Självstudie: Skydda din virtuella hubb med Hjälp av Azure Firewall Manager

  • Artikel

Med Azure Firewall Manager kan du skapa skyddade virtuella hubbar för att skydda din molnnätverkstrafik som är avsedd för privata IP-adresser, Azure PaaS och Internet. Trafikroutning till brandväggen automatiseras, så du behöver inte skapa användardefinierade vägar (UDR).

Firewall Manager har också stöd för en arkitektur för virtuella hubbar. En jämförelse av arkitekturtyperna för säker virtuell hubb och hubb för virtuella nätverk finns i Vad är arkitekturalternativen för Azure Firewall Manager?

I den här självstudien lär du dig att:

  • Skapa det virtuella ekernätverket
  • Skapa en säker virtuell hubb
  • Ansluta de virtuella hubb- och ekernätverken
  • Dirigera trafik till din hubb
  • Distribuera servrarna
  • Skapa en brandväggsprincip och skydda din hubb
  • testa brandväggen.

Viktigt!

Proceduren i den här självstudien använder Azure Firewall Manager för att skapa en ny Azure Virtual WAN-skyddad hubb. Du kan använda Firewall Manager för att uppgradera en befintlig hubb, men du kan inte konfigurera Azure-tillgänglighetszoner för Azure Firewall. Det går också att konvertera en befintlig hubb till en säker hubb med hjälp av Azure-portalen, enligt beskrivningen i Konfigurera Azure Firewall i en Virtual WAN-hubb. Men precis som Azure Firewall Manager kan du inte konfigurera tillgänglighetszoner. Om du vill uppgradera en befintlig hubb och ange tillgänglighetszoner för Azure Firewall (rekommenderas) måste du följa uppgraderingsproceduren i Självstudie: Skydda din virtuella hubb med Azure PowerShell.

Diagram som visar det säkra molnnätverket.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa en hubb- och ekerarkitektur

Skapa först virtuella ekernätverk där du kan placera dina servrar.

Skapa två virtuella ekernätverk och undernät

De två virtuella nätverken har varsin arbetsbelastningsserver i sig och skyddas av brandväggen.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. Sök efter Virtuellt nätverk, välj det och välj Skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. För Resursgrupp väljer du Skapa ny och skriver fw-manager-rg som namn och väljer OK.
  5. För Virtuellt nätverksnamn skriver du Spoke-01.
  6. För Region väljer du USA, östra.
  7. Välj Nästa.
  8. På sidan Säkerhet väljer du Nästa.
  9. Under Lägg till IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.
  10. Under Undernät väljer du standard.
  11. Som Namn skriver du Workload-01-SN.
  12. För Startadress skriver du 10.0.1.0/24.
  13. Välj Spara.
  14. Välj Granska + skapa.
  15. Välj Skapa.

Upprepa den här proceduren för att skapa ett annat liknande virtuellt nätverk i resursgruppen fw-manager-rg :

Namn: Spoke-02
Adressutrymme: 10.1.0.0/16
Undernätsnamn: Workload-02-SN
Startadress: 10.1.1.0/24

Skapa den skyddade virtuella hubben

Skapa din skyddade virtuella hubb med Hjälp av Firewall Manager.

  1. På startsidan för Azure-portalen väljer du Alla tjänster.

  2. I sökrutan skriver du Firewall Manager och väljer Firewall Manager.

  3. På sidan Firewall Manager under Distributioner väljer du Virtuella hubbar.

  4. I Brandväggshanteraren | På sidan Virtuella hubbar väljer du Skapa ny skyddad virtuell hubb.

    Skärmbild av hur du skapar en ny säker virtuell hubb.

  5. Välj din prenumeration.

  6. För Resursgrupp väljer du fw-manager-rg.

  7. För Region väljer du USA, östra.

  8. För namnet på den skyddade virtuella hubben skriver du Hub-01.

  9. För Hubbadressutrymme skriver du 10.2.0.0/16.

  10. Välj Ny vWAN.

  11. För det nya virtuella WAN-namnet skriver du Vwan-01.

  12. För Typ väljer du Standard.

  13. Lämna kryssrutan Inkludera VPN-gateway för att aktivera betrodda säkerhetspartner avmarkerad.

    Skärmbild av hur du skapar en ny virtuell hubb med egenskaper.

  14. Välj Nästa: Azure Firewall.

  15. Acceptera standardinställningen Azure Firewall Enabled .

  16. För Azure Firewall-nivå väljer du Standard.

  17. Välj önskad kombination av tillgänglighetszoner.

Viktigt!

Ett virtuellt WAN är en samling hubbar och tjänster som görs tillgängliga i hubben. Du kan distribuera så många virtuella WAN som du behöver. I en Virtual WAN-hubb finns det flera tjänster som VPN, ExpressRoute och så vidare. Var och en av dessa tjänster distribueras automatiskt över tillgänglighetszoner utom Azure Firewall, om regionen stöder tillgänglighetszoner. Om du vill anpassa dig till Azure Virtual WAN-återhämtning bör du välja alla tillgängliga tillgänglighetszoner.

Skärmbild av hur du konfigurerar Azure Firewall-parametrar.

