教學課程:使用 Azure 防火牆管理員來保護您的虛擬中樞

您可以使用 Azure 防火牆管理員建立安全虛擬中樞,以保護以私人 IP 位址、Azure PaaS 與網際網路為目標的雲端網路流量。 路由傳送到防火牆的流量會經過自動化,因此不需要建立使用者定義的路由 (UDR)。

防火牆管理員也支援中樞虛擬網路架構。 如需安全虛擬中樞和中樞虛擬網路架構類型的比較,請參閱什麼是 Azure 防火牆管理員架構選項?

在本教學課程中,您會了解如何:

  • 建立輪輻虛擬網路
  • 建立安全虛擬中樞
  • 連線中樞與輪輻虛擬網路
  • 將流量路由傳送到您的中樞
  • 部署伺服器
  • 建立防火牆原則並保護您的中樞
  • 測試防火牆

重要

本教學課程中的程式會使用 Azure 防火牆管理員,建立新的 Azure 虛擬 WAN 安全中樞。 您可以使用防火牆管理員升級現有中樞,但無法為 Azure 防火牆設定 Azure 可用性區域。 您也可以使用 Azure 入口網站將現有的中樞轉換成安全中樞,如在虛擬 WAN 中樞中設定 Azure 防火牆中所述。 但就像 Azure 防火牆管理員一樣,您無法設定可用性區域。 若要升級現有中樞,並針對 Azure 防火牆 (建議) 指定可用性區域,您必須遵循教學課程:使用 Azure PowerShell 保護虛擬中樞的升級程序。

顯示安全雲端網路的圖表。

必要條件

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

建立中樞和輪輻架構

首先,建立可放置伺服器的輪輻虛擬網路。

建立兩個輪輻虛擬網路和子網路

兩個虛擬網路都各自有工作負載伺服器,而且受到防火牆保護。

  1. 從 Azure 入口網站首頁,選取 [建立資源]
  2. 搜尋 虛擬網路,選取它,然後選取 [建立]
  3. 在 [訂閱] 的部分,選取您的訂閱。
  4. 針對 [資源群組],選取 [新建],並輸入 fw-manager-rg 做為名稱,然後選取 [確定]
  5. 針對 [虛擬網路名稱],輸入 Spoke-01
  6. 在 [區域] 中,選取 [美國東部]
  7. 選取 [下一步]。
  8. 在 [安全性] 頁面上,選取 [下一步]
  9. [IPv4 位址空間] 底下,請接受預設的 10.0.0.0/16
  10. 在 [子網路] 下,選取 [預設]
  11. [名稱] 中,鍵入 Workload-01-SN
  12. [起始位址] 中,輸入 10.0.1.0/24
  13. 選取 [儲存]。
  14. 選取 [檢閱 + 建立]。
  15. 選取 建立

重複此程序,在 fw-manager-rg 資源群組中建立另一部相似的虛擬機器:

名稱:Spoke-02
位址空間:10.1.0.0/16
子網路名稱:Workload-02-SN
起始位址: 10.1.1.0/24

建立安全虛擬中樞

使用防火牆管理員建立安全虛擬中樞。

  1. 從 Azure 入口網站首頁,選取 [所有服務]

  2. 在 [搜尋] 方塊中,輸入防火牆管理員,然後選取 [防火牆管理員]

  3. 在 [部署] 底下的 [防火牆管理員] 頁面上,選取 [虛擬中樞]

  4. 在 [防火牆管理員 | 虛擬中樞] 頁面上,選取 [建立新的安全虛擬中樞]

    建立新安全虛擬中樞的螢幕擷取畫面。

  5. 選取您的 [訂用帳戶]

  6. 針對 [資源群組],選取 [fw-manager-rg]

  7. 在 [區域] 中,選取 [美國東部]

  8. 針對 [安全虛擬中樞名稱],輸入 Hub-01

  9. 在 [中樞位址空間] 中,輸入 10.2.0.0/16

  10. 選取 [新增 vWAN]

