of configuring Azure Policy settings in first step.

  3. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  4. W obszarze Szczegóły zasad w polu Nazwa wpisz Zasady-01 i w polu Region wybierz pozycję Wschodnie stany USA.

  5. W obszarze Warstwa zasad wybierz pozycję Standardowa.

  6. Wybierz pozycję Dalej: Ustawienia DNS.

    Screenshot of configuring DNS settings.

  7. Wybierz pozycję Dalej: Inspekcja protokołu TLS.

    Screenshot of configuring TLS settings.

  8. Wybierz pozycję Dalej: Reguły.

  9. Na karcie Reguły wybierz pozycję Dodaj kolekcję reguł.

    Screenshot of configuring Rule Collection.

  10. Na stronie Dodawanie kolekcji reguł wpisz App-RC-01 jako Nazwę.

  11. W polu Typ kolekcji reguł wybierz pozycję Aplikacja.

  12. W polu Priorytet wpisz wartość 100.

  13. Upewnij się, że akcja kolekcji reguł to Zezwalaj.

  14. W polu Nazwa reguły wpisz Allow-msft.

  15. W polu Typ źródła wybierz pozycję Adres IP.

  16. W polu Źródło wpisz *.

  17. W polu Protokół wpisz http,https.

  18. Upewnij się, że typ miejsca docelowego to FQDN.

  19. W polu Miejsce docelowe wpisz *.microsoft.com.

  20. Wybierz Dodaj.

  21. Dodaj regułę DNAT, aby połączyć pulpit zdalny z maszyną wirtualną Srv-Workload-01.

    1. Wybierz pozycję Dodaj kolekcję reguł.
    2. W polu Nazwa wpisz dnat-rdp.
    3. W polu Typ kolekcji reguł wybierz pozycję DNAT.
    4. W polu Priorytet wpisz wartość 100.
    5. W polu Nazwa reguły wpisz Allow-rdp.
    6. W polu Typ źródła wybierz pozycję Adres IP.
    7. W polu Źródło wpisz *.
    8. W polu Protokół wybierz TCP.
    9. W polu Porty docelowe wpisz wartość 3389.
    10. W polu Miejsce docelowe wpisz zanotowany wcześniej publiczny adres IP zapory.
    11. W polu Typ przetłumaczony wybierz pozycję Adres IP.
    12. W polu Przetłumaczony adres wpisz prywatny adres IP dla zanotowanego wcześniej adresu Srv-Workload-01 .
    13. W polu Przekształcony port wpisz 3389.
    14. Wybierz Dodaj.

  22. Dodaj regułę sieci, aby można było połączyć pulpit zdalny z serwera Srv-Workload-01 z serwerem Srv-Workload-02.

    1. Wybierz pozycję Dodaj kolekcję reguł.
    2. W polu Nazwa wpisz vnet-rdp.
    3. W polu Typ kolekcji reguł wybierz pozycję Sieć.
    4. W polu Priorytet wpisz wartość 100.
    5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
    6. W polu Nazwa reguły wpisz Allow-vnet.
    7. W polu Typ źródła wybierz pozycję Adres IP.
    8. W polu Źródło wpisz *.
    9. W polu Protokół wybierz TCP.
    10. W polu Porty docelowe wpisz wartość 3389.
    11. W polu Typ docelowy wybierz pozycję Adres IP.
    12. W polu Destination (Miejsce docelowe) wpisz zanotowany wcześniej prywatny adres IP Srv-Workload-02 .
    13. Wybierz Dodaj.

  23. Wybierz pozycję Dalej: IDPS.

  24. Na stronie IDPS wybierz pozycję Dalej: Analiza zagrożeń

    Screenshot of configuring IDPS settings.

  25. Na stronie Analiza zagrożeń zaakceptuj wartości domyślne i wybierz pozycję Przejrzyj i utwórz:

    Screenshot of configuring Threat Intelligence settings.

  26. Przejrzyj, aby potwierdzić wybór, a następnie wybierz pozycję Utwórz.

Kojarzenie zasad

Skojarz zasady zapory z centrum.

