Kurz: Zabezpečení virtuálního centra pomocí Azure Firewall Manageru
Pomocí Azure Firewall Manageru můžete vytvořit zabezpečená virtuální centra pro zabezpečení cloudového síťového provozu směřujícího na privátní IP adresy, Azure PaaS a internet. Směrování provozu do brány firewall je automatizované, takže není potřeba vytvářet trasy definované uživatelem.
Firewall Manager také podporuje architekturu virtuální sítě centra. Porovnání typů architektury zabezpečeného virtuálního centra a centrální virtuální sítě najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?
V tomto kurzu se naučíte:
- Vytvoření paprskové virtuální sítě
- Vytvoření zabezpečeného virtuálního centra
- Připojení hvězdicových virtuálních sítí
- Směrování provozu do centra
- Nasazení serverů
- Vytvoření zásad brány firewall a zabezpečení centra
- Testovat bránu firewall
Důležité
Postup v tomto kurzu používá Azure Firewall Manager k vytvoření nového zabezpečeného centra Azure Virtual WAN. Pomocí Správce brány firewall můžete upgradovat existující centrum, ale nemůžete nakonfigurovat Azure Zóny dostupnosti pro službu Azure Firewall. Pomocí webu Azure Portal je také možné převést existující centrum na zabezpečené centrum, jak je popsáno v tématu Konfigurace brány Azure Firewall v centru Virtual WAN. Stejně jako Azure Firewall Manager nemůžete nakonfigurovat Zóny dostupnosti. Pokud chcete upgradovat existující centrum a zadat Zóny dostupnosti pro Azure Firewall (doporučeno), musíte postupovat podle postupu upgradu v kurzu: Zabezpečení virtuálního centra pomocí Azure PowerShellu.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Vytvoření hvězdicové architektury
Nejprve vytvořte paprskové virtuální sítě, kde můžete umístit servery.
Vytvoření dvou paprskových virtuálních sítí a podsítí
Obě virtuální sítě mají v nich server úloh a jsou chráněné bránou firewall.
Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
Vyhledejte virtuální síť, vyberte ji a vyberte Vytvořit.
Vytvořte virtuální síť s následujícím nastavením:
Nastavení Hodnota Předplatné Vyberte své předplatné. Skupina prostředků Vyberte Vytvořit nový a jako název zadejte fw-manager-rg a vyberte OK. Název virtuální sítě Paprsky 01 Oblast USA – východ Vyberte Další a pak vyberte Další.
Na kartě Sítě vytvořte podsíť s následujícím nastavením:
Nastavení Hodnota Přidání adresního prostoru IPv4 10.0.0.0/16 (výchozí) Podsítě default Název Workload-01-SN Počáteční adresa 10.0.1.0/24 Vyberte Uložit, Zkontrolovat a vytvořit a pak vyberte Vytvořit.
Opakováním tohoto postupu vytvořte další podobnou virtuální síť ve skupině prostředků fw-manager-rg :
| Nastavení | Hodnota |
|---|---|
| Name | Paprsky 02 |
| Adresní prostor | 10.1.0.0/16 |
| Název podsítě | Úloha-02-SN |
| Počáteční adresa | 10.1.1.0/24 |
Vytvoření zabezpečeného virtuálního centra
Vytvořte zabezpečené virtuální centrum pomocí Správce brány firewall.
Na domovské stránce webu Azure Portal vyberte Všechny služby.
Do vyhledávacího pole zadejte Správce brány firewall a vyberte Správce brány firewall.
Na stránce Správce brány firewall v části Nasazení vyberte Virtuální centra.
Ve Správci brány firewall | Stránka Virtuální centra vyberte Vytvořit nové zabezpečené virtuální centrum.
Na stránce Vytvořit nové zabezpečené virtuální centrum zadejte následující informace:
Nastavení Hodnota Předplatné Vyberte své předplatné. Skupina prostředků Vyberte fw-manager-rg. Oblast USA – východ Název zabezpečeného virtuálního centra Hub-01 Adresní prostor centra 10.2.0.0/16 Vyberte Novou virtuální síť WAN.
Nastavení Hodnota Nový název virtuální sítě WAN Vwan-01 Typ Standard Zahrnutí brány VPN pro povolení důvěryhodných partnerů zabezpečení Políčko nechejte zaškrtnuté. Vyberte Další: Azure Firewall.
Přijměte výchozí nastavení s povolenou bránou Azure Firewall.
Pro úroveň služby Azure Firewall vyberte Standard.
Vyberte požadovanou kombinaci Zóny dostupnosti.
