Dela via

Självstudie: Skydda ditt virtuella hubbnätverk med Hjälp av Azure Firewall Manager

  • Artikel

När du ansluter ditt lokala nätverk till ett virtuellt Azure-nätverk för att skapa ett hybridnätverk är förmågan att styra åtkomst till dina Azure-nätverksresurser en viktig del av den övergripande säkerhetsplanen.

Med Azure Firewall Manager kan du skapa ett virtuellt hubbnätverk för att skydda din hybridnätverkstrafik som är avsedd för privata IP-adresser, Azure PaaS och Internet. Du kan använda Azure Firewall Manager för att styra nätverksåtkomsten i ett hybridnätverk med hjälp av principer som definierar tillåten respektive nekad nätverkstrafik.

Firewall Manager stöder också en säker arkitektur för virtuell hubb. En jämförelse av arkitekturtyperna för säker virtuell hubb och hubb för virtuella nätverk finns i Vad är arkitekturalternativen för Azure Firewall Manager?

För den här självstudien skapar du tre virtuella nätverk:

  • VNet-Hub – brandväggen finns i det här virtuella nätverket.
  • VNet-Spoke – det virtuella ekernätverket representerar den arbetsbelastning som finns på Azure.
  • VNet-Onprem – det lokala virtuella nätverket representerar ett lokalt nätverk. I en faktisk distribution kan den anslutas med antingen en VPN- eller ExpressRoute-anslutning. För enkelhetens skull använder den här självstudien en VPN-gatewayanslutning, och ett virtuellt Azure-nätverk används för att representera ett lokalt nätverk.

Hybrid network

I den här självstudien lär du dig att:

  • Skapa en brandväggsprincip
  • Skapa de virtuella nätverken
  • Konfigurera och distribuera brandväggen
  • Skapa och ansluta VPN-gatewayer
  • Peera de virtuella hubb- och ekernätverken
  • Skapa vägarna
  • Skapa de virtuella datorerna
  • testa brandväggen.

Förutsättningar

Ett hybridnätverk använder arkitekturmodellen hub-and-spoke för att dirigera trafik mellan virtuella Azure-nätverk och lokala nätverk. Hub-and-spoke-arkitekturen har följande krav:

  • Ange AllowGatewayTransit vid peering av VNet-Hub till VNet-Spoke. I en nav-och-eker-nätverksarkitektur gör en gatewayöverföring att de virtuella ekernätverken kan dela VPN-gatewayen i hubben, i stället för att distribuera VPN-gatewayer i varje virtuellt ekernätverk.

    Dessutom sprids vägar till gatewayanslutna virtuella nätverk eller lokala nätverk automatiskt till routningstabellerna för peer-kopplade virtuella nätverk med hjälp av gatewayöverföringen. Mer information finns i Konfigurera VPN-gatewayöverföring för peering för virtuella nätverk.

  • Ange UseRemoteGateways när du peer-VNet-Spoke till VNet-Hub. Om UseRemoteGateways har angetts och AllowGatewayTransit på fjärrpeering också har angetts använder det virtuella ekernätverket gatewayer i det virtuella fjärrnätverket för överföring.

  • För att dirigera ekerundernätstrafiken via hubbens brandvägg behöver du en användardefinierad väg (UDR) som pekar på brandväggen med inställningen För spridning av virtuell nätverksgatewaysväg inaktiverad. Det här alternativet förhindrar routningsdistribution till ekerundernäten. Detta förhindrar att inlärda vägar strider mot din UDR.

  • Konfigurera en UDR på hubbgatewayens undernät som pekar på brandväggens IP-adress som nästa hopp till ekernätverken. Det krävs ingen UDR i Azure Firewall-undernätet eftersom det lär sig vägarna från BGP.

Information om hur dessa vägar skapas finns i avsnittet Skapa vägar i den här självstudien.