  11. 針對新的虛擬 WAN 名稱,輸入 Vwan-01

  12. 針對 [類型] - 選取 [標準]

  13. 將 [包含 VPN 閘道以啟用信任的安全性合作夥伴] 核取方塊維持為未選取狀態。

    使用屬性建立新虛擬中樞的螢幕擷取畫面。

  14. 選取 [下一步:Azure 防火牆]

  15. 接受預設的 [已啟用 Azure 防火牆] 設定。

  16. 針對 [Azure 防火牆層],選取 [標準]

  17. 選取所需的可用性區域組合。

重要

虛擬 WAN 是中樞內所提供中樞和服務集合。 您可以部署所需的任意虛擬 WAN 數目。 在虛擬 WAN 中樞中有多個服務,例如 VPN、ExpressRoute 等。 這些服務都會自動部署在可用性區域中 (除了 Azure 防火牆),前提是該區域支援可用性區域。 若要配合 Azure 虛擬 WAN 的復原能力,建議選取所有可用的可用性區域。

設定 Azure 防火牆參數的螢幕擷取畫面。

  1. [指定公用 IP 位址的數字] 文字框中輸入 1

  2. [防火牆原則] 底下, 確定已選取 [預設拒絕原則]。 您將在本文稍後完善您的設定。

  3. 選取 [下一步: 安全性合作夥伴提供者]

    設定「信任合作夥伴」參數的螢幕擷取畫面。

  4. 接受預設 [已停用信任的安全性合作夥伴] 設定,然後選取 [下一步: 檢閱 + 建立]

  5. 選取 建立

    建立防火牆執行個體的螢幕擷取畫面。

注意

建立安全虛擬中樞可能需要 30 分鐘。

部署完成後,您會發現防火牆公用 IP 位址。

  1. 開啟 [防火牆管理員]
  2. 選取 [虛擬中樞]
  3. 選取 [hub-01]
  4. 選取 AzureFirewall_Hub-01
  5. 記下公用 IP 位址以便稍後使用。

連線中樞與輪輻虛擬網路

現在您可以將中樞與輪輻虛擬網路對等互連。

  1. 選取 [fw-manager-rg] 資源群組,然後選取 [Vwan-01] 虛擬 WAN。

  2. 在 [連線] 下,選取 [虛擬網路連線]

    新增虛擬網路連線的螢幕擷取畫面。

  3. 請選取新增連線

  4. 針對 [連線名稱],輸入 hub-spoke-01

  5. 針對 [中樞],選取 Hub-01

  6. 針對 [資源群組],選取 [fw-manager-rg]

  7. 針對 [虛擬網路],選取 Spoke-01

  8. 選取 建立

  9. 重複以連線 Spoke-02 虛擬網路:連線名稱 - hub-spoke-02

部署伺服器

  1. 在 Azure 入口網站中,選取 [建立資源]

  2. 選取 [熱門] 清單中的 [Windows Server 2019 Datacenter]

  3. 依虛擬機器輸入這些值:

    設定
    資源群組 fw-manager-rg
    虛擬機器名稱 Srv-workload-01
    區域 (美國) 美國東部
    系統管理員使用者名稱 輸入使用者名稱
    密碼 輸入密碼
  4. 在 [輸入連接埠規則] 下,針對 [公用輸入連接埠] 選取 [無]

  5. 接受其他預設值,然後選取 [下一步:磁碟]

  6. 接受磁碟預設值,然後選取 [下一步:網路]

  7. 針對虛擬網路選取 Spoke-01,然後針對子網路選取 Workload-01-SN

  8. 在 [公用 IP] 中,選取 [無]

  9. 接受其他預設值,然後選取 [下一步:管理]

  10. 選取 [下一步:監視]

  11. 選取 [停用],停用開機診斷。 接受其他預設值,然後選取 [檢閱 + 建立]

