教學課程:使用 Azure 防火牆管理員來保護您的虛擬中樞
您可以使用 Azure 防火牆管理員建立安全虛擬中樞,以保護以私人 IP 位址、Azure PaaS 與網際網路為目標的雲端網路流量。 路由傳送到防火牆的流量會經過自動化,因此不需要建立使用者定義的路由 (UDR)。
防火牆管理員也支援中樞虛擬網路架構。 如需安全虛擬中樞和中樞虛擬網路架構類型的比較,請參閱什麼是 Azure 防火牆管理員架構選項?
在本教學課程中,您會了解如何:
- 建立輪輻虛擬網路
- 建立安全虛擬中樞
- 連線中樞與輪輻虛擬網路
- 將流量路由傳送到您的中樞
- 部署伺服器
- 建立防火牆原則並保護您的中樞
- 測試防火牆
重要
本教學課程中的程式會使用 Azure 防火牆管理員,建立新的 Azure 虛擬 WAN 安全中樞。 您可以使用防火牆管理員升級現有中樞,但無法為 Azure 防火牆設定 Azure 可用性區域。 您也可以使用 Azure 入口網站將現有的中樞轉換成安全中樞,如在虛擬 WAN 中樞中設定 Azure 防火牆中所述。 但就像 Azure 防火牆管理員一樣,您無法設定可用性區域。 若要升級現有中樞,並針對 Azure 防火牆 (建議) 指定可用性區域,您必須遵循教學課程:使用 Azure PowerShell 保護虛擬中樞的升級程序。
如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
首先,建立可放置伺服器的輪輻虛擬網路。
兩個虛擬網路都各自有工作負載伺服器,而且受到防火牆保護。
- 從 Azure 入口網站首頁,選取 [建立資源]。
- 搜尋 虛擬網路,選取它,然後選取 [建立]。
- 在 [訂閱] 的部分,選取您的訂閱。
- 針對 [資源群組],選取 [新建],並輸入 fw-manager-rg 做為名稱,然後選取 [確定]。
- 針對 [虛擬網路名稱],輸入 Spoke-01。
- 在 [區域] 中,選取 [美國東部]。
- 選取 [下一步]。
- 在 [安全性] 頁面上,選取 [下一步]。
- 在 [IPv4 位址空間] 底下,請接受預設的 10.0.0.0/16。
- 在 [子網路] 下,選取 [預設]。
- 在 [名稱] 中,鍵入 Workload-01-SN。
- 在 [起始位址] 中,輸入 10.0.1.0/24。
- 選取 [儲存]。
- 選取 [檢閱 + 建立]。
- 選取 建立。
重複此程序,在 fw-manager-rg 資源群組中建立另一部相似的虛擬機器:
名稱:Spoke-02
位址空間:10.1.0.0/16
子網路名稱:Workload-02-SN
起始位址: 10.1.1.0/24
使用防火牆管理員建立安全虛擬中樞。
從 Azure 入口網站首頁,選取 [所有服務]。
在 [搜尋] 方塊中,輸入防火牆管理員,然後選取 [防火牆管理員]。
在 [部署] 底下的 [防火牆管理員] 頁面上,選取 [虛擬中樞]。
在 [防火牆管理員 | 虛擬中樞] 頁面上,選取 [建立新的安全虛擬中樞]。
選取您的 [訂用帳戶]。
針對 [資源群組],選取 [fw-manager-rg]。
在 [區域] 中,選取 [美國東部]。
針對 [安全虛擬中樞名稱],輸入 Hub-01。
在 [中樞位址空間] 中,輸入 10.2.0.0/16。
選取 [新增 vWAN]。
針對新的虛擬 WAN 名稱,輸入 Vwan-01。
針對 [類型] - 選取 [標準]。
將 [包含 VPN 閘道以啟用信任的安全性合作夥伴] 核取方塊維持為未選取狀態。
選取 [下一步:Azure 防火牆]。
接受預設的 [已啟用 Azure 防火牆] 設定。
針對 [Azure 防火牆層],選取 [標準]。
選取所需的可用性區域組合。
重要
虛擬 WAN 是中樞內所提供中樞和服務集合。 您可以部署所需的任意虛擬 WAN 數目。 在虛擬 WAN 中樞中有多個服務,例如 VPN、ExpressRoute 等。 這些服務都會自動部署在可用性區域中 (除了 Azure 防火牆),前提是該區域支援可用性區域。 若要配合 Azure 虛擬 WAN 的復原能力,建議選取所有可用的可用性區域。