Kommentar

Azure Firewall måste ha direktanslutning till internet. Om ditt AzureFirewallSubnet lär sig en standardväg till ditt lokala nätverk via BGP måste du åsidosätta detta med udr 0.0.0.0/0 med värdet NextHopType inställt som Internet för att upprätthålla direkt Internetanslutning.

Azure Firewall kan konfigureras för att stödja tvingad tunneltrafik. Mer information finns i Tvingad tunneltrafik i Azure Firewall.

Kommentar

Trafiken mellan direkt peerkopplade virtuella nätverk dirigeras direkt även om en UDR pekar på Azure Firewall som standardgateway. För att undernät till undernät-trafik ska kunna skickas till brandväggen i det här scenariot måste en UDR uttryckligen innehålla nätverksprefixet för målundernätverket på båda undernäten.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa en brandväggsprincip

  1. Logga in på Azure-portalen.

  2. I sökfältet i Azure-portalen skriver du Firewall Manager och trycker på Retur.

  3. På sidan Azure Firewall Manager går du till Säkerhet och väljer Azure-brandväggsprinciper.

    Screenshot showing Firewall Manager main page.

  4. Välj Skapa Azure Firewall-princip.

  5. Välj din prenumeration och för Resursgrupp väljer du Skapa ny och skapar en resursgrupp med namnet FW-Hybrid-Test.

  6. Som principnamn skriver du Pol-Net01.

  7. För Region väljer du USA, östra.

  8. Välj Nästa: DNS-Inställningar.

  9. Välj Nästa: TLS-inspektion

  10. Välj Nästa:Regler.

  11. Välj Lägg till en regelsamling.

  12. Som Namn skriver du RCNet01.

  13. Som Regelsamlingstyp väljer du Nätverk.

  14. För Prioritet skriver du 100.

  15. I fältet Åtgärd väljer du Tillåt.

  16. Under Regler, för Namn, skriver du AllowWeb.

  17. För Källa skriver du 192.168.1.0/24.

  18. I fältet Protokoll väljer du TCP.

  19. För Målportar skriver du 80.

  20. Som Måltyp väljer du IP-adress.

  21. För Mål skriver du 10.6.0.0/16.

  22. På nästa regelrad anger du följande information:

    Namn: skriv AllowRDP
    Källa: skriv 192.168.1.0/24.
    Protokoll, välj TCP
    Målportar, typ 3389
    Måltyp, välj IP-adress
    För Mål skriver du 10.6.0.0/16

  23. Markera Lägga till.

  24. Välj Granska + skapa.

  25. Granska informationen och välj sedan Skapa.

Skapa brandväggens virtuella hubbnätverk

Kommentar

Storleken på AzureFirewallSubnet-undernätet är /26. Mer information om undernätets storlek finns i Vanliga frågor och svar om Azure Firewall.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. Sök efter Virtuellt nätverk och välj sedan Virtuellt nätverk.

  3. Välj Skapa.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du FW-Hybrid-Test.

  6. Som Namn skriver du VNet-hubb.

  7. För Region väljer du USA, östra.

  8. Välj Nästa.

  9. I Säkerhet väljer du Nästa.

  10. För IPv4-adressutrymme skriver du 10.5.0.0/16.

  11. Under Undernät väljer du standard.

  12. Som undernätsmall väljer du Azure Firewall.

  13. För Startadress skriver du 10.5.0.0/26.

  14. Acceptera de andra standardinställningarna och välj sedan Spara.

  15. Välj Granska + skapa.

  16. Välj Skapa.

Lägg till ett annat undernät med namnet GatewaySubnet med adressutrymmet 10.5.1.0/27. Det här undernätet används för VPN-gatewayen.

Skapa det virtuella ekernätverket

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. Sök efter Virtuellt nätverk och välj sedan Virtuellt nätverk.
  3. Välj Skapa.
  4. I fältet Prenumeration väljer du din prenumeration.
  5. För Resursgrupp väljer du FW-Hybrid-Test.
  6. Som Namn skriver du VNet-Spoke.
  7. För Region väljer du USA, östra.
  8. Välj Nästa.
  9. På sidan Säkerhet väljer du Nästa.
  10. Välj Nästa: IP-adresser.
  11. För IPv4-adressutrymme skriver du 10.6.0.0/16.
  12. Under Undernät väljer du standard.
  13. Ändra namnet till SN-Workload.
  14. För Startadress skriver du 10.6.0.0/24.
  15. Acceptera de andra standardinställningarna och välj sedan Spara.
  16. Välj Granska + skapa.
  17. Välj Skapa.

