Udostępnij za pośrednictwem

Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu usługi Azure Firewall Manager

  • Artykuł

Za pomocą usługi Azure Firewall Manager można utworzyć zabezpieczone koncentratory wirtualne w celu zabezpieczenia ruchu sieciowego w chmurze kierowanego do prywatnych adresów IP, usługi Azure PaaS i Internetu. Routing ruchu do zapory jest zautomatyzowany, więc nie ma potrzeby tworzenia tras zdefiniowanych przez użytkownika (UDR).

Menedżer zapory obsługuje również architekturę sieci wirtualnej koncentratora. Aby zapoznać się z porównaniem typów architektury zabezpieczonego koncentratora wirtualnego i koncentratora sieci wirtualnej, zobacz Jakie są opcje architektury usługi Azure Firewall Manager?

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie sieci wirtualnej będącej szprychą
  • Tworzenie zabezpieczonego koncentratora wirtualnego
  • Łączenie sieci wirtualnych piasty i szprych
  • Kierowanie ruchu do centrum
  • Wdrażanie serwerów
  • Tworzenie zasad zapory i zabezpieczanie centrum
  • Testowanie zapory

Ważne

Procedura w tym samouczku używa usługi Azure Firewall Manager do utworzenia nowego koncentratora zabezpieczonego przez wirtualną sieć WAN platformy Azure. Za pomocą menedżera zapory można uaktualnić istniejące centrum, ale nie można skonfigurować usługi Azure Strefy dostępności dla usługi Azure Firewall. Istnieje również możliwość przekonwertowania istniejącego centrum na zabezpieczone centrum przy użyciu witryny Azure Portal, zgodnie z opisem w temacie Konfigurowanie usługi Azure Firewall w koncentratorze usługi Virtual WAN. Jednak podobnie jak w przypadku usługi Azure Firewall Manager, nie można skonfigurować Strefy dostępności. Aby uaktualnić istniejące centrum i określić Strefy dostępności dla usługi Azure Firewall (zalecane) należy wykonać procedurę uaktualniania w artykule Samouczek: zabezpieczanie koncentratora wirtualnego przy użyciu programu Azure PowerShell.

Diagram przedstawiający bezpieczną sieć w chmurze.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie architektury piasty i szprych

Najpierw utwórz sieci wirtualne będące szprychami, w których można umieścić serwery.

Tworzenie dwóch sieci wirtualnych i podsieci szprych

Obie sieci wirtualne mają w nich serwer obciążenia i są chronione przez zaporę.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. Wyszukaj pozycję Sieć wirtualna, wybierz ją, a następnie wybierz pozycję Utwórz.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wpisz fw-manager-rg jako nazwę i wybierz przycisk OK.
  5. W polu Nazwa sieci wirtualnej wpisz Szprycha-01.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Wybierz Dalej.
  8. Na stronie Zabezpieczenia wybierz pozycję Dalej.
  9. W obszarze Dodaj przestrzeń adresową IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.
  10. W obszarze Podsieci wybierz pozycję domyślne.
  11. W polu Nazwa wpisz Workload-01-SN.
  12. W polu Adres początkowy wpisz 10.0.1.0/24.
  13. Wybierz pozycję Zapisz.
  14. Wybierz pozycję Przejrzyj i utwórz.
  15. Wybierz pozycję Utwórz.

Powtórz tę procedurę, aby utworzyć inną podobną sieć wirtualną w grupie zasobów fw-manager-rg :

Nazwa: Szprycha-02
Przestrzeń adresowa: 10.1.0.0/16
Nazwa podsieci: Workload-02-SN
Adres początkowy: 10.1.1.0/24

Tworzenie zabezpieczonego koncentratora wirtualnego

Utwórz zabezpieczone koncentrator wirtualny przy użyciu menedżera zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W polu wyszukiwania wpisz Menedżer zapory i wybierz pozycję Menedżer zapory.

  3. Na stronie Menedżer zapory w obszarze Wdrożenia wybierz pozycję Koncentratory wirtualne.

  4. W Menedżerze zapory | Strona Koncentratory wirtualne wybierz pozycję Utwórz nowe zabezpieczone koncentrator wirtualny.

    Zrzut ekranu przedstawiający tworzenie nowego zabezpieczonego koncentratora wirtualnego.

  5. Wybierz swoją subskrypcję.

  6. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. W polu Nazwa zabezpieczonego koncentratora wirtualnego wpisz Hub-01.

