Delen via

Zelfstudie: Een beveiligd hub- en spoke-netwerk maken

  • Artikel

In deze zelfstudie maakt u een hub- en spoke-netwerktopologie met behulp van Azure Virtual Network Manager. Vervolgens implementeert u een virtuele netwerkgateway in het virtuele hubnetwerk om resources in de virtuele spoke-netwerken te laten communiceren met externe netwerken met behulp van VPN. U configureert ook een beveiligingsconfiguratie om uitgaand netwerkverkeer naar internet te blokkeren op poort 80 en 443. Ten slotte controleert u of configuraties correct zijn toegepast door de instellingen van het virtuele netwerk en de virtuele machine te bekijken.

In deze zelfstudie leert u het volgende:

  • Meerdere virtuele netwerken maken.
  • Implementeer een virtuele netwerkgateway.
  • Maak een sternetwerktopologie.
  • Maak een beveiligingsconfiguratie die verkeer blokkeert op poort 80 en 443.
  • Controleer of configuraties zijn toegepast.

Diagram van onderdelen van de beveiligde hub- en spoke-topologie.

Vereiste

  • Een Azure-account met een actief abonnement. Gratis een account maken
  • Voordat u de stappen in deze zelfstudie kunt uitvoeren, moet u eerst een Exemplaar van Azure Virtual Network Manager maken. Het exemplaar moet de connectiviteits- en beveiligingsbeheerdersfuncties bevatten. In deze zelfstudie is een Virtual Network Manager-exemplaar met de naam vnm-learn-eastus-001 gebruikt.

Virtuele netwerken maken

Deze procedure begeleidt u bij het maken van drie virtuele netwerken die worden verbonden met behulp van de hub- en spoke-netwerktopologie.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer + Een resource maken en zoek naar virtueel netwerk. Selecteer Vervolgens Maken om het virtuele netwerk te configureren.

  3. Voer op het tabblad Basisbeginselen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer het abonnement waarnaar u dit virtuele netwerk wilt implementeren.
    Resourcegroep Selecteer of maak een nieuwe resourcegroep om het virtuele netwerk op te slaan. In deze quickstart wordt een resourcegroep met de naam rg-learn-eastus-001 gebruikt.
    Naam Voer vnet-learn-prod-eastus-001 in als naam van het virtuele netwerk.
    Regio Selecteer de regio VS - oost.

  4. Selecteer Volgende: IP-adressen en configureer de volgende netwerkadresruimte:

    Instelling Weergegeven als
    IPv4-adresruimte Voer 10.0.0.0/16 in als de adresruimte.
    Subnetnaam Voer de standaardnaam in voor het subnet.
    Subnetadresruimte Voer de adresruimte van het subnet 10.0.0.0/24 in.

  5. Selecteer Beoordelen en maken en selecteer vervolgens Maken om het virtuele netwerk te implementeren.

  6. Herhaal stap 2-5 om nog twee virtuele netwerken in dezelfde resourcegroep te maken met de volgende informatie:

    Instelling Weergegeven als
    Abonnement Selecteer hetzelfde abonnement dat u in stap 3 hebt geselecteerd.
    Resourcegroep Selecteer de rg-learn-eastus-001.
    Naam Voer vnet-learn-prod-eastus-002 en vnet-learn-hub-eastus-001 in voor de twee virtuele netwerken.
    Regio Selecteer (US) VS - oost
    IP-adressen van vnet-learn-prod-eastus-002 IPv4-adresruimte: 10.1.0.0/16
    Subnetnaam: standaardadresruimte
    subnet: 10.1.0.0/24
    IP-adressen van vnet-learn-hub-eastus-001 IPv4-adresruimte: 10.2.0.0/16
    Subnetnaam: standaardadresruimte
    subnet: 10.2.0.0/24

Een virtuele netwerkgateway implementeren

Implementeer een virtuele netwerkgateway in het virtuele hubnetwerk. Deze virtuele netwerkgateway is nodig voor de spokes om hub te gebruiken als gatewayinstelling .

  1. Selecteer + Een resource maken en zoek naar de gateway van het virtuele netwerk. Selecteer Vervolgens Maken om de gateway van het virtuele netwerk te configureren.