  1. Skriv 1 i textrutan Ange antal offentliga IP-adresser .

  2. Under Brandväggsprincip kontrollerar du att standardprincipen för neka är markerad. Du förfinar inställningarna senare i den här artikeln.

  3. Välj Nästa: Säkerhetspartnerprovider.

    Skärmbild av hur du konfigurerar parametrar för betrodda partner.

  4. Acceptera standardinställningen Betrodd säkerhetspartner inaktiverad och välj Nästa: Granska + skapa.

  5. Välj Skapa.

    Skärmbild av hur du skapar brandväggsinstansen.

Kommentar

Det kan ta upp till 30 minuter att skapa en säker virtuell hubb.

Du hittar brandväggens offentliga IP-adress när distributionen är klar.

  1. Öppna Brandväggshanteraren.
  2. Välj Virtuella hubbar.
  3. Välj hub-01.
  4. Välj AzureFirewall_Hub-01.
  5. Observera den offentliga IP-adress som ska användas senare.

Ansluta de virtuella hubb- och ekernätverken

Nu kan du peer-koppla de virtuella hubb- och ekernätverken.

  1. Välj resursgruppen fw-manager-rg och välj sedan det virtuella WAN:et Vwan-01.

  2. Under Anslutning väljer du Virtuella nätverksanslutningar.

    Skärmbild av att lägga till virtuella nätverksanslutningar.

  3. Välj Lägg till anslutning.

  4. Som Anslutningsnamn skriver du hub-spoke-01.

  5. För Hubbar väljer du Hub-01.

  6. För Resursgrupp väljer du fw-manager-rg.

  7. För Virtuellt nätverk väljer du Spoke-01.

  8. Välj Skapa.

  9. Upprepa för att ansluta det virtuella nätverket Spoke-02 : anslutningsnamn – hub-spoke-02.

Distribuera servrarna

  1. Välj Skapa en resurs på Azure-portalen.

  2. Välj Windows Server 2019 Datacenter i listan Populära .

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp fw-manager-rg
    Virtual machine name Srv-workload-01
    Region (USA) USA, östra)
    Administratörsanvändarnamn ange ett användarnamn
    Lösenord ange ett lösenord

  4. Under Regler för inkommande portar väljer du Ingen för Offentliga inkommande portar.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Välj Spoke-01 för det virtuella nätverket och välj Workload-01-SN för undernätet.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. Välj Nästa:Övervakning.

  11. Välj Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.

  12. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

Använd informationen i följande tabell för att konfigurera en annan virtuell dator med namnet Srv-Workload-02. Resten av konfigurationen är densamma som den virtuella datorn Srv-workload-01 .

Inställning Värde
Virtuellt nätverk Eker-02
Undernät Workload-02-SN

När servrarna har distribuerats väljer du en serverresurs och noterar den privata IP-adressen för varje server i Nätverk .

Skapa en brandväggsprincip och skydda din hubb

En brandväggsprincip definierar samlingar av regler för att dirigera trafik på en eller flera säkra virtuella hubbar. Du skapar din brandväggsprincip och skyddar sedan hubben.

  1. Från Firewall Manager väljer du Azure Firewall-principer.

    Skärmbild av att skapa en Azure Policy med det första steget.

  2. Välj Skapa Azure Firewall-princip.

    Skärmbild av hur du konfigurerar Azure Policy-inställningar i det första steget.

  3. För Resursgrupp väljer du fw-manager-rg.

  4. Under Principinformation för namntypen Princip-01 och för Region väljer du USA, östra.

  5. För Principnivå väljer du Standard.

  6. Välj Nästa: DNS-inställningar.

    Skärmbild av konfiguration av DNS-inställningar.

  7. Välj Nästa: TLS-inspektion.

    Skärmbild av konfiguration av TLS-inställningar.

  8. Välj Nästa: Regler.

  9. På fliken Regler väljer du Lägg till en regelsamling.

    Skärmbild av konfiguration av regelsamling.

  10. På sidan Lägg till en regelsamling skriver du App-RC-01 som Namn.

  11. Som Regelsamlingstyp väljer du Program.

  12. För Prioritet skriver du 100.

  13. Se till att åtgärden Regelsamling är Tillåt.

  14. Som regelnamn skriver du Allow-msft.

  15. Som Källtyp väljer du IP-adress.

  16. För Källa skriver du *.

  17. För Protokoll skriver du http,https.

  18. Kontrollera att måltypen är FQDN.

  19. För Mål skriver du *.microsoft.com.

  20. Markera Lägga till.

  21. Lägg till en DNAT-regel så att du kan ansluta ett fjärrskrivbord till den virtuella datorn Srv-Workload-01 .

    1. Välj Lägg till en regelsamling.
    2. För Namn skriver du dnat-rdp.
    3. Som Regelsamlingstyp väljer du DNAT.
    4. För Prioritet skriver du 100.
    5. Som regelnamn skriver du Allow-rdp.
    6. Som Källtyp väljer du IP-adress.
    7. För Källa skriver du *.
    8. I fältet Protokoll väljer du TCP.
    9. För Målportar skriver du 3389.
    10. Som Mål skriver du den offentliga IP-adress för brandväggen som du antecknade tidigare.
    11. För Översatt typ väljer du IP-adress.
    12. För Översatt adress skriver du den privata IP-adressen för Srv-Workload-01 som du antecknade tidigare.
    13. I fältet Översatt port skriver du 3389.
    14. Markera Lägga till.

