Delen via

Zelfstudie: Uw virtuele hub beveiligen met Azure Firewall Manager

  • Artikel

Met behulp van Azure Firewall Manager kunt u beveiligde virtuele hubs maken om het cloudnetwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. Verkeersroutering naar de firewall wordt geautomatiseerd, dus u hoeft geen door de gebruiker gedefinieerde routes (UDR's) te maken.

Firewall Manager biedt ook ondersteuning voor een virtuele-netwerkarchitectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.

In deze zelfstudie leert u het volgende:

  • Het virtuele spoke-netwerk maken
  • Een beveiligde virtuele hub maken
  • De hub- en virtuele spoke-netwerken verbinden
  • Verkeer doorsturen naar uw hub
  • De servers implementeren
  • Een firewallbeleid maken en uw hub beveiligen
  • De firewall testen

Belangrijk

De procedure in deze zelfstudie maakt gebruik van Azure Firewall Manager om een nieuwe met Azure Virtual WAN beveiligde hub te maken. U kunt Firewall Manager gebruiken om een bestaande hub te upgraden, maar u kunt Azure Beschikbaarheidszones niet configureren voor Azure Firewall. Het is ook mogelijk om een bestaande hub te converteren naar een beveiligde hub met behulp van Azure Portal, zoals beschreven in Azure Firewall configureren in een Virtual WAN-hub. Maar net als Azure Firewall Manager kunt u Beschikbaarheidszones niet configureren. Als u een bestaande hub wilt upgraden en Beschikbaarheidszones wilt opgeven voor Azure Firewall (aanbevolen), moet u de upgradeprocedure volgen in de zelfstudie: Uw virtuele hub beveiligen met behulp van Azure PowerShell.

Diagram met het beveiligde cloudnetwerk.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een hub-en-spoke-architectuur maken

Maak eerst virtuele spoke-netwerken waarin u uw servers kunt plaatsen.

Maak twee virtuele spoke-netwerken en subnetten

De twee virtuele netwerken hebben elk een workloadserver en worden beveiligd door de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Zoek naar virtueel netwerk, selecteer het en selecteer Maken.

  3. Maak een virtueel netwerk met de volgende instellingen:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer Nieuwe maken en typ fw-manager-rg voor de naam en selecteer OK
    Naam van virtueel netwerk Spoke-01
    Regio VS - oost

  4. Selecteer Volgende en vervolgens Volgende.

  5. Maak op het tabblad Netwerken een subnet met de volgende instellingen:

    Instelling Weergegeven als
    IPv4-adresruimte toevoegen 10.0.0.0/16 (standaard)
    Subnetten default
    Naam Workload-01-SN
    Beginadres 10.0.1.0/24

  6. Selecteer Opslaan, Beoordelen en maken en selecteer Vervolgens Maken.

Herhaal deze procedure om een ander vergelijkbaar virtueel netwerk te maken in de resourcegroep fw-manager-rg :

Instelling Weergegeven als
Naam Spoke-02
Adresruimte 10.1.0.0/16
Subnetnaam Workload-02-SN
Beginadres 10.1.1.0/24

De beveiligde virtuele hub maken

Maak uw beveiligde virtuele hub met behulp van Firewall Manager.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. In het zoekvak typt u Firewall Manager en selecteert u Firewall Manager.

  3. Selecteer virtuele hubs op de pagina Firewall Manager onder Implementaties.

  4. In Firewall Manager | Pagina Virtuele hubs , selecteer Nieuwe beveiligde virtuele hub maken.

  5. Voer op de pagina Nieuwe beveiligde virtuele hub maken de volgende gegevens in:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer fw-manager-rg
    Regio VS - oost
    Naam van beveiligde virtuele hub Hub-01
    Hubadresruimte 10.2.0.0/16

  6. Selecteer Nieuwe vWAN.

    Instelling Weergegeven als
    Nieuwe naam van virtuele WAN Vwan-01
    Type Standaard
    VPN-gateway opnemen om vertrouwde beveiligingspartners in te schakelen Laat het selectievakje uitgeschakeld.

  7. Selecteer Volgende: Azure Firewall.

  8. Accepteer de standaardinstelling voor Azure Firewallingeschakeld .

  9. Selecteer Standard voor de Azure Firewall-laag.

  10. Selecteer de gewenste combinatie van Beschikbaarheidszones.

    Belangrijk

    Een Virtual WAN is een verzameling hubs en services die beschikbaar worden gesteld in de hub. U kunt zoveel virtuele WAN's implementeren als u nodig hebt. In een Virtual WAN-hub zijn er meerdere services zoals VPN, ExpressRoute, enzovoort. Elk van deze services wordt automatisch geïmplementeerd in Beschikbaarheidszones behalve Azure Firewall, als de regio ondersteuning biedt voor Beschikbaarheidszones. Als u wilt uitlijnen op de tolerantie van Azure Virtual WAN, moet u alle beschikbare Beschikbaarheidszones selecteren.