在 [指定公用 IP 位址的數字] 文字框中輸入 1。
在 [防火牆原則] 底下, 確定已選取 [預設拒絕原則]。 您將在本文稍後完善您的設定。
選取 [下一步: 安全性合作夥伴提供者]。
接受預設 [已停用信任的安全性合作夥伴] 設定,然後選取 [下一步: 檢閱 + 建立]。
選取 建立。
注意
建立安全虛擬中樞可能需要 30 分鐘。
部署完成後,您會發現防火牆公用 IP 位址。
- 開啟 [防火牆管理員]。
- 選取 [虛擬中樞]。
- 選取 [hub-01]。
- 選取 AzureFirewall_Hub-01。
- 記下公用 IP 位址以便稍後使用。
現在您可以將中樞與輪輻虛擬網路對等互連。
選取 [fw-manager-rg] 資源群組,然後選取 [Vwan-01] 虛擬 WAN。
在 [連線] 下,選取 [虛擬網路連線]。
請選取新增連線。
針對 [連線名稱],輸入 hub-spoke-01。
針對 [中樞],選取 Hub-01。
針對 [資源群組],選取 [fw-manager-rg]。
針對 [虛擬網路],選取 Spoke-01。
選取 建立。
重複以連線 Spoke-02 虛擬網路:連線名稱 - hub-spoke-02。
在 Azure 入口網站中,選取 [建立資源]。
選取 [熱門] 清單中的 [Windows Server 2019 Datacenter]。
依虛擬機器輸入這些值:
設定 值 資源群組 fw-manager-rg 虛擬機器名稱 Srv-workload-01 區域 (美國) 美國東部 系統管理員使用者名稱 輸入使用者名稱 密碼 輸入密碼 在 [輸入連接埠規則] 下,針對 [公用輸入連接埠] 選取 [無]。
接受其他預設值,然後選取 [下一步:磁碟]。
接受磁碟預設值,然後選取 [下一步:網路]。
針對虛擬網路選取 Spoke-01,然後針對子網路選取 Workload-01-SN。
在 [公用 IP] 中,選取 [無]。
接受其他預設值,然後選取 [下一步:管理]。
選取 [下一步:監視]。
選取 [停用],停用開機診斷。 接受其他預設值,然後選取 [檢閱 + 建立]。
檢閱摘要頁面上的設定,然後選取 [建立]。
使用下表中的資訊來設定另一個名為 Srv-Workload-02 的虛擬機器。 其餘的組態與 Srv-workload-01 虛擬機器相同。
設定 | 值 |
---|---|
虛擬網路 | Spoke-02 |
子網路 | Workload-02-SN |
部署伺服器後,請選取伺服器資源,並記下網路中每部伺服器的私人 IP 位址。
防火牆原則會定義規則集合,以便在一或多個安全虛擬中樞上引導流量。 您建立防火牆原則,然後保護您的中樞。
從 [防火牆管理員] 中,選取 [Azure 防火牆原則]。
選取 [建立 Azure 防火牆原則]。
針對 [資源群組],選取 [fw-manager-rg]。
在 [原則詳細資料] 下,針對 [名稱] 輸入 Policy-01,並針對 [區域] 選取 [美國東部]。
針對 [原則層],選取 [標準]。
選取 [下一步: DNS 設定]。
選取 [下一步: TLS 檢查]。
選取 [下一步: 規則]。
在 [規則] 索引標籤上,選取 [新增規則集合]。
在 [新增規則集合] 頁面上,為 [名稱] 輸入 App-RC-01。
針對 [規則集合類型],選取 [應用程式]。
在 [優先順序] 中,輸入 100。
確定 [規則集合動作] 為 [允許]。
針對規則的 [名稱],輸入 Allow-msft。
針對 [來源類型],選取 [IP 位址]。
針對 [來源],輸入 *。
針對 [通訊協定],輸入 http,https。
確定目的地類型為 FQDN。
針對 [目的地],輸入 *.microsoft.com。
選取 [新增]。
新增 DNAT 規則,以便將遠端桌面連線至 Srv-Workload-01 虛擬機器。
- 選取 [新增規則集合]。
- 針對 [名稱],輸入 dnat-rdp。
- 針對 [規則集合類型],選取 [DNAT]。
- 在 [優先順序] 中,輸入 100。
- 針對規則的 [名稱],輸入 Allow-rdp。