  22. Lägg till en nätverksregel så att du kan ansluta ett fjärrskrivbord från Srv-Workload-01 till Srv-Workload-02.

    1. Välj Lägg till en regelsamling.
    2. Som Namn skriver du vnet-rdp.
    3. Som Regelsamlingstyp väljer du Nätverk.
    4. För Prioritet skriver du 100.
    5. Som Regelsamlingsåtgärd väljer du Tillåt.
    6. För regeln Namn skriver du Allow-vnet.
    7. Som Källtyp väljer du IP-adress.
    8. För Källa skriver du *.
    9. I fältet Protokoll väljer du TCP.
    10. För Målportar skriver du 3389.
    11. Som Måltyp väljer du IP-adress.
    12. Som Mål skriver du den privata IP-adressen Srv-Workload-02 som du antecknade tidigare.
    13. Markera Lägga till.

  23. Välj Nästa: IDPS.

  24. På sidan IDPS väljer du Nästa: Hotinformation

    Skärmbild av konfiguration av IDPS-inställningar.

  25. På sidan Hotinformation accepterar du standardvärden och väljer Granska och skapa:

    Skärmbild av konfiguration av inställningar för hotinformation.

  26. Granska för att bekräfta ditt val och välj sedan Skapa.

Associera princip

Associera brandväggsprincipen med hubben.

  1. Från Firewall Manager väljer du Azure Firewall-principer.

  2. Markera kryssrutan för Princip-01.

  3. Välj Hantera associationer, Associera hubbar.

    Skärmbild av konfiguration av principassociation.

  4. Välj hub-01.

  5. Markera Lägga till.

    Skärmbild av att lägga till princip- och hubbinställningar.

Dirigera trafik till din hubb

Nu måste du se till att nätverkstrafiken dirigeras genom brandväggen.

  1. I Brandväggshanteraren väljer du Virtuella hubbar.

  2. Välj Hub-01.

  3. Under Inställningar väljer du Säkerhetskonfiguration.

  4. Under Internettrafik väljer du Azure Firewall.

  5. Under Privat trafik väljer du Skicka via Azure Firewall.

    Kommentar

    Om du använder offentliga IP-adressintervall för privata nätverk i ett virtuellt nätverk eller en lokal gren måste du uttryckligen ange dessa IP-adressprefix. Välj avsnittet Prefix för privat trafik och lägg sedan till dem tillsammans med adressprefixen för RFC1918.

  6. Under Inter-hub väljer du Aktiverad för att aktivera avsiktsfunktionen för Virtual WAN-routning. Routnings avsikt är den mekanism genom vilken du kan konfigurera Virtual WAN för att dirigera förgrening till gren (lokalt till lokal) trafik via Azure Firewall som distribueras i Virtual WAN Hub. Mer information om förutsättningar och överväganden som är associerade med funktionen för routningssyfte finns i dokumentationen om routningssyfte.

  7. Välj Spara.

  8. Välj OK i dialogrutan Varning .

    Skärmbild av Säkra anslutningar.

  9. Välj OK i dialogrutan Migrera för att använda inter-hubb .

    Kommentar

    Det tar några minuter att uppdatera routningstabellerna.

  10. Kontrollera att de två anslutningarna visar att Azure Firewall skyddar både Internet och privat trafik.

    Skärmbild av slutstatus för säkra anslutningar.

testa brandväggen.

Om du vill testa brandväggsreglerna ansluter du ett fjärrskrivbord med brandväggens offentliga IP-adress, som är NATed till Srv-Workload-01. Därifrån använder du en webbläsare för att testa programregeln och ansluta ett fjärrskrivbord till Srv-Workload-02 för att testa nätverksregeln.

Testa programregeln

Testa nu brandväggsreglerna för att bekräfta att det fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress och logga in.

  2. Öppna Internet Explorer och navigera till https://www.microsoft.com.

  3. Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.

    Du bör se Microsofts startsida.

  4. Bläddra till https://www.google.com.

    Brandväggen bör blockera detta.

Nu har du alltså kontrollerat att brandväggens programregel fungerar:

  • Du kan bläddra till en tillåten FQDN, men inte till andra.

Testa nätverksregeln

Testa nu nätverksregeln.

  • Från Srv-Workload-01 öppnar du ett fjärrskrivbord till den privata IP-adressen Srv-Workload-02.

    Ett fjärrskrivbord ska ansluta till Srv-Workload-02.

Nu har du alltså kontrollerat att brandväggens nätverksregel fungerar:

  • Du kan ansluta ett fjärrskrivbord till en server som finns i ett annat virtuellt nätverk.

Rensa resurser

När du är klar med att testa brandväggsresurserna tar du bort resursgruppen fw-manager-rg för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Lär dig mer om betrodda säkerhetspartners