Skapa det lokala virtuella nätverket

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. Sök efter Virtuellt nätverk och välj sedan Virtuellt nätverk.

  3. Välj Skapa.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du FW-Hybrid-Test.

  6. För Virtuellt nätverksnamn skriver du VNet-OnPrem.

  7. För Region väljer du USA, östra.

  8. Välj Nästa.

  9. På sidan Säkerhet väljer du Nästa.

  10. För IPv4-adressutrymme skriver du 192.168.0.0/16.

  11. Under Undernät väljer du standard.

  12. Ändra namnet till SN-Corp.

  13. För Startadress skriver du 192.168.1.0/24.

  14. Acceptera de andra standardinställningarna och välj sedan Spara.

  15. Välj Lägg till ett undernät.

  16. Som undernätsmall väljer du Virtuell nätverksgateway.

  17. För Startadresstyp 192.168.2.0/27.

  18. Markera Lägga till.

  19. Välj Granska + skapa.

  20. Välj Skapa.

Konfigurera och distribuera brandväggen

När säkerhetsprinciper associeras med en hubb kallas det för ett virtuellt navnätverk.

Konvertera det virtuella VNet-Hub-nätverket till ett virtuellt hubbnätverk och skydda det med Azure Firewall.

  1. I sökfältet i Azure-portalen skriver du Firewall Manager och trycker på Retur.

  2. I den högra rutan väljer du Översikt.

  3. På sidan Azure Firewall Manager går du till Lägg till säkerhet i virtuella nätverk och väljer Visa virtuella hubbnätverk.

  4. Under Virtuella nätverk markerar du kryssrutan för VNet-hubb.

  5. Välj Hantera säkerhet och välj sedan Distribuera en brandvägg med brandväggsprincip.

  6. På sidan Konvertera virtuella nätverk går du till Azure Firewall-nivån och väljer Premium. Under Brandväggsprincip markerar du kryssrutan för Pol-Net01.

  7. Välj Nästa: Granska + bekräfta

  8. Granska informationen och välj sedan Bekräfta.

    Det tar några minuter att distribuera.

  9. När distributionen är klar går du till resursgruppen FW-Hybrid-Test och väljer brandväggen.

  10. Observera brandväggens privata IP-adress på sidan Översikt . Du använder den senare när du skapar standardvägen.

Skapa och ansluta VPN-gatewayer

De virtuella hubbnätverken och de lokala virtuella nätverken ansluts via VPN-gatewayer.

Skapa en VPN-gateway för det virtuella hubbnätverket

Skapa nu VPN-gatewayen för det virtuella hubbnätverket. Nätverk-till-nätverk-konfigurationer kräver VpnType RouteBased. Att skapa en VPN-gateway kan ofta ta 45 minuter eller mer, beroende på vald VPN-gateway-SKU.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I söktextrutan skriver du virtuell nätverksgateway och trycker på Retur.
  3. Välj Virtuell nätverksgateway och välj Skapa.
  4. Som Namn skriver du GW-hubb.
  5. För Region väljer du (USA) USA, östra.
  6. Som Gateway-typ väljer du VPN.
  7. För VPN-typ väljer du Routningsbaserad.
  8. För SKU väljer du VpnGw2.
  9. För Generation väljer du Generation2.
  10. För Virtuellt nätverk väljer du VNet-hubb.
  11. För Offentlig IP-adress väljer du Skapa ny och skriver VNet-hub-GW-pip som namn.
  12. För Aktivera aktivt-aktivt läge väljer du Inaktiverad.
  13. Acceptera de återstående standardvärdena och välj sedan Granska + skapa.
  14. Granska konfigurationen och välj sedan Skapa.

