Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu usługi Azure Firewall Manager

Za pomocą usługi Azure Firewall Manager można utworzyć zabezpieczone koncentratory wirtualne w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do prywatnych adresów IP, usługi Azure PaaS i Internetu. Routing ruchu do zapory jest zautomatyzowany, więc nie ma potrzeby tworzenia tras zdefiniowanych przez użytkownika (UDR).

Menedżer zapory obsługuje również architekturę sieci wirtualnej koncentratora. Aby zapoznać się z porównaniem typów architektury zabezpieczonego koncentratora wirtualnego i koncentratora sieci wirtualnej, zobacz Jakie są opcje architektury usługi Azure Firewall Manager?

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie sieci wirtualnej będącej szprychą
• Tworzenie zabezpieczonego koncentratora wirtualnego
• Łączenie sieci wirtualnych piasty i szprych
• Kierowanie ruchu do centrum
• Wdrażanie serwerów
• Tworzenie zasad zapory i zabezpieczanie centrum
• Testowanie zapory

Ważne

Procedura w tym samouczku używa usługi Azure Firewall Manager do utworzenia nowego koncentratora zabezpieczonego przez wirtualną sieć WAN platformy Azure. Za pomocą menedżera zapory można uaktualnić istniejące centrum, ale nie można skonfigurować usługi Azure Strefy dostępności dla usługi Azure Firewall. Istnieje również możliwość przekonwertowania istniejącego centrum na zabezpieczone centrum przy użyciu witryny Azure Portal, zgodnie z opisem w temacie Konfigurowanie usługi Azure Firewall w koncentratorze usługi Virtual WAN. Jednak podobnie jak w przypadku usługi Azure Firewall Manager, nie można skonfigurować Strefy dostępności. Aby uaktualnić istniejące centrum i określić Strefy dostępności dla usługi Azure Firewall (zalecane), należy wykonać procedurę uaktualniania w artykule Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu programu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie architektury piasty i szprych

Najpierw utwórz sieci wirtualne będące szprychami, w których można umieścić serwery.

Tworzenie dwóch sieci wirtualnych i podsieci szprych

Obie sieci wirtualne mają w nich serwer obciążenia i są chronione przez zaporę.

1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

2. Wyszukaj pozycję Sieć wirtualna, wybierz ją, a następnie wybierz pozycję Utwórz.

3. Utwórz sieć wirtualną z następującymi ustawieniami:

   Ustawienie	Wartość
   Subskrypcja	Wybierz swoją subskrypcję
   Grupa zasobów	Wybierz pozycję Utwórz nową i wpisz fw-manager-rg jako nazwę, a następnie wybierz przycisk OK.
   Nazwa sieci wirtualnej	Szprycha-01
   Region (Region)	Wschodnie stany USA

4. Wybierz pozycję Dalej, a następnie wybierz pozycję Dalej.

5. Na karcie Sieć utwórz podsieć z następującymi ustawieniami:

   Ustawienie	Wartość
   Dodawanie przestrzeni adresowej IPv4	10.0.0.0/16 (ustawienie domyślne)
   Podsieci	domyślna
   Nazwisko	Workload-01-SN
   Adres początkowy	10.0.1.0/24

6. Wybierz pozycję Zapisz, Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Powtórz tę procedurę, aby utworzyć inną podobną sieć wirtualną w grupie zasobów fw-manager-rg :

Ustawienie	Wartość
Nazwisko	Szprycha-02
Przestrzeń adresowa	10.1.0.0/16
Nazwa podsieci	Workload-02-SN
Adres początkowy	10.1.1.0/24

Tworzenie zabezpieczonego koncentratora wirtualnego

Utwórz zabezpieczone koncentrator wirtualny przy użyciu menedżera zapory.

1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

2. W polu wyszukiwania wpisz Menedżer zapory i wybierz pozycję Menedżer zapory.

3. Na stronie Menedżer zapory w obszarze Wdrożenia wybierz pozycję Koncentratory wirtualne.

4. W Menedżerze zapory | Strona Koncentratory wirtualne wybierz pozycję Utwórz nowe zabezpieczone koncentrator wirtualny.

