Sdílet prostřednictvím


Kurz: Zabezpečení virtuálního centra pomocí Azure Firewall Manageru

Pomocí Azure Firewall Manageru můžete vytvořit zabezpečená virtuální centra pro zabezpečení cloudového síťového provozu směřujícího na privátní IP adresy, Azure PaaS a internet. Směrování provozu do brány firewall je automatizované, takže není potřeba vytvářet trasy definované uživatelem.

Firewall Manager také podporuje architekturu virtuální sítě centra. Porovnání typů architektury zabezpečeného virtuálního centra a centrální virtuální sítě najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

V tomto kurzu se naučíte:

  • Vytvoření paprskové virtuální sítě
  • Vytvoření zabezpečeného virtuálního centra
  • Připojení hvězdicových virtuálních sítí
  • Směrování provozu do centra
  • Nasazení serverů
  • Vytvoření zásad brány firewall a zabezpečení centra
  • Testovat bránu firewall

Důležité

Postup v tomto kurzu používá Azure Firewall Manager k vytvoření nového zabezpečeného centra Azure Virtual WAN. Pomocí Správce brány firewall můžete upgradovat existující centrum, ale nemůžete nakonfigurovat Azure Zóny dostupnosti pro službu Azure Firewall. Pomocí webu Azure Portal je také možné převést existující centrum na zabezpečené centrum, jak je popsáno v tématu Konfigurace brány Azure Firewall v centru Virtual WAN. Stejně jako Azure Firewall Manager nemůžete nakonfigurovat Zóny dostupnosti. Pokud chcete upgradovat existující centrum a zadat Zóny dostupnosti pro Azure Firewall (doporučeno), musíte postupovat podle postupu upgradu v kurzu: Zabezpečení virtuálního centra pomocí Azure PowerShellu.

Diagram znázorňující zabezpečenou cloudovou síť

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření hvězdicové architektury

Nejprve vytvořte paprskové virtuální sítě, kde můžete umístit servery.

Vytvoření dvou paprskových virtuálních sítí a podsítí

Obě virtuální sítě mají v nich server úloh a jsou chráněné bránou firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte virtuální síť, vyberte ji a vyberte Vytvořit.

  3. Vytvořte virtuální síť s následujícím nastavením:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte Vytvořit nový a jako název zadejte fw-manager-rg a vyberte OK.
    Název virtuální sítě Paprsky 01
    Oblast USA – východ
  4. Vyberte Další a pak vyberte Další.

  5. Na kartě Sítě vytvořte podsíť s následujícím nastavením:

    Nastavení Hodnota
    Přidání adresního prostoru IPv4 10.0.0.0/16 (výchozí)
    Podsítě default
    Název Workload-01-SN
    Počáteční adresa 10.0.1.0/24
  6. Vyberte Uložit, Zkontrolovat a vytvořit a pak vyberte Vytvořit.

Opakováním tohoto postupu vytvořte další podobnou virtuální síť ve skupině prostředků fw-manager-rg :

Nastavení Hodnota
Name Paprsky 02
Adresní prostor 10.1.0.0/16
Název podsítě Úloha-02-SN
Počáteční adresa 10.1.1.0/24

Vytvoření zabezpečeného virtuálního centra

Vytvořte zabezpečené virtuální centrum pomocí Správce brány firewall.

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

  2. Do vyhledávacího pole zadejte Správce brány firewall a vyberte Správce brány firewall.

  3. Na stránce Správce brány firewall v části Nasazení vyberte Virtuální centra.

  4. Ve Správci brány firewall | Stránka Virtuální centra vyberte Vytvořit nové zabezpečené virtuální centrum.

  5. Na stránce Vytvořit nové zabezpečené virtuální centrum zadejte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte fw-manager-rg.
    Oblast USA – východ
    Název zabezpečeného virtuálního centra Hub-01
    Adresní prostor centra 10.2.0.0/16
  6. Vyberte Novou virtuální síť WAN.

    Nastavení Hodnota
    Nový název virtuální sítě WAN Vwan-01
    Typ Standard
    Zahrnutí brány VPN pro povolení důvěryhodných partnerů zabezpečení Políčko nechejte zaškrtnuté.
  7. Vyberte Další: Azure Firewall.

  8. Přijměte výchozí nastavení s povolenou bránou Azure Firewall.

  9. Pro úroveň služby Azure Firewall vyberte Standard.

  10. Vyberte požadovanou kombinaci Zóny dostupnosti.

    Důležité

    Virtual WAN je kolekce center a služeb zpřístupněných v rámci centra. Můžete nasadit tolik virtuálních WAN, kolik potřebujete. V centru Virtual WAN existuje několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti s výjimkou služby Azure Firewall, pokud oblast podporuje Zóny dostupnosti. Pokud chcete sladit odolnost sítě Azure Virtual WAN, měli byste vybrat všechny dostupné Zóny dostupnosti.