Skapa en VPN-gateway för det lokala virtuella nätverket

Skapa nu VPN-gatewayen för det lokala virtuella nätverket. Nätverk-till-nätverk-konfigurationer kräver VpnType RouteBased. Att skapa en VPN-gateway kan ofta ta 45 minuter eller mer, beroende på vald VPN-gateway-SKU.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I söktextrutan skriver du virtuell nätverksgateway och trycker på Retur.
  3. Välj Virtuell nätverksgateway och välj Skapa.
  4. Som Namn skriver du GW-Onprem.
  5. För Region väljer du (USA) USA, östra.
  6. Som Gateway-typ väljer du VPN.
  7. För VPN-typ väljer du Routningsbaserad.
  8. För SKU väljer du VpnGw2.
  9. För Generation väljer du Generation2.
  10. För Virtuellt nätverk väljer du VNet-Onprem.
  11. För Offentlig IP-adress väljer du Skapa ny och skriver VNet-Onprem-GW-pip som namn.
  12. För Aktivera aktivt-aktivt läge väljer du Inaktiverad.
  13. Acceptera de återstående standardvärdena och välj sedan Granska + skapa.
  14. Granska konfigurationen och välj sedan Skapa.

Skapa VPN-anslutningarna

Nu kan du skapa VPN-anslutningarna mellan hubben och lokala gatewayer.

I det här steget skapar du anslutningen från det virtuella hubbnätverket till det lokala virtuella nätverket. En delad nyckel refereras i exemplen. Du kan använda egna värden för den delade nyckeln. Det är viktigt att den delade nyckeln matchar båda anslutningarna. Det tar lite tid att skapa anslutningen.

  1. Öppna resursgruppen FW-Hybrid-Test och välj GW-hubb-gatewayen.
  2. Välj Anslut ions i den vänstra kolumnen.
  3. Markera Lägga till.
  4. Som anslutningsnamn skriver du Hub-to-Onprem.
  5. Välj VNet-till-VNet för Anslut ionstyp.
  6. Välj Nästa: Inställningar.
  7. För den första virtuella nätverksgatewayen väljer du GW-hubb.
  8. För den andra virtuella nätverksgatewayen väljer du GW-Onprem.
  9. För Delad nyckel (PSK) skriver du AzureA1b2C3.
  10. Välj Granska + skapa.
  11. Välj Skapa.

Skapa anslutningen mellan det lokala virtuella nätverket och det virtuella hubbnätverket. Det här steget liknar det föregående steget förutom att du skapar anslutningen från Vnet-Onprem till VNet-hub. Kontrollera att de delade nycklarna matchar. Anslutningen upprättas efter några minuter.

  1. Öppna resursgruppen FW-Hybrid-Test och välj GW-Onprem-gatewayen.
  2. Välj Anslut ions i den vänstra kolumnen.
  3. Markera Lägga till.
  4. Som anslutningsnamn skriver du Onprem-to-Hub.
  5. Välj VNet-till-VNet för Anslut ionstyp.
  6. För den andra virtuella nätverksgatewayen väljer du GW-hubb.
  7. För Delad nyckel (PSK) skriver du AzureA1b2C3.
  8. Välj OK.

Verifiera anslutningen

Efter ungefär fem minuter ska statusen för båda anslutningarna Anslut.

Screenshot showing the vpn gateway connections.

Peera de virtuella hubb- och ekernätverken

Peera nu de virtuella hubb- och ekernätverken.

  1. Öppna resursgruppen FW-Hybrid-Test och välj det virtuella nätverket VNet-hubb.