5. Na stronie Tworzenie nowego zabezpieczonego koncentratora wirtualnego wprowadź następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję fw-manager-rg
   Region (Region)	Wschodnie stany USA
   Nazwa zabezpieczonego koncentratora wirtualnego	Hub-01
   Przestrzeń adresowa koncentratora	10.2.0.0/16

6. Wybierz pozycję Nowa vWAN.

   Ustawienie	Wartość
   Nowa nazwa wirtualnej sieci WAN	Vwan-01
   Typ	Standardowa
   Uwzględnij bramę sieci VPN, aby włączyć zaufanych partnerów zabezpieczeń	Pozostaw wyczyszczone pole wyboru.

7. Wybierz pozycję Dalej: Azure Firewall.

8. Zaakceptuj domyślne ustawienie włączone w usłudze Azure Firewall.

9. W obszarze Warstwa usługi Azure Firewall wybierz pozycję Standardowa.

10. Wybierz odpowiednią kombinację Strefy dostępności.

    Ważne

    Usługa Virtual WAN to kolekcja centrów i usług udostępnianych w centrum. Możesz wdrożyć dowolną liczbę wirtualnych sieci WAN zgodnie z potrzebami. W koncentratorze usługi Virtual WAN istnieje wiele usług, takich jak VPN, ExpressRoute itd. Każda z tych usług jest wdrażana automatycznie w Strefy dostępności z wyjątkiem usługi Azure Firewall, jeśli region obsługuje Strefy dostępności. Aby dopasować się do odporności usługi Azure Virtual WAN, należy wybrać wszystkie dostępne Strefy dostępności.

11. Wpisz 1 w polu tekstowym Określ liczbę publicznych adresów IP lub skojarz istniejący publiczny adres IP (wersja zapoznawcza) z tą zaporą.

12. W obszarze Zasady zapory upewnij się, że wybrano domyślne zasady odmowy. Ustawienia uściślisz w dalszej części tego artykułu.

13. Wybierz pozycję Dalej: Dostawca partnera zabezpieczeń.

14. Zaakceptuj domyślne ustawienie Wyłączone zaufanego partnerazabezpieczeń, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

15. Wybierz pozycję Utwórz.

Uwaga

Utworzenie zabezpieczonego koncentratora wirtualnego może potrwać do 30 minut.

Publiczny adres IP zapory można znaleźć po zakończeniu wdrażania.

1. Otwórz menedżera zapory.
2. Wybierz pozycję Koncentratory wirtualne.
3. Wybierz pozycję hub-01.
4. Wybierz pozycję AzureFirewall_Hub-01.
5. Zanotuj publiczny adres IP do późniejszego użycia.

Łączenie sieci wirtualnych piasty i szprych

Teraz możesz łączyć sieci wirtualne piasty i szprych.

1. Wybierz grupę zasobów fw-manager-rg , a następnie wybierz wirtualną sieć WAN Vwan-01 .

2. W obszarze Łączność wybierz pozycję Połączenia sieci wirtualnej.

   Ustawienie	Wartość
   Nazwa połączenia	piasta-szprycha-01
   Koncentratory	Hub-01
   Grupa zasobów	fw-manager-rg
   Sieć wirtualna	Szprycha-01

3. Wybierz pozycję Utwórz.

4. Powtórz poprzednie kroki, aby połączyć sieć wirtualną Szprycha-02 z następującymi ustawieniami:

   Ustawienie	Wartość
   Nazwa połączenia	piasta-szprycha-02
   Koncentratory	Hub-01
   Grupa zasobów	fw-manager-rg
   Sieć wirtualna	Szprycha-02

Wdrażanie serwerów

1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.

