Ćwiczenie — kierowanie ruchu sieciowego przez usługę Azure Firewall

  • 20 min

W poprzednim ćwiczeniu wdrożono usługę Azure Firewall. Teraz musisz kierować cały ruch sieciowy przez zaporę i filtrować ruch przy użyciu reguł zapory. Gdy skończysz, usługa Azure Firewall będzie chronić wychodzący ruch sieciowy dla usługi Azure Virtual Desktop.

Kierowanie całego ruchu przez zaporę

W przypadku podsieci używanej przez pulę hostów skonfiguruj domyślną trasę ruchu wychodzącego, aby przejść przez zaporę. Wykonasz następujące trzy kroki:

  1. Utwórz tabelę tras w tej samej grupie zasobów co maszyny wirtualne i zapory puli hostów.
  2. Skojarz tabelę tras z podsiecią używaną przez maszyny wirtualne puli hostów.
  3. W tabeli tras dodaj trasę do zapory.

Po wykonaniu tych kroków cały ruch będzie kierowany do usługi Azure Firewall.

Tworzenie tabeli tras

Najpierw utworzysz tabelę tras o nazwie firewall-route.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Tabele tras.

  2. Wybierz + Utwórz.

  3. Użyj następujących wartości:

    Pole Wartość
    Subskrypcja Twoja subskrypcja
    Grupa zasobów learn-firewall-rg
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Nazwisko zapora — trasa

    Screenshot that shows the information to include when creating a route table.

  4. Wybierz pozycję Przeglądanie + tworzenie>Utwórz.

  5. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Kojarzenie tabeli tras z podsiecią obciążenia

Teraz skojarzysz trasę zapory z podsiecią puli hostów.

  1. Na trasie zapory w obszarze Ustawienia wybierz pozycję Podsieci. Screenshot that shows the subnet option under settings for the firewall route.

  2. Wybierz pozycję + Skojarz.

  3. Wybierz następujące wartości:

    Pole Wartość
    Sieć wirtualna hostVNet
    Podsieć hostSubnet

  4. Wybierz przycisk OK i poczekaj na dodanie skojarzenia.

Dodawanie trasy do tabeli tras

Ostatnim krokiem jest dodanie trasy do usługi Azure Firewall w tabeli tras. Po wykonaniu tego kroku cały ruch sieciowy w sieci wirtualnej puli hostów będzie kierowany przez usługę Azure Firewall.

  1. W obszarze Ustawienia wybierz pozycję Trasy.

    Screenshot that shows the routes option under settings on the firewall route table.

  2. Wybierz + Dodaj.

  3. Wprowadź następujące wartości:

    Pole Wartość
    Nazwa trasy fw-rt
    Typ docelowy Adresy IP
    Docelowe adresy IP/zakresy CIDR 0.0.0.0/0
    Typ następnego przeskoku Urządzenie wirtualne
    Adres następnego przeskoku Wklej prywatny adres IP zapory z poprzedniej lekcji ćwiczenia. Można to znaleźć na stronie Zapora na liście prywatny adres IP zapory.

    Screenshot that shows the information to include when adding a route.

  4. Wybierz Dodaj.

Tworzenie kolekcji reguł aplikacji

Domyślnie zapora odmawia dostępu do wszystkich elementów, dlatego należy skonfigurować warunki, w których ruch jest dozwolony przez zaporę.

Utwórz kolekcję reguł aplikacji z regułami, aby umożliwić usłudze Azure Virtual Desktop dostęp do kilku w pełni kwalifikowanych nazw domen (FQDN).

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Zapory.

  2. Wybierz zaporę learn-fw .

  3. W obszarze Ustawienia wybierz pozycję Reguły (klasyczne). Screenshot that shows the rules classic option under settings in the firewall.

  4. Wybierz kartę Kolekcja reguł aplikacji i wybierz pozycję Dodaj kolekcję reguł aplikacji. Screenshot that shows the application rule collection tab with the add application rule collection option.

  5. Wprowadź następujące informacje:

    Pole Wartość
    Nazwisko app-coll01
    Priorytet 200
    Akcja Zezwalaj

  6. W obszarze Reguły w sekcji Tagi FQDN wprowadź następujące informacje:

    Pole Wartość
    Nazwisko allow-virtual-desktop
    Source type Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Tagi FQDN Windows Virtual Desktop

  7. W obszarze Reguły w sekcji Docelowe nazwy FQDN wprowadź następujące informacje:

    Pole Wartość
    Nazwisko allow-storage-service-bus-accounts
    Source type Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Protokół:port https
    Docelowe nazwy FQDN *xt.blob.core.windows.net, , *eh.servicebus.windows.net*xt.table.core.windows.net

  8. Po zakończeniu formularz wygląda jak na poniższej ilustracji: Screenshot that shows the application rule collection form filled out.

  9. Wybierz Dodaj.

Tworzenie kolekcji reguł sieciowych

Załóżmy, że w naszym scenariuszu są używane usługi Microsoft Entra Domain Services (Microsoft Entra Domain Services), więc nie trzeba tworzyć reguły sieciowej, aby zezwolić na usługę DNS. Należy jednak utworzyć regułę zezwalania na ruch z maszyn wirtualnych usługi Azure Virtual Desktop do usługi aktywacji systemu Windows. Aby zezwolić na usługa zarządzania kluczami (KMS), użyj docelowego adresu IP serwera USŁUGI KMS dla chmury globalnej platformy Azure.

  1. Na stronie Learn-fw>Rules (wersja klasyczna) wybierz pozycję Kolekcja reguł sieciowych.

  2. Wybierz kartę Kolekcja reguł sieciowych, a następnie wybierz pozycję Dodaj kolekcję reguł sieciowych. Screenshot that shows the network rule collection tab with the add network rule collection option.

  3. Wprowadź następujące informacje:

    Pole Wartość
    Nazwisko net-coll01
    Priorytet 200
    Akcja Zezwalaj

  4. W obszarze Reguły w sekcji Adresy IP wprowadź następujące informacje:

    Pole Wartość
    Nazwisko allow-kms
    Protokół TCP
    Source type Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Typ docelowy Adres IP
    Adres docelowy 23.102.135.246
    Porty docelowe 1688

  5. Po zakończeniu formularz wygląda jak na poniższej ilustracji: Screenshot that shows the network rule collection form filled out.

  6. Wybierz Dodaj.

Sprawdź swoją pracę

W tym momencie cały ruch sieciowy dla usługi Azure Virtual Desktop został przekierowany przez zaporę. Upewnijmy się, że zapora działa zgodnie z oczekiwaniami. Wychodzący ruch sieciowy z puli hostów powinien filtrować przez zaporę do usługi Azure Virtual Desktop. Możesz sprawdzić, czy zapora zezwala na ruch do usługi, sprawdzając stan składników usługi.

  1. W usłudze Azure Cloud Shell uruchom następujące polecenie:

    "rdgateway", "rdbroker","rdweb"|% `
{Invoke-RestMethod -Method:Get `
-Uri https://$_.wvd.microsoft.com/api/health}|ft `
-Property Health,TimeStamp,ClusterUrl

  2. Powinny zostać wyświetlone następujące wyniki, w których wszystkie trzy usługi składników są wyświetlane jako w dobrej kondycji:

    Health               TimeStamp           ClusterUrl
------               ---------           ----------
RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/
RDBroker is Healthy  7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/
RDWeb is Healthy     7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/

    Jeśli co najmniej jeden składnik nie jest w dobrej kondycji, zapora nie działa zgodnie z oczekiwaniami.