  12. 檢閱摘要頁面上的設定,然後選取 [建立]

使用下表中的資訊來設定另一個名為 Srv-Workload-02 的虛擬機器。 其餘的組態與 Srv-workload-01 虛擬機器相同。

設定
虛擬網路 Spoke-02
子網路 Workload-02-SN

部署伺服器後,請選取伺服器資源,並記下網路中每部伺服器的私人 IP 位址。

建立防火牆原則並保護您的中樞

防火牆原則會定義規則集合,以便在一或多個安全虛擬中樞上引導流量。 您建立防火牆原則,然後保護您的中樞。

  1. 從 [防火牆管理員] 中,選取 [Azure 防火牆原則]

    使用第一個步驟建立 Azure 原則的螢幕擷取畫面。

  2. 選取 [建立 Azure 防火牆原則]

    在第一個步驟中設定 Azure 原則設定的螢幕擷取畫面。

  3. 針對 [資源群組],選取 [fw-manager-rg]

  4. 在 [原則詳細資料] 下,針對 [名稱] 輸入 Policy-01,並針對 [區域] 選取 [美國東部]

  5. 針對 [原則層],選取 [標準]

  6. 選取 [下一步: DNS 設定]

    設定 DNS 設定的螢幕擷取畫面。

  7. 選取 [下一步: TLS 檢查]

    設定 TLS 設定的螢幕擷取畫面。

  8. 選取 [下一步: 規則]

  9. 在 [規則] 索引標籤上,選取 [新增規則集合]

    設定規則集合的螢幕擷取畫面。

  10. 在 [新增規則集合] 頁面上,為 [名稱] 輸入 App-RC-01

  11. 針對 [規則集合類型],選取 [應用程式]

  12. 在 [優先順序] 中,輸入 100

  13. 確定 [規則集合動作] 為 [允許]

  14. 針對規則的 [名稱],輸入 Allow-msft

  15. 針對 [來源類型],選取 [IP 位址]

  16. 針對 [來源],輸入 *

  17. 針對 [通訊協定],輸入 http,https

  18. 確定目的地類型FQDN

  19. 針對 [目的地],輸入 *.microsoft.com

  20. 選取 [新增]。

  21. 新增 DNAT 規則,以便將遠端桌面連線至 Srv-Workload-01 虛擬機器。

    1. 選取 [新增規則集合]
    2. 針對 [名稱],輸入 dnat-rdp
    3. 針對 [規則集合類型],選取 [DNAT]
    4. 在 [優先順序] 中,輸入 100
    5. 針對規則的 [名稱],輸入 Allow-rdp
    6. 針對 [來源類型],選取 [IP 位址]
    7. 針對 [來源],輸入 *
    8. 在 [通訊協定] 中,選取 [TCP]
    9. 在 [目的地連接埠] 中,輸入 3389
    10. 在 [目的地] 中,輸入先前記下的防火牆公用 IP 位址。
    11. 針對 [翻譯類型],選取 [IP 位址]
    12. 在 [轉譯的位址] 中,輸入先前記下的 Srv-Workload-01 私人 IP 位址。
    13. 在 [轉譯的連接埠] 中,輸入 3389
    14. 選取 [新增]。
  22. 新增網路規則,以便將遠端桌面從 Srv-Workload-01 連線到 Srv-Workload-02

    1. 選取 [新增規則集合]
    2. 在 [名稱] 中,輸入 vnet-rdp
    3. 針對 [規則集合類型],選取 [網路]
    4. 在 [優先順序] 中,輸入 100
    5. [規則集合動作] 請選取 [允許]
    6. 針對規則的 [名稱],輸入 Allow-vnet
    7. 針對 [來源類型],選取 [IP 位址]
    8. 針對 [來源],輸入 *
    9. 在 [通訊協定] 中,選取 [TCP]
    10. 在 [目的地連接埠] 中,輸入 3389
    11. 針對 [目的地類型],選取 [IP 位址]
    12. 在 [目的地] 中,輸入先前記下的 Srv-Workload-02 私人 IP 位址。
    13. 選取 [新增]。
  23. 選取 [下一步:IDPS]