2. Wybierz pozycję Windows Server 2019 Datacenter na liście Popularne .

3. Wprowadź poniższe wartości dla maszyny wirtualnej:

   Ustawienie	Wartość
   Grupa zasobów	fw-manager-rg
   Virtual machine name	Srv-workload-01
   Region (Region)	(USA) Wschodnie stany USA
   Nazwa użytkownika administratora	wpisz nazwę użytkownika
   Hasło	wpisz hasło

4. W obszarze Reguły portów wejściowych w obszarze Publiczne porty wejściowe wybierz pozycję Brak.

5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

7. Wybierz pozycję Szprycha-01 dla sieci wirtualnej i wybierz pozycję Workload-01-SN dla podsieci.

8. W obszarze Publiczny adres IP wybierz pozycję Brak.

9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

10. Wybierz pozycję Dalej:Monitorowanie.

11. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu.

12. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

13. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Skorzystaj z informacji w poniższej tabeli, aby skonfigurować inną maszynę wirtualną o nazwie Srv-Workload-02. Pozostała część konfiguracji jest taka sama jak maszyna wirtualna Srv-workload-01 .

Ustawienie	Wartość
Sieć wirtualna	Szprycha-02
Podsieć	Workload-02-SN

Po wdrożeniu serwerów wybierz zasób serwera, a w obszarze Sieć zanotuj prywatny adres IP dla każdego serwera.

Tworzenie zasad zapory i zabezpieczanie centrum

Zasady zapory definiują kolekcje reguł, aby kierować ruch do co najmniej jednego zabezpieczonego koncentratora wirtualnego. Utworzysz zasady zapory, a następnie zabezpieczysz centrum.

1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.

2. Wybierz pozycję Utwórz zasady usługi Azure Firewall.

3. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

4. W obszarze Szczegóły zasad w polu Nazwa wpisz Zasady-01 i w polu Region wybierz pozycję Wschodnie stany USA.

5. W obszarze Warstwa zasad wybierz pozycję Standardowa.

6. Wybierz pozycję Dalej: Ustawienia DNS.

7. Wybierz pozycję Dalej: Inspekcja protokołu TLS.

8. Wybierz pozycję Dalej: Reguły.

9. Na karcie Reguły wybierz pozycję Dodaj kolekcję reguł.

10. Na stronie Dodawanie kolekcji reguł wprowadź następujące informacje.

    Ustawienie	Wartość
    Nazwisko	App-RC-01
    Typ kolekcji reguł	Aplikacja
    Priorytet	100
    Akcja zbierania reguł	Zezwalaj
    Nazwa reguły	Allow-msft
    Source type	Adres IP
    Źródło	*
    Protokół	http,https
    Typ docelowy	FQDN
    Element docelowy	*.microsoft.com

11. Wybierz Dodaj.

12. Dodaj regułę DNAT, aby połączyć pulpit zdalny z maszyną wirtualną Srv-Workload-01.

13. Wybierz pozycję Dodaj kolekcję reguł i wprowadź następujące informacje.

    Ustawienie	Wartość
    Nazwisko	dnat-rdp
    Typ kolekcji reguł	DNAT
    Priorytet	100
    Nazwa reguły	Zezwalaj na rdp
    Source type	Adres IP
    Źródło	*
    Protokół	TCP
    Porty docelowe	3389
    Element docelowy	Zanotowany wcześniej publiczny adres IP zapory.
    Przetłumaczony typ	IP Address
    Przetłumaczony adres	Zanotowany wcześniej prywatny adres IP dla protokołu Srv-Workload-01 .
    Przetłumaczony port	3389

14. Wybierz Dodaj.

15. Dodaj regułę sieci, aby można było połączyć pulpit zdalny z serwera Srv-Workload-01 z serwerem Srv-Workload-02.

16. Wybierz pozycję Dodaj kolekcję reguł i wprowadź następujące informacje.

    Ustawienie	Wartość
    Nazwisko	vnet-rdp
    Typ kolekcji reguł	Sieć
    Priorytet	100
    Akcja zbierania reguł	Zezwalaj
    Nazwa reguły	Zezwalaj na sieć wirtualną
    Source type	Adres IP
    Źródło	*
    Protokół	TCP
    Porty docelowe	3389
    Typ miejsca docelowego	IP Address
    Element docelowy	Zanotowany wcześniej prywatny adres IP Srv-Workload-02 .