  2. Voer op het tabblad Basisbeginselen de volgende instellingen in of selecteer deze:

    Schermopname van het tabblad Basisbeginselen van de virtuele netwerkgateway maken.

    Instelling Weergegeven als
    Abonnement Selecteer het abonnement waarnaar u dit virtuele netwerk wilt implementeren.
    Naam Voer gw-learn-hub-eastus-001 in als naam van de gateway van het virtuele netwerk.
    SKU Selecteer VpnGW1 voor de SKU.
    Generatie Selecteer Generation1 voor de generatie.
    Virtueel netwerk Selecteer de vnet-learn-hub-eastus-001 voor het VNet.
    Openbaar IP-adres
    Naam openbaar IP-adres Voer de naam gwpip-learn-hub-eastus-001 in voor het openbare IP-adres.
    TWEEDE OPENBAAR IP-ADRES
    Naam openbaar IP-adres Voer de naam gwpip-learn-hub-eastus-002 in voor het openbare IP-adres.

  3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken nadat de validatie is geslaagd. De implementatie van een virtuele netwerkgateway kan ongeveer 30 minuten duren. U kunt verdergaan met de volgende sectie terwijl u wacht tot deze implementatie is voltooid. Mogelijk ziet u echter dat gw-learn-hub-eastus-001 niet wordt weergegeven dat deze een gateway heeft vanwege timing en synchronisatie in de Azure-portal.

Een netwerkgroep maken

Notitie

In deze handleiding wordt ervan uitgegaan dat u een exemplaar van een netwerkbeheerder hebt gemaakt met behulp van de quickstartgids . De netwerkgroep in deze zelfstudie heet ng-learn-prod-eastus-001.

  1. Blader naar uw resourcegroep en selecteer de netwerkbeheerresource .

  2. Selecteer netwerkgroepen onder Instellingen. Selecteer vervolgens + Maken.

  3. Selecteer in het deelvenster Een netwerkgroep maken de optie Maken:

    Instelling Value
    Naam Voer een netwerkgroep in.
    Beschrijving (Optioneel) Geef een beschrijving op over deze netwerkgroep.
    Type lid Selecteer Virtueel netwerk in de vervolgkeuzelijst.

  4. Controleer of de nieuwe netwerkgroep nu wordt weergegeven in het deelvenster Netwerkgroepen .

Dynamisch groepslidmaatschap definiëren met Azure-beleid

  1. Selecteer in de lijst met netwerkgroepen de optie ng-learn-prod-eastus-001. Selecteer Onder Beleid maken om leden dynamisch toe te voegen, selecteert u Azure-beleid maken.

  2. Selecteer of voer de volgende gegevens in op de pagina Azure Policy maken :

    Schermopname van het tabblad Voorwaardelijke instructies voor een netwerkgroep maken.

    Instelling Weergegeven als
    Beleidsnaam Voer azpol-learn-prod-eastus-001 in het tekstvak in.
    Bereik Selecteer Bereiken selecteren en kies uw huidige abonnement.
    Criteria
    Parameter Selecteer Naam in de vervolgkeuzelijst.
    Operator Selecteer Bevat in de vervolgkeuzelijst.
    Conditie Voer -prod in voor de voorwaarde in het tekstvak.

  3. Selecteer Preview-resources om de pagina Effectieve virtuele netwerken weer te geven en selecteer Sluiten. Op deze pagina ziet u de virtuele netwerken die worden toegevoegd aan de netwerkgroep op basis van de voorwaarden die zijn gedefinieerd in Azure Policy.

  4. Selecteer Opslaan om het groepslidmaatschap te implementeren. Het kan tot één minuut duren voordat het beleid van kracht wordt en wordt toegevoegd aan uw netwerkgroep.

  5. Selecteer op de pagina Netwerkgroep onder Instellingen groepsleden om het lidmaatschap van de groep weer te geven op basis van de voorwaarden die zijn gedefinieerd in Azure Policy. De bron wordt vermeld als azpol-learn-prod-eastus-001.

    Schermopname van dynamisch groepslidmaatschap onder Groepslidmaatschap.