  9. W polu Przestrzeń adresowa centrum wpisz 10.2.0.0/16.

  10. Wybierz pozycję Nowa vWAN.

  11. Dla nowej nazwy wirtualnej sieci WAN wpisz Vwan-01.

  12. W polu Typ wybierz pozycję Standardowa.

  13. Pozostaw pole wyboru Uwzględnij bramę sieci VPN, aby włączyć zaufanych partnerów zabezpieczeń pole wyboru.

    Zrzut ekranu przedstawiający tworzenie nowego koncentratora wirtualnego z właściwościami.

  14. Wybierz pozycję Dalej: Azure Firewall.

  15. Zaakceptuj domyślne ustawienie włączone w usłudze Azure Firewall.

  16. W obszarze Warstwa usługi Azure Firewall wybierz pozycję Standardowa.

  17. Wybierz odpowiednią kombinację Strefy dostępności.

Ważne

Usługa Virtual WAN to kolekcja centrów i usług udostępnianych w centrum. Możesz wdrożyć dowolną liczbę potrzebnych wirtualnych sieci WAN. W koncentratorze usługi Virtual WAN istnieje wiele usług, takich jak VPN, ExpressRoute itd. Każda z tych usług jest wdrażana automatycznie w Strefy dostępności z wyjątkiem usługi Azure Firewall, jeśli region obsługuje Strefy dostępności. Aby dopasować się do odporności usługi Azure Virtual WAN, należy wybrać wszystkie dostępne Strefy dostępności.

Zrzut ekranu przedstawiający konfigurowanie parametrów usługi Azure Firewall.

  1. Wpisz 1 w polu tekstowym Określ liczbę publicznych adresów IP.

  2. W obszarze Zasady zapory upewnij się, że wybrano domyślne zasady odmowy. Ustawienia uściślisz w dalszej części tego artykułu.

  3. Wybierz pozycję Dalej: Dostawca partnera zabezpieczeń.

    Zrzut ekranu przedstawiający konfigurowanie parametrów zaufanych partnerów.

  4. Zaakceptuj domyślne ustawienie Wyłączone zaufanego partnera zabezpieczeń, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający tworzenie wystąpienia zapory.

Uwaga

Utworzenie zabezpieczonego koncentratora wirtualnego może potrwać do 30 minut.

Publiczny adres IP zapory można znaleźć po zakończeniu wdrażania.

  1. Otwórz menedżera zapory.
  2. Wybierz pozycję Koncentratory wirtualne.
  3. Wybierz pozycję hub-01.
  4. Wybierz pozycję AzureFirewall_Hub-01.
  5. Zanotuj publiczny adres IP do późniejszego użycia.

Łączenie sieci wirtualnych piasty i szprych

Teraz możesz łączyć sieci wirtualne piasty i szprych.

  1. Wybierz grupę zasobów fw-manager-rg , a następnie wybierz wirtualną sieć WAN Vwan-01 .

  2. W obszarze Łączność wybierz pozycję Połączenia sieci wirtualnej.

    Zrzut ekranu przedstawiający dodawanie połączeń sieci wirtualnej.

  3. Wybierz opcję Dodaj połączenie.

  4. W polu Nazwa połączenia wpisz hub-spoke-01.

  5. W obszarze Koncentratory wybierz pozycję Hub-01.

  6. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  7. W obszarze Sieć wirtualna wybierz pozycję Szprycha-01.

  8. Wybierz pozycję Utwórz.

  9. Powtórz polecenie , aby połączyć sieć wirtualną Spoke-02 : nazwa połączenia — hub-spoke-02.

Wdrażanie serwerów

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter na liście Popularne .

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Grupa zasobów fw-manager-rg
    Virtual machine name Srv-workload-01
    Region (Region) (STANY ZJEDNOCZONE) Wschodnie stany USA)
    Nazwa użytkownika administratora wpisz nazwę użytkownika
    Hasło wpisz hasło

  4. W obszarze Reguły portów wejściowych w obszarze Publiczne porty wejściowe wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Wybierz pozycję Szprycha-01 dla sieci wirtualnej i wybierz pozycję Workload-01-SN dla podsieci.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Wybierz pozycję Dalej:Monitorowanie.

  11. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Skorzystaj z informacji w poniższej tabeli, aby skonfigurować inną maszynę wirtualną o nazwie Srv-Workload-02. Pozostała część konfiguracji jest taka sama jak maszyna wirtualna Srv-workload-01 .

Ustawienie Wartość
Sieć wirtualna Szprycha-02
Podsieć Workload-02-SN

Po wdrożeniu serwerów wybierz zasób serwera, a w obszarze Sieć zanotuj prywatny adres IP dla każdego serwera.