  2. I den vänstra kolumnen väljer du Peerings.

  3. Markera Lägga till.

  4. Under Det här virtuella nätverket:

    Inställningsnamn Värde
    Namn på peeringlänk HubtoSpoke
    Tillåt trafik till fjärranslutna virtuella nätverk har valts
    Tillåt trafik som vidarebefordras från det virtuella fjärrnätverket (tillåt gatewayöverföring) har valts
    Använda en virtuell fjärrnätverksgateway eller routningsserver inte vald

  5. Under Fjärranslutet virtuellt nätverk:

    Inställningsnamn Värde
    Namn på peeringlänk SpoketoHub
    Distributionsmodell för virtuellt nätverk Resource Manager
    Prenumeration <din prenumeration>
    Virtuellt nätverk VNet-Spoke
    Tillåt trafik till det aktuella virtuella nätverket har valts
    Tillåt trafik som vidarebefordras från det aktuella virtuella nätverket (tillåt gatewayöverföring) har valts
    Använda den aktuella virtuella nätverksgatewayen eller routningsservern har valts

  6. Markera Lägga till.

    Screenshot showing Vnet peering.

Skapa vägarna

Därefter skapar du några vägar:

  • En väg från hubbgateway-undernätet till ekerundernätet via brandväggens IP-adress
  • En standardväg från ekerundernätet via brandväggens IP-adress
  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I söktextrutan skriver du routningstabell och trycker på Retur.
  3. Välj Routningstabell.
  4. Välj Skapa.
  5. Välj FW-Hybrid-Test för resursgruppen.
  6. För Region väljer du USA, östra.
  7. Som namn skriver du UDR-Hub-Spoke.
  8. Välj Granska + skapa.
  9. Välj Skapa.
  10. När routningstabellen har skapats väljer du den för att öppna routningstabellsidan.
  11. Välj Vägar i den vänstra kolumnen.
  12. Markera Lägga till.
  13. Som routningsnamn skriver du ToSpoke.
  14. Som Måltyp väljer du IP-adresser.
  15. För MÅL-IP-adresser/CIDR-intervall skriver du 10.6.0.0/16.
  16. För nästa hopptyp väljer du Virtuell installation.
  17. För nästa hoppadress skriver du brandväggens privata IP-adress som du antecknade tidigare.
  18. Markera Lägga till.

Associera nu vägen till undernätet.

  1. På sidan UDR-Hub-Spoke – Vägar väljer du Undernät.
  2. Välj Associera.
  3. Under Virtuellt nätverk väljer du VNet-hubb.
  4. Under Undernät väljer du GatewaySubnet.
  5. Välj OK.

Skapa nu standardvägen från ekerundernätet.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I söktextrutan skriver du routningstabell och trycker på Retur.
  3. Välj Routningstabell.
  4. Välj Skapa.
  5. Välj FW-Hybrid-Test för resursgruppen.
  6. För Region väljer du USA, östra.
  7. Som namn skriver du UDR-DG.
  8. För Sprid gatewayvägar väljer du Nej.
  9. Välj Granska + skapa.
  10. Välj Skapa.
  11. När routningstabellen har skapats väljer du den för att öppna routningstabellsidan.
  12. Välj Vägar i den vänstra kolumnen.
  13. Markera Lägga till.
  14. För routningsnamnet skriver du ToHub.
  15. För Måltyp väljer du IP-adresser
  16. För MÅL-IP-adresser/CIDR-intervall skriver du 0.0.0.0/0.
  17. För nästa hopptyp väljer du Virtuell installation.
  18. För nästa hoppadress skriver du brandväggens privata IP-adress som du antecknade tidigare.
  19. Markera Lägga till.

Associera nu vägen till undernätet.

  1. På sidan UDR-DG – Vägar väljer du Undernät.
  2. Välj Associera.
  3. Under Virtuellt nätverk väljer du VNet-spoke.
  4. Under Undernät väljer du SN-Workload.
  5. Välj OK.

Skapa virtuella datorer

Skapa nu ekerarbetsbelastningen och de lokala virtuella datorerna, och placera dem i respektive undernät.