  11. Typ 1 in het tekstvak Geef het aantal openbare IP-adressen op of koppel een bestaand openbaar IP-adres (preview) aan deze firewall.

  12. Zorg ervoor dat onder Firewallbeleid het standaardbeleid voor weigeren is geselecteerd. U verfijnt uw instellingen verderop in dit artikel.

  13. Selecteer Volgende: Provider van beveiligingspartner.

  14. Accepteer de standaardinstelling Vertrouwde beveiligingspartneruitgeschakeld en selecteer Volgende: Beoordelen en maken.

  15. Selecteer Maken.

Notitie

Het kan tot 30 minuten duren voordat een beveiligde virtuele hub wordt gemaakt.

U vindt het openbare IP-adres van de firewall nadat de implementatie is voltooid.

  1. Open Firewall Manager.
  2. Selecteer Virtuele hubs.
  3. Selecteer hub-01.
  4. Selecteer AzureFirewall_Hub-01.
  5. Noteer het openbare IP-adres om later te gebruiken.

De hub- en virtuele spoke-netwerken verbinden

U kunt nu de virtuele hub- en spoke-netwerken koppelen.

  1. Selecteer de resourcegroep fw-manager-rg en selecteer vervolgens het virtuele WAN van Vwan-01 .

  2. Onder Connectiviteit selecteert u Virtuele netwerkverbindingen.

    Instelling Weergegeven als
    Verbindingsnaam hub-spoke-01
    Hubs Hub-01
    Resourcegroep fw-manager-rg
    Virtueel netwerk Spoke-01

  3. Selecteer Maken.

  4. Herhaal de vorige stappen om het virtuele spoke-02-netwerk te verbinden met de volgende instellingen:

    Instelling Weergegeven als
    Verbindingsnaam hub-spoke-02
    Hubs Hub-01
    Resourcegroep fw-manager-rg
    Virtueel netwerk Spoke-02

De servers implementeren

  1. Selecteer Een resource maken in de Azure-portal.

  2. Selecteer Windows Server 2019 Datacenter in de lijst Populair .

  3. Voer deze waarden in voor de virtuele machine:

    Instelling Weergegeven als
    Resourcegroep fw-manager-rg
    Virtual machine name Srv-workload-01
    Regio (VS) VS - oost
    Beheerdersgebruikersnaam typ een gebruikersnaam
    Wachtwoord typ een wachtwoord

  4. Selecteer onder Regels voor binnenkomende poort, voor Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  7. Selecteer Spoke-01 voor het virtuele netwerk en selecteer Workload-01-SN voor het subnet.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Volgende:Bewaking.

  11. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen.

  12. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  13. Controleer de instellingen op de overzichtspagina en selecteer Maken.

Gebruik de informatie in de volgende tabel om een andere virtuele machine, Srv-Workload-02, te configureren. De rest van de configuratie is hetzelfde als voor de virtuele machine Srv-workload-01.

Instelling Weergegeven als
Virtueel netwerk Spoke-02
Subnet Workload-02-SN

Nadat de servers zijn geïmplementeerd, selecteert u een serverresource en in Netwerken noteert u het privé-IP-adres voor elke server.

Een firewallbeleid maken en uw hub beveiligen

Met een firewallbeleid worden verzamelingen regels gedefinieerd om verkeer om te leiden naar een of meer beveiligde virtuele hubs. U maakt uw firewallbeleid en beveiligt vervolgens uw hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.

  2. Selecteer Azure Firewall-beleid maken.

  3. Selecteer voor resourcegroep de optie fw-manager-rg.

  4. Onder Beleidsdetails typt u voor naambeleid-01 en voor Regio selecteert u VS - oost.

  5. Selecteer Standard voor de beleidslaag.

  6. Selecteer Volgende: DNS-instellingen.

  7. Selecteer Volgende: TLS-inspectie.

  8. Selecteer Volgende: Regels.

  9. Op het tabblad Regels selecteert u Een regelverzameling toevoegen.

  10. Voer op de pagina Een regelverzameling toevoegen de volgende gegevens in.

    Instelling Weergegeven als
    Naam App-RC-01
    Type regelverzameling Toepassing
    Prioriteit 100
    Actie Regelverzameling Toestaan
    Naam van regel Allow-msft
    Brontype IP-adres
    Bron *
    Protocol http,https
    Doeltype FQDN
    Bestemming *.microsoft.com

  11. Selecteer Toevoegen.

  12. Voeg een DNAT-regel toe zodat u een extern bureaublad kunt verbinden met de virtuele Srv-Workload-01-machine .

  13. Selecteer Een regelverzameling toevoegen en voer de volgende gegevens in.

    Instelling Weergegeven als
    Naam dnat-rdp
    Type regelverzameling DNAT
    Prioriteit 100
    Naam van regel Allow-rdp
    Brontype IP-adres
    Bron *
    Protocol TCP
    Doelpoorten 3389
    Bestemming Het openbare IP-adres van de firewall dat eerder is genoteerd.
    Vertaald type IP-adres
    Vertaald adres Het privé-IP-adres voor Srv-Workload-01 die eerder is genoteerd.
    Vertaalde poort 3389