  1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.

  2. Zaznacz pole wyboru zasad-01.

  3. Wybierz pozycję Zarządzaj skojarzeniami, Skojarz koncentratory.

    Screenshot of configuring Policy association.

  4. Wybierz pozycję hub-01.

  5. Wybierz Dodaj.

    Screenshot of adding Policy and Hub settings.

Kierowanie ruchu do centrum

Teraz musisz upewnić się, że ruch sieciowy jest kierowany przez zaporę.

  1. W menedżerze zapory wybierz pozycję Koncentratory wirtualne.

  2. Wybierz pozycję Hub-01.

  3. W obszarze Ustawienia wybierz pozycję Konfiguracja zabezpieczeń.

  4. W obszarze Ruch internetowy wybierz pozycję Azure Firewall.

  5. W obszarze Ruch prywatny wybierz pozycję Wyślij za pośrednictwem usługi Azure Firewall.

    Uwaga

    Jeśli używasz zakresów publicznych adresów IP dla sieci prywatnych w sieci wirtualnej lub gałęzi lokalnej, musisz jawnie określić te prefiksy adresów IP. Wybierz sekcję Prefiksy ruchu prywatnego, a następnie dodaj je obok prefiksów adresów RFC1918.

  6. W obszarze Inter-hub wybierz pozycję Włączone , aby włączyć funkcję routingu usługi Virtual WAN. Intencja routingu to mechanizm, za pomocą którego można skonfigurować usługę Virtual WAN tak, aby kierować ruch od gałęzi do gałęzi (lokalnie do środowiska lokalnego) za pośrednictwem usługi Azure Firewall wdrożonej w usłudze Virtual WAN Hub. Aby uzyskać więcej informacji na temat wymagań wstępnych i zagadnień związanych z funkcją intencji routingu, zobacz Dokumentację intencji routingu.

  7. Wybierz pozycję Zapisz.

  8. Wybierz przycisk OK w oknie dialogowym Ostrzeżenie .

    Screenshot of Secure Connections.

  9. Wybierz przycisk OK w oknie dialogowym Migrowanie, aby użyć między koncentratora .

    Uwaga

    Zaktualizowanie tabel tras trwa kilka minut.

  10. Sprawdź, czy dwa połączenia pokazują, że usługa Azure Firewall zabezpiecza ruch internetowy i prywatny.

    Screenshot of Secure Connections final status.

Testowanie zapory

Aby przetestować reguły zapory, połącz pulpit zdalny przy użyciu publicznego adresu IP zapory, który jest NATed z Srv-Workload-01. W tym miejscu użyj przeglądarki, aby przetestować regułę aplikacji i połączyć pulpit zdalny z usługą Srv-Workload-02 , aby przetestować regułę sieci.

Testowanie reguły aplikacji

Teraz przetestuj reguły zapory, aby potwierdzić, że działają zgodnie z oczekiwaniami.

  1. Połączenie pulpitu zdalnego do zapory publicznego adresu IP i logowania.

  2. Otwórz program Internet Explorer i przejdź do https://www.microsoft.com.

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna firmy Microsoft.

  4. Przejdź do https://www.google.com.

    Zapora powinna to zablokować.

Teraz sprawdzono, że reguła aplikacji zapory działa:

  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.

Testowanie reguły sieci

Teraz przetestuj regułę sieci.

  • W programie Srv-Workload-01 otwórz pulpit zdalny na prywatny adres IP Srv-Workload-02.

    Pulpit zdalny powinien łączyć się z serwerem Srv-Workload-02.

Teraz sprawdzono, że reguła sieci zapory działa:

  • Pulpit zdalny można połączyć z serwerem znajdującym się w innej sieci wirtualnej.

Czyszczenie zasobów

Po zakończeniu testowania zasobów zapory usuń grupę zasobów fw-manager-rg , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Dowiedz się więcej o zaufanych partnerach zabezpieczeń