Een hub- en spoke-connectiviteitsconfiguratie maken

  1. Selecteer Configuraties onder Instellingen en selecteer vervolgens + Maken.

  2. Selecteer Connectiviteitsconfiguratie in de vervolgkeuzelijst om te beginnen met het maken van een connectiviteitsconfiguratie.

  3. Voer op de pagina Basisinformatie de volgende gegevens in en selecteer Volgende: Topologie>.

    Instelling Weergegeven als
    Naam Voer cc-learn-prod-eastus-001 in.
    Beschrijving (Optioneel) Geef een beschrijving op over deze connectiviteitsconfiguratie.

  4. Selecteer Hub en Spoke op het tabblad Topologie. Hiermee worden andere instellingen zichtbaar.

  5. Selecteer een hub onder Hub-instelling . Selecteer vervolgens vnet-learn-hub-eastus-001 om te fungeren als uw netwerkhub en selecteer Selecteren.

    Notitie

    Afhankelijk van de timing van de implementatie ziet u mogelijk niet dat de doelhub virtueel netwerk heeft, omdat er een gateway is onder Has-gateway. Dit komt door de implementatie van de gateway van het virtuele netwerk. Het kan tot 30 minuten duren voordat de implementatie is uitgevoerd en wordt mogelijk niet onmiddellijk weergegeven in de verschillende Azure Portal-weergaven.

  6. Selecteer + toevoegen onder Spoke-netwerkgroepen. Selecteer vervolgens ng-learn-prod-eastus-001 voor de netwerkgroep en selecteer Selecteren.

  7. Nadat u de netwerkgroep hebt toegevoegd, selecteert u de volgende opties. Selecteer vervolgens Toevoegen om de connectiviteitsconfiguratie te maken.

    Schermopname van instellingen voor netwerkgroepconfiguratie.

    Instelling Weergegeven als
    Directe connectiviteit Schakel het selectievakje in voor Connectiviteit inschakelen binnen de netwerkgroep. Met deze instelling kunnen virtuele spoke-netwerken in de netwerkgroep in dezelfde regio rechtstreeks met elkaar communiceren.
    Global Mesh Laat de optie Mesh-connectiviteit inschakelen tussen regio's uitgeschakeld. Deze instelling is niet vereist omdat beide spokes zich in dezelfde regio bevinden
    Hub als gateway Schakel het selectievakje voor Hub in als gateway.

  8. Selecteer Volgende: Beoordelen en maken > en vervolgens de connectiviteitsconfiguratie maken.

De connectiviteitsconfiguratie implementeren

Zorg ervoor dat de gateway van het virtuele netwerk is geïmplementeerd voordat u de connectiviteitsconfiguratie implementeert. Als u een hub- en spoke-configuratie implementeert met De hub gebruiken als gateway ingeschakeld en er geen gateway is, mislukt de implementatie. Zie Hub als gateway gebruiken voor meer informatie.

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Configuratie implementeren.

  2. Selecteer de volgende instellingen:

    Instelling Weergegeven als
    Configuraties Selecteer Connectiviteitsconfiguraties opnemen in de doelstatus .
    Connectiviteitsconfiguraties Selecteer cc-learn-prod-eastus-001.
    Doelregio's Selecteer VS - oost als de implementatieregio.

  3. Selecteer Volgende en selecteer vervolgens Implementeren om de implementatie te voltooien.

  4. De implementatie wordt weergegeven in de lijst voor de geselecteerde regio. Het kan enkele minuten duren voordat de implementatie van de configuratie is voltooid.

    Schermopname van de status van de configuratie-implementatie die wordt uitgevoerd.

Een configuratie van een beveiligingsbeheerder maken

  1. Selecteer Configuratie opnieuw onder Instellingen , selecteer vervolgens + Maken en selecteer SecurityAdmin in het menu om te beginnen met het maken van een SecurityAdmin-configuratie.

  2. Voer de naam sac-learn-prod-eastus-001 in voor de configuratie en selecteer vervolgens Volgende: Regelverzamelingen.

  3. Voer de naam rc-learn-prod-eastus-001 in voor de regelverzameling en selecteer ng-learn-prod-eastus-001 voor de doelnetwerkgroep. Selecteer vervolgens + Toevoegen.