  14. Selecteer Toevoegen.

  15. Voeg een netwerkregel toe zodat u een extern bureaublad van Srv-Workload-01 kunt verbinden met Srv-Workload-02.

  16. Selecteer Een regelverzameling toevoegen en voer de volgende gegevens in.

    Instelling Weergegeven als
    Naam vnet-rdp
    Type regelverzameling Netwerk
    Prioriteit 100
    Actie Regelverzameling Toestaan
    Naam van regel Allow-vnet
    Brontype IP-adres
    Bron *
    Protocol TCP
    Doelpoorten 3389
    Doeltype IP-adres
    Bestemming Het privé-IP-adres van Srv-Workload-02 dat u eerder hebt genoteerd.

  17. Selecteer Toevoegen en selecteer vervolgens Volgende: IDPS.

  18. Selecteer volgende op de pagina IDPS: Bedreigingsinformatie

  19. Accepteer de standaardinstellingen op de pagina Bedreigingsinformatie en selecteer Controleren en Maken:

  20. Controleer of u uw selectie wilt bevestigen en selecteer vervolgens Maken.

Beleid koppelen

Koppel het firewallbeleid aan de hub.

  1. Selecteer Azure Firewall-beleid in Firewall Manager.
  2. Schakel het selectievakje voor Policy-01 in.
  3. Selecteer Koppelingen beheren, Hubs koppelen.
  4. Selecteer hub-01.
  5. Selecteer Toevoegen.

Verkeer doorsturen naar uw hub

Nu moet u ervoor zorgen dat netwerkverkeer wordt omgeleid door uw firewall.

  1. Selecteer virtuele hubs in Firewall Manager.

  2. Selecteer Hub-01.

  3. Onder Instellingen selecteert u Beveiligingsconfiguratie.

  4. Onder Internetverkeer selecteert u Azure Firewall.

  5. Onder Privéverkeer selecteert u Verzenden via Azure Firewall.

    Notitie

    Als u openbare IP-adresbereiken gebruikt voor privénetwerken in een virtueel netwerk of een on-premises vertakking, moet u deze IP-adresvoorvoegsels expliciet opgeven. Selecteer de sectie Voorvoegsels voor privéverkeer en voeg deze vervolgens toe naast de RFC1918 adresvoorvoegsels.

  6. Selecteer onder Inter-hub ingeschakeld om de functie virtual WAN-routering in te schakelen. Routeringsintentie is het mechanisme waarmee u Virtual WAN kunt configureren om verkeer van vertakking naar vertakking (on-premises naar on-premises) te routeren via Azure Firewall die is geïmplementeerd in de Virtual WAN-hub. Zie de documentatie over routeringsintentie voor meer informatie over vereisten en overwegingen die zijn gekoppeld aan de functie voor routeringsintentie.

  7. Selecteer Opslaan.

  8. Selecteer OK in het dialoogvenster Waarschuwing .

  9. Selecteer OK in het dialoogvenster Migreren om interhub te gebruiken.

    Notitie

    Het duurt enkele minuten om de routetabellen bij te werken.

  10. Controleer of de twee verbindingen tonen dat Azure Firewall zowel internet- als privéverkeer beveiligt.

De firewall testen

Als u de firewallregels wilt testen, verbindt u een extern bureaublad met behulp van het openbare IP-adres van de firewall. Dit adres is NATed naar Srv-Workload-01. Gebruik daar een browser om de toepassingsregel te testen en een extern bureaublad te verbinden met Srv-Workload-02 om de netwerkregel te testen.

De toepassingsregel testen

Test nu de firewallregels om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall en meld u aan.

  2. Open Internet Explorer en blader naar https://www.microsoft.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    Als het goed is, ziet u nu de startpagina van Microsoft.

  4. Blader naar https://www.google.com.

    De firewall moet dit blokkeren.

U hebt nu gecontroleerd of de firewalltoepassingsregel werkt:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.

De netwerkregel testen

Test nu de netwerkregel.

  • Open vanuit Srv-Workload-01 een extern bureaublad naar het privé-IP-adres van Srv-Workload-02.

    Een extern bureaublad moet verbinding maken met SRV-Workload-02.

U hebt nu gecontroleerd of de firewallnetwerkregel werkt:

  • U kunt een extern bureaublad verbinden met een server die zich in een ander virtueel netwerk bevindt.

Resources opschonen

Wanneer u klaar bent met het testen van uw firewallresources, verwijdert u de resourcegroep fw-manager-rg om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Meer informatie over vertrouwde beveiligingspartners