Ćwiczenie — kierowanie ruchu sieciowego przez usługę Azure Firewall

  • 20 min

W poprzednim ćwiczeniu wdrożono usługę Azure Firewall. Teraz musisz kierować cały ruch sieciowy przez zaporę i filtrować ruch przy użyciu reguł zapory. Gdy skończysz, usługa Azure Firewall będzie chronić wychodzący ruch sieciowy dla usługi Azure Virtual Desktop.

Przekieruj cały ruch przez zaporę

W przypadku podsieci używanej przez pulę hostów skonfiguruj domyślną trasę ruchu wychodzącego, aby przejść przez zaporę. Wykonasz następujące trzy kroki:

  1. Utwórz tabelę tras w tej samej grupie zasobów co maszyny wirtualne i zapory puli hostów.
  2. Skojarz tabelę routingu z podsiecią, z której korzystają maszyny wirtualne w puli hostów.
  3. W tabeli tras dodaj trasę do zapory.

Po wykonaniu tych kroków cały ruch będzie kierowany do usługi Azure Firewall.

Tworzenie tabeli tras

Najpierw utworzysz tabelę tras o nazwie firewall-route.

  1. W Azure Portal wyszukaj i wybierz Tabele tras.

  2. Wybierz pozycję + Utwórz.

  3. Użyj następujących wartości:

    Pole Wartość
    Subskrypcja Twoja subskrypcja
    Grupa zasobów learn-firewall-rg
    Region Wybierz tę samą lokalizację, która była wcześniej używana.
    Nazwa zapora sieciowa - trasa

    Zrzut ekranu przedstawiający informacje do uwzględnienia podczas tworzenia tabeli tras.

  4. Wybierz Przejrzyj + utwórz>Utwórz.

  5. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Kojarzenie tabeli tras z podsiecią obciążenia

Teraz skojarzysz trasę zapory z podsiecią puli hostów.

  1. Na trasie zapory , w sekcji Ustawienia , wybierz Podsieci . Zrzut ekranu przedstawiający opcję podsieci w obszarze ustawień trasy zapory.

  2. Wybierz + Przypisz.

  3. Wybierz następujące wartości:

    Pole Wartość
    Sieć wirtualna hostVNet
    Podsieć hostSubnet

  4. Wybierz OK i poczekaj na dodanie skojarzenia.

Dodawanie trasy do tabeli tras

Ostatnim krokiem jest dodanie trasy do usługi Azure Firewall w tabeli tras. Po wykonaniu tego kroku cały ruch sieciowy w sieci wirtualnej puli hostów będzie kierowany przez usługę Azure Firewall.

  1. W obszarze Ustawienia wybierz Trasy .

    Zrzut ekranu, który pokazuje opcję tras w ustawieniach tabeli tras zapory.

  2. Wybierz pozycję + Dodaj.

  3. Wprowadź następujące wartości:

    Pole Wartość
    Nazwa trasy fw-rt
    Typ miejsca docelowego Adresy IP
    Docelowe adresy IP/zakresy CIDR 0.0.0.0/0
    Typ następnego przeskoku Urządzenie wirtualne
    Adres następnego przeskoku Wklej prywatny adres IP zapory z poprzedniej lekcji ćwiczenia. Można to znaleźć na stronie zapory jako prywatny adres IP zapory.

    Zrzut ekranu przedstawiający informacje do uwzględnienia podczas dodawania trasy.

  4. Wybierz pozycję Dodaj.

Tworzenie kolekcji reguł aplikacji

Domyślnie zapora odmawia dostępu do wszystkich elementów, dlatego należy skonfigurować warunki, w których ruch jest dozwolony przez zaporę.

Utwórz kolekcję reguł aplikacji z regułami, aby umożliwić usłudze Azure Virtual Desktop dostęp do kilku w pełni kwalifikowanych nazw domen (FQDN).

  1. W witrynie Azure Portal wyszukaj i wybierz zapory .

  2. Wybierz zaporę sieciową learn-fw.

  3. W obszarze Ustawieniawybierz pozycję Reguły (klasyczne). Zrzut ekranu przedstawiający klasyczną opcję reguł w obszarze ustawień zapory sieciowej.