Tworzenie zasad zapory i zabezpieczanie centrum

Zasady zapory definiują kolekcje reguł, aby kierować ruch do co najmniej jednego zabezpieczonego koncentratora wirtualnego. Utworzysz zasady zapory, a następnie zabezpieczysz centrum.

  1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.

    Zrzut ekranu przedstawiający tworzenie usługi Azure Policy z pierwszym krokiem.

  2. Wybierz pozycję Utwórz zasady usługi Azure Firewall.

    Zrzut ekranu przedstawiający konfigurowanie ustawień usługi Azure Policy w pierwszym kroku.

  3. W obszarze Grupa zasobów wybierz pozycję fw-manager-rg.

  4. W obszarze Szczegóły zasad w polu Nazwa wpisz Zasady-01 i w polu Region wybierz pozycję Wschodnie stany USA.

  5. W obszarze Warstwa zasad wybierz pozycję Standardowa.

  6. Wybierz pozycję Dalej: Ustawienia DNS.

    Zrzut ekranu przedstawiający konfigurowanie ustawień DNS.

  7. Wybierz pozycję Dalej: Inspekcja protokołu TLS.

    Zrzut ekranu przedstawiający konfigurowanie ustawień protokołu TLS.

  8. Wybierz pozycję Dalej: Reguły.

  9. Na karcie Reguły wybierz pozycję Dodaj kolekcję reguł.

    Zrzut ekranu przedstawiający konfigurowanie kolekcji reguł.

  10. Na stronie Dodawanie kolekcji reguł wpisz App-RC-01 jako Nazwę.

  11. W polu Typ kolekcji reguł wybierz pozycję Aplikacja.

  12. W polu Priorytet wpisz wartość 100.

  13. Upewnij się, że akcja kolekcji reguł to Zezwalaj.

  14. W polu Nazwa reguły wpisz Allow-msft.

  15. W polu Typ źródła wybierz pozycję Adres IP.

  16. W polu Źródło wpisz *.

  17. W polu Protokół wpisz http,https.

  18. Upewnij się, że typ miejsca docelowego to FQDN.

  19. W polu Miejsce docelowe wpisz *.microsoft.com.

  20. Wybierz Dodaj.

  21. Dodaj regułę DNAT, aby połączyć pulpit zdalny z maszyną wirtualną Srv-Workload-01.

    1. Wybierz pozycję Dodaj kolekcję reguł.
    2. W polu Nazwa wpisz dnat-rdp.
    3. W polu Typ kolekcji reguł wybierz pozycję DNAT.
    4. W polu Priorytet wpisz wartość 100.
    5. W polu Nazwa reguły wpisz Allow-rdp.
    6. W polu Typ źródła wybierz pozycję Adres IP.
    7. W polu Źródło wpisz *.
    8. W polu Protokół wybierz TCP.
    9. W polu Porty docelowe wpisz wartość 3389.
    10. W polu Miejsce docelowe wpisz zanotowany wcześniej publiczny adres IP zapory.
    11. W polu Typ przetłumaczony wybierz pozycję Adres IP.
    12. W polu Przetłumaczony adres wpisz prywatny adres IP dla zanotowanego wcześniej adresu Srv-Workload-01 .
    13. W polu Przekształcony port wpisz 3389.
    14. Wybierz Dodaj.

  22. Dodaj regułę sieci, aby można było połączyć pulpit zdalny z serwera Srv-Workload-01 z serwerem Srv-Workload-02.

    1. Wybierz pozycję Dodaj kolekcję reguł.
    2. W polu Nazwa wpisz vnet-rdp.
    3. W polu Typ kolekcji reguł wybierz pozycję Sieć.
    4. W polu Priorytet wpisz wartość 100.
    5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
    6. W polu Nazwa reguły wpisz Allow-vnet.
    7. W polu Typ źródła wybierz pozycję Adres IP.
    8. W polu Źródło wpisz *.
    9. W polu Protokół wybierz TCP.
    10. W polu Porty docelowe wpisz wartość 3389.
    11. W polu Typ docelowy wybierz pozycję Adres IP.
    12. W polu Destination (Miejsce docelowe) wpisz zanotowany wcześniej prywatny adres IP Srv-Workload-02 .
    13. Wybierz Dodaj.

  23. Wybierz pozycję Dalej: IDPS.

  24. Na stronie IDPS wybierz pozycję Dalej: Analiza zagrożeń

    Zrzut ekranu przedstawiający konfigurowanie ustawień dostawcy tożsamości.