Skapa den virtuella arbetsbelastningsdatorn

Skapa en virtuell dator i det virtuella ekernätverket som kör IIS utan offentlig IP-adress.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. Under Populära Marketplace-produkter väljer du Windows Server 2019 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    • Resursgrupp – Välj FW-Hybrid-Test
    • Namn på virtuell dator: VM-Spoke-01
    • Region - (USA) USA, östra
    • Användarnamn: ange ett användarnamn
    • Lösenord: ange ett lösenord

  4. För Offentliga inkommande portar väljer du Tillåt valda portar och väljer sedan HTTP (80) och RDP (3389)

  5. Välj Nästa:Diskar.

  6. Acceptera standardvärdena och välj Nästa: Nätverk.

  7. Välj VNet-Spoke för det virtuella nätverket och undernätet är SN-Workload.

  8. Välj Nästa:Hantering.

  9. Välj Nästa: Övervakning.

  10. För Startdiagnostik väljer du Inaktivera.

  11. Välj Granska + skapa, granska inställningarna på sammanfattningssidan och välj sedan Skapa.

Installera IIS

  1. Öppna Cloud Shell från Azure-portalen och se till att det är inställt på PowerShell.

  2. Kör följande kommando för att installera IIS på den virtuella datorn och ändra platsen om det behövs:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Skapa den lokala virtuella datorn

Det här är en virtuell dator som du använder för att ansluta med fjärrskrivbord till den offentliga IP-adressen. Därifrån kan du sedan ansluta till den lokala servern via brandväggen.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. Under Populärt väljer du Windows Server 2019 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    • Resursgrupp – Välj befintlig och välj sedan FW-Hybrid-Test
    • Namn på virtuell dator - VM-Onprem
    • Region - (USA) USA, östra
    • Användarnamn: ange ett användarnamn
    • Lösenord: ange ditt lösenord

  4. För Offentliga inkommande portar väljer du Tillåt valda portar och väljer sedan RDP (3389)

  5. Välj Nästa:Diskar.

  6. Acceptera standardvärdena och välj Nästa:Nätverk.

  7. Välj VNet-Onprem för virtuellt nätverk och kontrollera att undernätet är SN-Corp.

  8. Välj Nästa:Hantering.

  9. Välj Nästa: Övervakning.

  10. För Startdiagnostik väljer du Inaktivera.

  11. Välj Granska + skapa, granska inställningarna på sammanfattningssidan och välj sedan Skapa.

testa brandväggen.

  1. Observera först den privata IP-adressen för den virtuella datorn VM-Spoke-01 på översiktssidan VM-Spoke-01.

  2. Från Azure-portalen ansluter du till den virtuella datorn VM-Onprem.

  1. Öppna en webbläsare på VM-Onprem och gå till http://<privat IP-adress för VM-spoke-01>.

    Du bör se webbsidan VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. Från den virtuella datorn VM-Onprem öppnar du ett fjärrskrivbord till VM-spoke-01 på den privata IP-adressen.

    Anslutningen bör lyckas och du bör kunna logga in.

Nu har du alltså kontrollerat att brandväggsreglerna fungerar:

  • Du kan bläddra i webbservern på det virtuella ekernätverket.
  • Du kan ansluta till servern på det virtuella ekernätverket med hjälp av RDP.

Ändra sedan brandväggsnätverksregelns insamlingsåtgärd till Neka för att verifiera att brandväggsreglerna fungerar som förväntat.

  1. Öppna resursgruppen FW-Hybrid-Test och välj brandväggsprincipen Pol-Net01.
  2. Under Inställningar väljer du Regelsamlingar.
  3. Välj regelsamlingen RCNet01 .
  4. Som Regelsamlingsåtgärd väljer du Neka.
  5. Välj Spara.

Stäng alla befintliga fjärrskrivbord och webbläsare på VM-Onprem innan du testar de ändrade reglerna. När regelsamlingsuppdateringen är klar kör du testerna igen. De bör alla misslyckas med att ansluta den här gången.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare undersökning, eller om det inte längre behövs tar du bort resursgruppen FW-Hybrid-Test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Självstudie: Skydda ditt virtuella WAN med Hjälp av Azure Firewall Manager