  4. Voer de volgende instellingen in en selecteer deze en selecteer vervolgens Toevoegen:

    Schermopname van het toevoegen van een regelpagina en regelinstellingen.

    Instelling Weergegeven als
    Naam Voer DENY_INTERNET in
    Beschrijving Voer deze regel in om verkeer naar internet op HTTP en HTTPS te blokkeren
    Prioriteit Voer 1 in
    Actie Weigeren selecteren
    Richting Uitgaand selecteren
    Protocol Selecteer TCP
    Bron
    Brontype IP selecteren
    Bron-IP-adressen * invoeren
    Bestemming
    Doeltype IP-adressen selecteren
    Doel-IP-adressen * invoeren
    Doelpoort Voer 80, 443 in

  5. Selecteer Toevoegen om de regelverzameling toe te voegen aan de configuratie.

  6. Selecteer Controleren en maken om de configuratie van de beveiligingsbeheerder te maken.

De configuratie van de beveiligingsbeheerder implementeren

  1. Selecteer Implementaties onder Instellingen en selecteer vervolgens Configuraties implementeren.

  2. Selecteer Onder Configuraties de optie Beveiligingsbeheerder opnemen in uw doelstatus en de configuratie sac-learn-prod-eastus-001 die u in de laatste sectie hebt gemaakt. Selecteer VERVOLGENS VS - oost als doelregio en selecteer Volgende.

  3. Selecteer Volgende en vervolgens Implementeren. U ziet nu dat de implementatie wordt weergegeven in de lijst voor de geselecteerde regio. Het kan enkele minuten duren voordat de implementatie van de configuratie is voltooid.

Implementatie van configuraties controleren

Verifiëren vanuit een virtueel netwerk

  1. Ga naar het virtuele netwerk vnet-learn-prod-eastus-001 en selecteer Netwerkbeheer onder Instellingen. Het tabblad Connectiviteitsconfiguraties bevat cc-learn-prod-eastus-001-connectiviteitsconfiguratie die is toegepast in het virtuele netwerk

    Schermopname van de connectiviteitsconfiguratie die is toegepast op het virtuele netwerk.

  2. Selecteer het tabblad Configuraties van beveiligingsbeheerders en vouw Uitgaand uit om de beveiligingsbeheerdersregels weer te geven die zijn toegepast op dit virtuele netwerk.

    Schermopname van de configuratie van de beveiligingsbeheerder die is toegepast op het virtuele netwerk.

  3. Selecteer Peerings onder Instellingen om de peerings van het virtuele netwerk weer te geven die zijn gemaakt door Virtual Network Manager. De naam begint met ANM_.

    Schermopname van peerings voor virtuele netwerken die zijn gemaakt door Virtual Network Manager.

Controleren vanaf een VIRTUELE machine

  1. Implementeer een virtuele testmachine in vnet-learn-prod-eastus-001.

  2. Ga naar de test-VM die is gemaakt in vnet-learn-prod-eastus-001 en selecteer Netwerken onder Instellingen. Selecteer Regels voor uitgaande poort en controleer of de DENY_INTERNET regel is toegepast.

    Schermopname van de netwerkbeveiligingsregels van de VM testen.

  3. Selecteer de naam van de netwerkinterface en selecteer Effectieve routes onder Help om de routes voor de peerings van het virtuele netwerk te controleren. De 10.2.0.0/16 route met het type volgende hop VNet peering is de route naar het virtuele hubnetwerk.

Resources opschonen

Als u Azure Virtual Network Manager niet meer nodig hebt, moet u ervoor zorgen dat alle volgende waarden waar zijn voordat u de resource kunt verwijderen:

  • Er zijn geen implementaties van configuraties naar een regio.
  • Alle configuraties zijn verwijderd.
  • Alle netwerkgroepen zijn verwijderd.

Gebruik de controlelijst voor onderdelen verwijderen om ervoor te zorgen dat er nog geen onderliggende resources beschikbaar zijn voordat u de resourcegroep verwijdert.

Volgende stappen

Meer informatie over het blokkeren van netwerkverkeer met een configuratie van een beveiligingsbeheerder.