Důležité
Virtual WAN je kolekce center a služeb zpřístupněných v rámci centra. Můžete nasadit tolik virtuálních WAN, kolik potřebujete. V centru Virtual WAN existuje několik služeb, jako je VPN, ExpressRoute atd. Každá z těchto služeb se automaticky nasadí napříč Zóny dostupnosti s výjimkou služby Azure Firewall, pokud oblast podporuje Zóny dostupnosti. Pokud chcete sladit odolnost sítě Azure Virtual WAN, měli byste vybrat všechny dostupné Zóny dostupnosti.
Do textového pole Zadejte počet veřejných IP adres zadejte 1nebo přidružte stávající veřejnou IP adresu (Preview) k této bráně firewall.
V části Zásady brány firewall se ujistěte, že je vybraná výchozí zásada zamítnutí. Nastavení si upřesníte později v tomto článku.
Vyberte Další: Poskytovatel partnera zabezpečení.
Přijměte výchozí nastavení Zakázáno důvěryhodného partnera zabezpečení a vyberte Další: Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Poznámka:
Vytvoření zabezpečeného virtuálního centra může trvat až 30 minut.
Po dokončení nasazení můžete najít veřejnou IP adresu brány firewall.
- Otevřete Správce brány firewall.
- Vyberte Virtuální centra.
- Vyberte hub-01.
- Vyberte AzureFirewall_Hub-01.
- Poznamenejte si veřejnou IP adresu, kterou chcete použít později.
Připojení hvězdicových virtuálních sítí
Teď můžete propojit virtuální sítě s hvězdicovou sítí.
Vyberte skupinu prostředků fw-manager-rg a pak vyberte virtuální síť WAN Vwan-01.
V části Připojení vyberte Připojení k virtuální síti.
Nastavení Hodnota Název připojení hub-spoke-01 Rozbočovače Hub-01 Skupina prostředků fw-manager-rg Virtuální síť Paprsky 01 Vyberte Vytvořit.
Opakujte předchozí kroky pro připojení virtuální sítě Spoke-02 s následujícím nastavením:
Nastavení Hodnota Název připojení hub-spoke-02 Rozbočovače Hub-01 Skupina prostředků fw-manager-rg Virtuální síť Paprsky 02
Nasazení serverů
Na webu Azure Portal vyberte Vytvořit prostředek.
V seznamu Oblíbené vyberte Windows Server 2019 Datacenter.
Zadejte pro virtuální počítač tyto hodnoty:
Nastavení Hodnota Skupina prostředků fw-manager-rg Virtual machine name Srv-workload-01 Oblast (USA) USA – východ Uživatelské jméno správce zadejte uživatelské jméno. Heslo zadejte heslo. V části Pravidla portů pro příchozí spojení vyberte pro veřejné příchozí porty možnost Žádné.
Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.
Přijměte výchozí hodnoty disku a vyberte Další: Sítě.
Vyberte Pro virtuální síť paprsky 01 a jako podsíť vyberte Workload-01-SN .
Jako veřejnou IP adresu vyberte Žádné.
Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.
Vyberte Další:Monitorování.
Výběrem možnosti Zakázat zakážete diagnostiku spouštění.
Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.
Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.
Informace v následující tabulce slouží ke konfiguraci jiného virtuálního počítače s názvem Srv-Workload-02. Zbytek konfigurace je stejný jako virtuální počítač Srv-workload-01 .
| Nastavení | Hodnota |
|---|---|
| Virtuální síť | Paprsky 02 |
| Podsíť | Úloha-02-SN |
Po nasazení serverů vyberte prostředek serveru a v části Sítě si poznamenejte privátní IP adresu pro každý server.
Vytvoření zásad brány firewall a zabezpečení centra
Zásady brány firewall definují kolekce pravidel pro směrování provozu na jednom nebo několika zabezpečených virtuálních centrech. Vytvoříte zásady brány firewall a pak centrum zabezpečíte.
Ve Správci brány firewall vyberte zásady služby Azure Firewall.
Vyberte Vytvořit zásadu služby Azure Firewall.
V části Skupina prostředků vyberte fw-manager-rg.
V části Podrobnosti o zásadách vyberte typ Název Policy-01 a v části Oblast vyberte USA – východ.
Pro úroveň Zásad vyberte Standard.
Vyberte Další: Nastavení DNS.
Vyberte Další: Kontrola protokolu TLS.
Vyberte Další: Pravidla.
Na kartě Pravidla vyberte Přidat kolekci pravidel.
Na stránce Přidat kolekci pravidel zadejte následující informace.
Nastavení Hodnota Name App-RC-01 Typ kolekce pravidel Aplikace Priorita 100 Akce kolekce pravidel Povolit Název pravidla Allow-msft Source type IP adresa Zdroj * Protokol http, https Typ cíle FQDN Cíl *.microsoft.com Vyberte Přidat.
Přidejte pravidlo DNAT, abyste mohli připojit vzdálenou plochu k virtuálnímu počítači Srv-Workload-01.