  4. Wybierz kartę kolekcji reguł aplikacji, a następnie wybierz pozycję Dodaj kolekcję reguł aplikacji. Zrzut ekranu przedstawiający kartę zbierania reguł aplikacji z opcją dodawania kolekcji reguł aplikacji.

  5. Wprowadź następujące informacje:

    Pole Wartość
    Nazwa app-coll01
    Priorytet 200
    Akcja Zezwolić

  6. W sekcji Reguły , w obszarze tagów FQDN , wprowadź następujące informacje:

    Pole Wartość
    Nazwa Zezwól-na-wirtualny-pulpit
    Typ źródła Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Tagi FQDN Windows Virtual Desktop

  7. W obszarze reguły wprowadź następujące informacje w sekcji docelowych nazw FQDN:

    Pole Wartość
    Nazwa zezwól-na-konta-usługi-magazynowej-bus
    Typ źródła Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Protokół:Port https
    Docelowe nazwy FQDN *xt.blob.core.windows.net, *eh.servicebus.windows.net, *xt.table.core.windows.net

  8. Po zakończeniu formularz wygląda jak na poniższej ilustracji: Zrzut ekranu przedstawiający wypełniony formularz kolekcji reguł aplikacji.

  9. Wybierz pozycję Dodaj.

Tworzenie kolekcji reguł sieciowych

Załóżmy, że w naszym scenariuszu są używane usługi Microsoft Entra Domain Services (Microsoft Entra Domain Services), więc nie trzeba tworzyć reguły sieciowej, aby zezwolić na usługę DNS. Należy jednak utworzyć regułę zezwalania na ruch z maszyn wirtualnych usługi Azure Virtual Desktop do usługi aktywacji systemu Windows. Aby nasza reguła sieciowa zezwalała na Usługi Zarządzania Kluczami (KMS), użyj docelowego adresu IP serwera KMS dla globalnej chmury Azure.

  1. Na learn-fw>Rules (klasyczne)wybierz kolekcję reguł sieciowych.

  2. Wybierz kartę Kolekcja reguł sieciowych, a następnie wybierz pozycję Dodaj kolekcję reguł sieciowych. Zrzut ekranu pokazujący kartę kolekcji reguł sieciowych z opcją dodawania reguł sieciowych.

  3. Wprowadź następujące informacje:

    Pole Wartość
    Nazwa net-coll01
    Priorytet 200
    Akcja Zezwól

  4. W obszarze reguły w sekcji adresy IP wprowadź następujące informacje:

    Pole Wartość
    Nazwa Zezwalaj na KMS
    Protokół TCP
    Typ źródła Adres IP
    Źródło Przestrzeń adresowa hostVNet, na przykład 10.0.0.0/16
    Typ miejsca docelowego Adres IP
    Adres docelowy 23.102.135.246
    Porty docelowe 1688

  5. Gdy skończysz, formularz wygląda jak na poniższej ilustracji: Zrzut ekranu przedstawiający wypełniony formularz kolekcji reguł sieci.

  6. Wybierz pozycję Dodaj.

Sprawdź swoją pracę

W tym momencie cały ruch sieciowy dla usługi Azure Virtual Desktop został przekierowany przez zaporę. Upewnijmy się, że zapora działa zgodnie z oczekiwaniami. Wychodzący ruch sieciowy z puli hostów powinien być filtrowany przez zaporę sieciową do usługi Azure Virtual Desktop. Możesz sprawdzić, czy zapora zezwala na ruch do usługi, kontrolując status komponentów usługi.

  1. W usłudze Azure Cloud Shell uruchom następujące polecenie:

    "rdgateway", "rdbroker","rdweb"|% `
{Invoke-RestMethod -Method:Get `
-Uri https://$_.wvd.microsoft.com/api/health}|ft `
-Property Health,TimeStamp,ClusterUrl

  2. Powinieneś uzyskać wyniki podobne do następujących, gdzie wszystkie trzy komponenty usług są oznaczone jako zdrowe.

    Health               TimeStamp           ClusterUrl
------               ---------           ----------
RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/
RDBroker is Healthy  7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/
RDWeb is Healthy     7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/

    Jeśli jeden lub więcej składników nie jest sprawny, zapora nie działa zgodnie z oczekiwaniami.