  25. Na stronie Analiza zagrożeń zaakceptuj wartości domyślne i wybierz pozycję Przejrzyj i utwórz:

    Zrzut ekranu przedstawiający konfigurowanie ustawień analizy zagrożeń.

  26. Przejrzyj, aby potwierdzić wybór, a następnie wybierz pozycję Utwórz.

Kojarzenie zasad

Skojarz zasady zapory z centrum.

  1. W menedżerze zapory wybierz pozycję Zasady usługi Azure Firewall.

  2. Zaznacz pole wyboru zasad-01.

  3. Wybierz pozycję Zarządzaj skojarzeniami, Skojarz koncentratory.

    Zrzut ekranu przedstawiający konfigurowanie skojarzenia zasad.

  4. Wybierz pozycję hub-01.

  5. Wybierz Dodaj.

    Zrzut ekranu przedstawiający dodawanie ustawień zasad i centrum.

Kierowanie ruchu do centrum

Teraz musisz upewnić się, że ruch sieciowy jest kierowany przez zaporę.

  1. W menedżerze zapory wybierz pozycję Koncentratory wirtualne.

  2. Wybierz pozycję Hub-01.

  3. W obszarze Ustawienia wybierz pozycję Konfiguracja zabezpieczeń.

  4. W obszarze Ruch internetowy wybierz pozycję Azure Firewall.

  5. W obszarze Ruch prywatny wybierz pozycję Wyślij za pośrednictwem usługi Azure Firewall.

    Uwaga

    Jeśli używasz zakresów publicznych adresów IP dla sieci prywatnych w sieci wirtualnej lub gałęzi lokalnej, musisz jawnie określić te prefiksy adresów IP. Wybierz sekcję Prefiksy ruchu prywatnego, a następnie dodaj je obok prefiksów adresów RFC1918.

  6. W obszarze Inter-hub wybierz pozycję Włączone , aby włączyć funkcję routingu usługi Virtual WAN. Intencja routingu to mechanizm, za pomocą którego można skonfigurować usługę Virtual WAN tak, aby kierować ruch od gałęzi do gałęzi (lokalnie do środowiska lokalnego) za pośrednictwem usługi Azure Firewall wdrożonej w usłudze Virtual WAN Hub. Aby uzyskać więcej informacji na temat wymagań wstępnych i zagadnień związanych z funkcją intencji routingu, zobacz Dokumentację intencji routingu.

  7. Wybierz pozycję Zapisz.

  8. Wybierz przycisk OK w oknie dialogowym Ostrzeżenie .

    Zrzut ekranu przedstawiający bezpieczne połączenia.

  9. Wybierz przycisk OK w oknie dialogowym Migrowanie, aby użyć między koncentratora .

    Uwaga

    Zaktualizowanie tabel tras trwa kilka minut.

  10. Sprawdź, czy dwa połączenia pokazują, że usługa Azure Firewall zabezpiecza ruch internetowy i prywatny.

    Zrzut ekranu przedstawiający stan końcowy bezpiecznych połączeń.

Testowanie zapory

Aby przetestować reguły zapory, połącz pulpit zdalny przy użyciu publicznego adresu IP zapory, który jest NATed z Srv-Workload-01. W tym miejscu użyj przeglądarki, aby przetestować regułę aplikacji i połączyć pulpit zdalny z usługą Srv-Workload-02 , aby przetestować regułę sieci.

Testowanie reguły aplikacji

Teraz przetestuj reguły zapory, aby potwierdzić, że działają zgodnie z oczekiwaniami.

  1. Połącz pulpit zdalny z publicznym adresem IP zapory i zaloguj się.

  2. Otwórz program Internet Explorer i przejdź do https://www.microsoft.com.

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna firmy Microsoft.

  4. Przejdź do https://www.google.com.

    Zapora powinna to zablokować.

Teraz sprawdzono, że reguła aplikacji zapory działa:

  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.

Testowanie reguły sieci

Teraz przetestuj regułę sieci.

  • W programie Srv-Workload-01 otwórz pulpit zdalny na prywatny adres IP Srv-Workload-02.

    Pulpit zdalny powinien łączyć się z serwerem Srv-Workload-02.

Teraz sprawdzono, że reguła sieci zapory działa:

  • Pulpit zdalny można połączyć z serwerem znajdującym się w innej sieci wirtualnej.

Czyszczenie zasobów

Po zakończeniu testowania zasobów zapory usuń grupę zasobów fw-manager-rg , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Dowiedz się więcej o zaufanych partnerach zabezpieczeń