  24. 在 [IDPS] 上,按一下 [下一步:威脅情報]

    設定 IDPS 設定的螢幕擷取畫面。

  25. 在 [威脅情報] 頁面中,接受預設值並選取 [檢閱並建立]

    設定 [威脅情報] 設定的螢幕擷取畫面。

  26. 檢閱以確認您的選取,然後選取 [建立]

將原則建立關聯

建立防火牆原則與中樞的關聯。

  1. 從 [防火牆管理員] 中,選取 [Azure 防火牆原則]

  2. 選取 Policy-01 的核取方塊。

  3. 選取 [管理關聯]、[將中樞建立關聯]

    設定原則關聯的螢幕擷取畫面。

  4. 選取 [hub-01]

  5. 選取 [新增]。

    新增 [原則和中樞] 設定的螢幕擷取畫面。

將流量路由傳送到您的中樞

現在您必須確定網路流量會路由傳送到防火牆。

  1. 從 [防火牆管理員] 中,選取 [虛擬中樞]

  2. 選取 Hub-01

  3. 在 [設定] 下方,選取 [安全性設定]

  4. 在 [網際網路流量] 底下,選取 [Azure 防火牆]

  5. 在 [私人流量] 下,選取 [透過 Azure 防火牆傳送]

    注意

    如果您使用虛擬網路或內部部署分支中私人網路的公用 IP 位址範圍,則必須明確指定這些 IP 位址前置詞。 選取 [私人流量前置詞] 區段,然後將其與 RFC1918 地址前置詞一起新增。

  6. 在 [中樞間] 下,選取 [已啟用],以啟用虛擬 WAN 路由意圖功能。 路由意圖是一種機制,您可以透過部署在虛擬 WAN 中樞的 Azure 防火牆,設定虛擬 WAN 以路由分支對分支 (內部部署對內部部署) 流量。 如需與路由意圖功能相關聯的必要條件和考慮相關的詳細資訊,請參閱路由意圖文件

  7. 選取 [儲存]。

  8. 在 [警告] 對話方塊中,選取 [確定]

    安全連線的螢幕擷取畫面。

  9. 「遷移以使用中樞間」 對話方塊中選擇 「確定」

    注意

    更新路由表需要幾分鐘的時間。

  10. 確認兩個連線顯示 Azure 防火牆保護網際網路和私人流量。

    安全連線最終狀態的螢幕擷取畫面。

測試防火牆

若要測試防火牆規則,請使用防火牆公用 IP 位址與遠端桌面連線,這會將 NAT 設為 Srv-Workload-01。 在這裡使用瀏覽器來測試應用程式規則,並將遠端桌面連線至 Srv-Workload-02 以測試網路規則。

測試應用程式規則

現在,測試防火牆規則,以確認其運作符合預期。

  1. 將遠端桌面連線至防火牆公用 IP 位址,接著登入。

  2. 開啟 Internet Explorer 並瀏覽至 https://www.microsoft.com

  3. 在 Internet Explorer 安全性警示上,選取 [確認]>[關閉]

    您應該會看到 Microsoft 首頁。

  4. 瀏覽至 https://www.google.com

    防火牆應該會封鎖這個。

因此,現在您已確認防火牆應用程式規則正在運作:

  • 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。

測試網路規則

現在測試網路規則。

  • 從 Srv-Workload-01 開啟 Srv-Workload-02 私人 IP 位址的遠端桌面。

    遠端桌面應連線到 Srv-Workload-02。

因此,現在您已確認防火牆網路規則正在運作:

  • 您可以將遠端桌面連線到位於另一個虛擬網路中的伺服器。

清除資源

當您完成防火牆資源的測試時,請刪除 fw-manager-rg 資源群組,以刪除所有防火牆相關資源。

下一步