17. Wybierz pozycję Dodaj, a następnie wybierz pozycję Dalej: dostawcy tożsamości.

18. Na stronie IDPS wybierz pozycję Dalej: Analiza zagrożeń

19. Na stronie Analiza zagrożeń zaakceptuj wartości domyślne i wybierz pozycję Przejrzyj i utwórz:

20. Przejrzyj, aby potwierdzić wybór, a następnie wybierz pozycję Utwórz.

Kojarzenie zasad

Skojarz zasady zapory z centrum.

1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.
2. Zaznacz pole wyboru zasad-01.
3. Wybierz pozycję Zarządzaj skojarzeniami, Skojarz koncentratory.
4. Wybierz pozycję hub-01.
5. Wybierz Dodaj.

Kierowanie ruchu do centrum

Teraz musisz upewnić się, że ruch sieciowy jest kierowany przez zaporę.

1. W menedżerze zapory wybierz pozycję Koncentratory wirtualne.

2. Wybierz pozycję Hub-01.

3. W obszarze Ustawienia wybierz pozycję Konfiguracja zabezpieczeń.

4. W obszarze Ruch internetowy wybierz pozycję Azure Firewall.

5. W obszarze Ruch prywatny wybierz pozycję Wyślij za pośrednictwem usługi Azure Firewall.

   Uwaga

   Jeśli używasz zakresów publicznych adresów IP dla sieci prywatnych w sieci wirtualnej lub gałęzi lokalnej, musisz jawnie określić te prefiksy adresów IP. Wybierz sekcję Prefiksy ruchu prywatnego, a następnie dodaj je obok prefiksów adresów RFC1918.

6. W obszarze Inter-hub wybierz pozycję Włączone , aby włączyć funkcję routingu usługi Virtual WAN. Intencja routingu to mechanizm, za pomocą którego można skonfigurować usługę Virtual WAN tak, aby kierować ruch od gałęzi do gałęzi (lokalnie do środowiska lokalnego) za pośrednictwem usługi Azure Firewall wdrożonej w usłudze Virtual WAN Hub. Aby uzyskać więcej informacji na temat wymagań wstępnych i zagadnień związanych z funkcją intencji routingu, zobacz Dokumentację intencji routingu.

7. Wybierz pozycję Zapisz.

8. Wybierz przycisk OK w oknie dialogowym Ostrzeżenie .

9. Wybierz przycisk OK w oknie dialogowym Migrowanie, aby użyć między koncentratora .

   Uwaga

   Zaktualizowanie tabel tras trwa kilka minut.

10. Sprawdź, czy dwa połączenia pokazują, że usługa Azure Firewall zabezpiecza ruch internetowy i prywatny.

Testowanie zapory

Aby przetestować reguły zapory, połącz pulpit zdalny przy użyciu publicznego adresu IP zapory, który jest NATed z Srv-Workload-01. W tym miejscu użyj przeglądarki, aby przetestować regułę aplikacji i połączyć pulpit zdalny z usługą Srv-Workload-02 , aby przetestować regułę sieci.

Testowanie reguły aplikacji

Teraz przetestuj reguły zapory, aby potwierdzić, że działają zgodnie z oczekiwaniami.

1. Połącz pulpit zdalny z publicznym adresem IP zapory i zaloguj się.

2. Otwórz program Internet Explorer i przejdź do https://www.microsoft.com.

3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

   Powinna zostać wyświetlona strona główna firmy Microsoft.

4. Przejdź do https://www.google.com.

   Zapora powinna to zablokować.

Teraz sprawdzono, że reguła aplikacji zapory działa:

• Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.

Testowanie reguły sieci

Teraz przetestuj regułę sieci.

• W programie Srv-Workload-01 otwórz pulpit zdalny na prywatny adres IP Srv-Workload-02.

  Pulpit zdalny powinien łączyć się z serwerem Srv-Workload-02.

Teraz sprawdzono, że reguła sieci zapory działa:

• Pulpit zdalny można połączyć z serwerem znajdującym się w innej sieci wirtualnej.

Czyszczenie zasobów

Po zakończeniu testowania zasobów zapory usuń grupę zasobów fw-manager-rg , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Dowiedz się więcej o zaufanych partnerach zabezpieczeń