  11. Do textového pole Zadejte počet veřejných IP adres zadejte 1nebo přidružte stávající veřejnou IP adresu (Preview) k této bráně firewall.

  12. V části Zásady brány firewall se ujistěte, že je vybraná výchozí zásada zamítnutí. Nastavení si upřesníte později v tomto článku.

  13. Vyberte Další: Poskytovatel partnera zabezpečení.

  14. Přijměte výchozí nastavení Zakázáno důvěryhodného partnera zabezpečení a vyberte Další: Zkontrolovat a vytvořit.

  15. Vyberte Vytvořit.

Poznámka:

Vytvoření zabezpečeného virtuálního centra může trvat až 30 minut.

Po dokončení nasazení můžete najít veřejnou IP adresu brány firewall.

  1. Otevřete Správce brány firewall.
  2. Vyberte Virtuální centra.
  3. Vyberte hub-01.
  4. Vyberte AzureFirewall_Hub-01.
  5. Poznamenejte si veřejnou IP adresu, kterou chcete použít později.

Připojení hvězdicových virtuálních sítí

Teď můžete propojit virtuální sítě s hvězdicovou sítí.

  1. Vyberte skupinu prostředků fw-manager-rg a pak vyberte virtuální síť WAN Vwan-01.

  2. V části Připojení vyberte Připojení k virtuální síti.

    Nastavení Hodnota
    Název připojení hub-spoke-01
    Rozbočovače Hub-01
    Skupina prostředků fw-manager-rg
    Virtuální síť Paprsky 01
  3. Vyberte Vytvořit.

  4. Opakujte předchozí kroky pro připojení virtuální sítě Spoke-02 s následujícím nastavením:

    Nastavení Hodnota
    Název připojení hub-spoke-02
    Rozbočovače Hub-01
    Skupina prostředků fw-manager-rg
    Virtuální síť Paprsky 02

Nasazení serverů

  1. Na webu Azure Portal vyberte Vytvořit prostředek.

  2. V seznamu Oblíbené vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků fw-manager-rg
    Virtual machine name Srv-workload-01
    Oblast (USA) USA – východ
    Uživatelské jméno správce zadejte uživatelské jméno.
    Heslo zadejte heslo.
  4. V části Pravidla portů pro příchozí spojení vyberte pro veřejné příchozí porty možnost Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Vyberte Pro virtuální síť paprsky 01 a jako podsíť vyberte Workload-01-SN .

  8. Jako veřejnou IP adresu vyberte Žádné.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Vyberte Další:Monitorování.

  11. Výběrem možnosti Zakázat zakážete diagnostiku spouštění.

  12. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  13. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Informace v následující tabulce slouží ke konfiguraci jiného virtuálního počítače s názvem Srv-Workload-02. Zbytek konfigurace je stejný jako virtuální počítač Srv-workload-01 .

Nastavení Hodnota
Virtuální síť Paprsky 02
Podsíť Úloha-02-SN

Po nasazení serverů vyberte prostředek serveru a v části Sítě si poznamenejte privátní IP adresu pro každý server.

Vytvoření zásad brány firewall a zabezpečení centra

Zásady brány firewall definují kolekce pravidel pro směrování provozu na jednom nebo několika zabezpečených virtuálních centrech. Vytvoříte zásady brány firewall a pak centrum zabezpečíte.

  1. Ve Správci brány firewall vyberte zásady služby Azure Firewall.

  2. Vyberte Vytvořit zásadu služby Azure Firewall.

  3. V části Skupina prostředků vyberte fw-manager-rg.

  4. V části Podrobnosti o zásadách vyberte typ Název Policy-01 a v části Oblast vyberte USA – východ.

  5. Pro úroveň Zásad vyberte Standard.

  6. Vyberte Další: Nastavení DNS.

  7. Vyberte Další: Kontrola protokolu TLS.

  8. Vyberte Další: Pravidla.

  9. Na kartě Pravidla vyberte Přidat kolekci pravidel.

  10. Na stránce Přidat kolekci pravidel zadejte následující informace.

    Nastavení Hodnota
    Name App-RC-01
    Typ kolekce pravidel Aplikace
    Priorita 100
    Akce kolekce pravidel Povolit
    Název pravidla Allow-msft
    Source type IP adresa
    Zdroj *
    Protokol http, https
    Typ cíle FQDN
    Cíl *.microsoft.com
  11. Vyberte Přidat.