Vyberte Přidat kolekci pravidel a zadejte následující informace.
Nastavení Hodnota Name dnat-rdp Typ kolekce pravidel DNAT Priorita 100 Název pravidla Allow-rdp Source type IP adresa Zdroj * Protokol TCP Cílové porty 3389 Cíl Veřejná IP adresa brány firewall, kterou jste si poznamenali dříve. Přeložený typ IP Address Přeložená adresa Privátní IP adresa pro Srv-Workload-01 , kterou jste si poznamenali dříve. Přeložený port 3389 Vyberte Přidat.
Přidejte pravidlo sítě, abyste mohli připojit vzdálenou plochu ze Srv-Workload-01 k Srv-Workload-02.
Vyberte Přidat kolekci pravidel a zadejte následující informace.
Nastavení Hodnota Name vnet-rdp Typ kolekce pravidel Síť Priorita 100 Akce kolekce pravidel Povolit Název pravidla Allow-vnet Source type IP adresa Zdroj * Protokol TCP Cílové porty 3389 Destination Type IP Address Cíl Privátní IP adresa Srv-Workload-02 , kterou jste si poznamenali dříve. Vyberte Přidat a pak vyberte Další: IDPS.
Na stránce IDPS vyberte Další: Analýza hrozeb.
Na stránce Analýza hrozeb přijměte výchozí hodnoty a vyberte Zkontrolovat a vytvořit:
Zkontrolujte výběr a pak vyberte Vytvořit.
Přidružení zásad
Přidružte zásady brány firewall k centru.
- Ve Správci brány firewall vyberte Zásady služby Azure Firewall.
- Zaškrtněte políčko zásady-01.
- Vyberte Spravovat přidružení, Přidružit centra.
- Vyberte hub-01.
- Vyberte Přidat.
Směrování provozu do centra
Teď musíte zajistit, aby se síťový provoz směroval přes bránu firewall.
Ve Správci brány firewall vyberte virtuální centra.
Vyberte Hub-01.
V části Nastavení vyberte Konfigurace zabezpečení.
V části Internetový provoz vyberte Azure Firewall.
V části Privátní provoz vyberte Odeslat přes Azure Firewall.
Poznámka:
Pokud používáte rozsahy veřejných IP adres pro privátní sítě ve virtuální síti nebo místní větvi, musíte explicitně zadat tyto předpony IP adres. Vyberte část Předpony privátního provozu a přidejte je spolu s předponami RFC1918 adres.
V části Inter-Hub vyberte Povoleno, pokud chcete povolit funkci záměru směrování virtual WAN. Záměrem směrování je mechanismus, prostřednictvím kterého můžete nakonfigurovat Virtual WAN tak, aby směrovaly provoz mezi pobočkami (místní do místního prostředí) přes Azure Firewall nasazenou v centru Virtual WAN. Další informace o požadavcích a aspektech souvisejících s funkcí záměru směrování najdete v dokumentaci ke záměru směrování.
Zvolte Uložit.
V dialogovém okně Upozornění vyberte OK.
V dialogovém okně Migrace vyberte OK.
Poznámka:
Aktualizace směrovacích tabulek trvá několik minut.
Ověřte, že tato dvě připojení ukazují, že Azure Firewall zabezpečuje internetový i privátní provoz.
Testovat bránu firewall
Pokud chcete otestovat pravidla brány firewall, připojte vzdálenou plochu pomocí veřejné IP adresy brány firewall, která je natovaná na Srv-Workload-01. Odtud pomocí prohlížeče otestujte pravidlo aplikace a připojte vzdálenou plochu k Srv-Workload-02 a otestujte síťové pravidlo.
Otestování pravidla aplikace
Teď otestujte pravidla brány firewall a ověřte, že funguje podle očekávání.
Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se.
Otevřete prohlížeč Internet Explorer a přejděte na adresu
https://www.microsoft.com.V výstrahách zabezpečení aplikace Internet Explorer vyberte tlačítko OK>Zavřít.
Měla by se zobrazit domovská stránka Microsoftu.
Přejděte na
https://www.google.com.Brána firewall by to měla blokovat.
Teď jste ověřili, že pravidlo aplikace brány firewall funguje:
- Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
Otestování pravidla sítě
Teď otestujte pravidlo sítě.
Z Srv-Workload-01 otevřete vzdálenou plochu s privátní IP adresou Srv-Workload-02.
Vzdálená plocha by se měla připojit k Srv-Workload-02.
Teď jste ověřili, že pravidlo sítě brány firewall funguje:
- Vzdálenou plochu můžete připojit k serveru umístěnému v jiné virtuální síti.
Vyčištění prostředků
Po dokončení testování prostředků brány firewall odstraňte skupinu prostředků fw-manager-rg a odstraňte všechny prostředky související s bránou firewall.