- 針對 [來源類型],選取 [IP 位址]。
- 針對 [來源],輸入 *。
- 在 [通訊協定] 中,選取 [TCP]。
- 在 [目的地連接埠] 中,輸入 3389。
- 在 [目的地] 中,輸入先前記下的防火牆公用 IP 位址。
- 針對 [翻譯類型],選取 [IP 位址]。
- 在 [轉譯的位址] 中,輸入先前記下的 Srv-Workload-01 私人 IP 位址。
- 在 [轉譯的連接埠] 中,輸入 3389。
- 選取 [新增]。
新增網路規則,以便將遠端桌面從 Srv-Workload-01 連線到 Srv-Workload-02。
- 選取 [新增規則集合]。
- 在 [名稱] 中,輸入 vnet-rdp。
- 針對 [規則集合類型],選取 [網路]。
- 在 [優先順序] 中,輸入 100。
- [規則集合動作] 請選取 [允許]。
- 針對規則的 [名稱],輸入 Allow-vnet。
- 針對 [來源類型],選取 [IP 位址]。
- 針對 [來源],輸入 *。
- 在 [通訊協定] 中,選取 [TCP]。
- 在 [目的地連接埠] 中,輸入 3389。
- 針對 [目的地類型],選取 [IP 位址]。
- 在 [目的地] 中,輸入先前記下的 Srv-Workload-02 私人 IP 位址。
- 選取 [新增]。
選取 [下一步:IDPS]。
在 [IDPS] 上,按一下 [下一步:威脅情報]
在 [威脅情報] 頁面中,接受預設值並選取 [檢閱並建立]:
檢閱以確認您的選取,然後選取 [建立]。
建立防火牆原則與中樞的關聯。
現在您必須確定網路流量會路由傳送到防火牆。
從 [防火牆管理員] 中,選取 [虛擬中樞]。
選取 Hub-01。
在 [設定] 下方,選取 [安全性設定]。
在 [網際網路流量] 底下,選取 [Azure 防火牆]。
在 [私人流量] 下,選取 [透過 Azure 防火牆傳送]。
注意
如果您使用虛擬網路或內部部署分支中私人網路的公用 IP 位址範圍,則必須明確指定這些 IP 位址前置詞。 選取 [私人流量前置詞] 區段,然後將其與 RFC1918 地址前置詞一起新增。
在 [中樞間] 下,選取 [已啟用],以啟用虛擬 WAN 路由意圖功能。 路由意圖是一種機制,您可以透過部署在虛擬 WAN 中樞的 Azure 防火牆,設定虛擬 WAN 以路由分支對分支 (內部部署對內部部署) 流量。 如需與路由意圖功能相關聯的必要條件和考慮相關的詳細資訊,請參閱路由意圖文件。
選取 [儲存]。
在 [警告] 對話方塊中,選取 [確定]。
在 「遷移以使用中樞間」 對話方塊中選擇 「確定」。
注意
更新路由表需要幾分鐘的時間。
確認兩個連線顯示 Azure 防火牆保護網際網路和私人流量。
若要測試防火牆規則,請使用防火牆公用 IP 位址與遠端桌面連線,這會將 NAT 設為 Srv-Workload-01。 在這裡使用瀏覽器來測試應用程式規則,並將遠端桌面連線至 Srv-Workload-02 以測試網路規則。
現在,測試防火牆規則,以確認其運作符合預期。
將遠端桌面連線至防火牆公用 IP 位址,接著登入。
開啟 Internet Explorer 並瀏覽至
https://www.microsoft.com
。在 Internet Explorer 安全性警示上,選取 [確認]>[關閉]。
您應該會看到 Microsoft 首頁。
瀏覽至
https://www.google.com
。防火牆應該會封鎖這個。
因此,現在您已確認防火牆應用程式規則正在運作:
- 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。
現在測試網路規則。
從 Srv-Workload-01 開啟 Srv-Workload-02 私人 IP 位址的遠端桌面。
遠端桌面應連線到 Srv-Workload-02。
因此,現在您已確認防火牆網路規則正在運作:
- 您可以將遠端桌面連線到位於另一個虛擬網路中的伺服器。
當您完成防火牆資源的測試時,請刪除 fw-manager-rg 資源群組,以刪除所有防火牆相關資源。