  12. Přidejte pravidlo DNAT, abyste mohli připojit vzdálenou plochu k virtuálnímu počítači Srv-Workload-01.

  13. Vyberte Přidat kolekci pravidel a zadejte následující informace.

    Nastavení Hodnota
    Name dnat-rdp
    Typ kolekce pravidel DNAT
    Priorita 100
    Název pravidla Allow-rdp
    Source type IP adresa
    Zdroj *
    Protokol TCP
    Cílové porty 3389
    Cíl Veřejná IP adresa brány firewall, kterou jste si poznamenali dříve.
    Přeložený typ IP Address
    Přeložená adresa Privátní IP adresa pro Srv-Workload-01 , kterou jste si poznamenali dříve.
    Přeložený port 3389
  14. Vyberte Přidat.

  15. Přidejte pravidlo sítě, abyste mohli připojit vzdálenou plochu ze Srv-Workload-01 k Srv-Workload-02.

  16. Vyberte Přidat kolekci pravidel a zadejte následující informace.

    Nastavení Hodnota
    Name vnet-rdp
    Typ kolekce pravidel Síť
    Priorita 100
    Akce kolekce pravidel Povolit
    Název pravidla Allow-vnet
    Source type IP adresa
    Zdroj *
    Protokol TCP
    Cílové porty 3389
    Destination Type IP Address
    Cíl Privátní IP adresa Srv-Workload-02 , kterou jste si poznamenali dříve.
  17. Vyberte Přidat a pak vyberte Další: IDPS.

  18. Na stránce IDPS vyberte Další: Analýza hrozeb.

  19. Na stránce Analýza hrozeb přijměte výchozí hodnoty a vyberte Zkontrolovat a vytvořit:

  20. Zkontrolujte výběr a pak vyberte Vytvořit.

Přidružení zásad

Přidružte zásady brány firewall k centru.

  1. Ve Správci brány firewall vyberte Zásady služby Azure Firewall.
  2. Zaškrtněte políčko zásady-01.
  3. Vyberte Spravovat přidružení, Přidružit centra.
  4. Vyberte hub-01.
  5. Vyberte Přidat.

Směrování provozu do centra

Teď musíte zajistit, aby se síťový provoz směroval přes bránu firewall.

  1. Ve Správci brány firewall vyberte virtuální centra.

  2. Vyberte Hub-01.

  3. V části Nastavení vyberte Konfigurace zabezpečení.

  4. V části Internetový provoz vyberte Azure Firewall.

  5. V části Privátní provoz vyberte Odeslat přes Azure Firewall.

    Poznámka:

    Pokud používáte rozsahy veřejných IP adres pro privátní sítě ve virtuální síti nebo místní větvi, musíte explicitně zadat tyto předpony IP adres. Vyberte část Předpony privátního provozu a přidejte je spolu s předponami RFC1918 adres.

  6. V části Inter-Hub vyberte Povoleno, pokud chcete povolit funkci záměru směrování virtual WAN. Záměrem směrování je mechanismus, prostřednictvím kterého můžete nakonfigurovat Virtual WAN tak, aby směrovaly provoz mezi pobočkami (místní do místního prostředí) přes Azure Firewall nasazenou v centru Virtual WAN. Další informace o požadavcích a aspektech souvisejících s funkcí záměru směrování najdete v dokumentaci ke záměru směrování.

  7. Zvolte Uložit.

  8. V dialogovém okně Upozornění vyberte OK.

  9. V dialogovém okně Migrace vyberte OK.

    Poznámka:

    Aktualizace směrovacích tabulek trvá několik minut.

  10. Ověřte, že tato dvě připojení ukazují, že Azure Firewall zabezpečuje internetový i privátní provoz.

Testovat bránu firewall

Pokud chcete otestovat pravidla brány firewall, připojte vzdálenou plochu pomocí veřejné IP adresy brány firewall, která je natovaná na Srv-Workload-01. Odtud pomocí prohlížeče otestujte pravidlo aplikace a připojte vzdálenou plochu k Srv-Workload-02 a otestujte síťové pravidlo.

Otestování pravidla aplikace

Teď otestujte pravidla brány firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se.

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.microsoft.com.

  3. V výstrahách zabezpečení aplikace Internet Explorer vyberte tlačítko OK>Zavřít.

    Měla by se zobrazit domovská stránka Microsoftu.

  4. Přejděte na https://www.google.com.

    Brána firewall by to měla blokovat.

Teď jste ověřili, že pravidlo aplikace brány firewall funguje:

  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.

Otestování pravidla sítě

Teď otestujte pravidlo sítě.

  • Z Srv-Workload-01 otevřete vzdálenou plochu s privátní IP adresou Srv-Workload-02.

    Vzdálená plocha by se měla připojit k Srv-Workload-02.

Teď jste ověřili, že pravidlo sítě brány firewall funguje:

  • Vzdálenou plochu můžete připojit k serveru umístěnému v jiné virtuální síti.

Vyčištění prostředků

Po dokončení testování prostředků brány firewall odstraňte skupinu prostředků fw-manager-rg a odstraňte všechny prostředky související s bránou firewall.

Další kroky