Руководство. Защита виртуального концентратора с помощью диспетчера Брандмауэр Azure

С помощью Диспетчера брандмауэра Azure можно создавать защищенные виртуальные концентраторы для защиты трафика облачной сети, направляемого на частные IP-адреса, в Azure PaaS и Интернет. Трафик маршрутизируется в брандмауэр автоматически, поэтому создавать пользовательские маршруты не требуется.

Диспетчер брандмауэра также поддерживает архитектуру защищенных виртуальных сетей. Сравнение таких типов архитектуры, как защищенный виртуальный концентратор и центр виртуальной сети, см. в этой статье.

В этом руководстве описано следующее:

• Создание периферийной виртуальной сети
• Создание защищенного виртуального концентратора
• Подключение пиринга между центральной и периферийной виртуальными сетями
• Маршрутизация трафика в концентратор
• Развертывание серверов
• Создание политики брандмауэра и защита концентратора
• тестирование брандмауэра.

Внимание

Процедура, описанная в этом руководстве, использует Диспетчер брандмауэр Azure для создания нового защищенного концентратора Azure Виртуальной глобальной сети. Диспетчер брандмауэра можно использовать для обновления существующего концентратора, но настроить Зоны доступности Azure для Брандмауэра Azure нельзя. Кроме того, можно преобразовать существующий концентратор в защищенный концентратор с помощью портал Azure, как описано в разделе "Настройка Брандмауэр Azure" в центре Виртуальная глобальная сеть. Но как и в случае с Диспетчером брандмауэра Azure, вы не можете настроить Зоны доступности. Чтобы обновить существующий концентратор и указать Зоны доступности для Брандмауэр Azure (рекомендуется), необходимо выполнить процедуру обновления в руководстве. Защита виртуального концентратора с помощью Azure PowerShell.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание звездообразной архитектуры

Сначала создайте периферийные виртуальные сети, в которых можно разместить серверы.

Создание двух периферийных виртуальных сетей и подсетей

Две виртуальные сети имеют сервер рабочей нагрузки и защищаются брандмауэром.

1. На домашней странице портала Azure выберите Создать ресурс.

2. Найдите виртуальную сеть, выберите ее и нажмите кнопку "Создать".

3. Создайте виртуальную сеть со следующими параметрами:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите " Создать" и введите fw-manager-rg для имени и нажмите кнопку "ОК"
   имя виртуальной сети;	Спик-01
   Область/регион	Восточная часть США

4. Нажмите кнопку "Далее", а затем нажмите кнопку "Далее".

5. На вкладке "Сеть" создайте подсеть со следующими параметрами:

   Параметр	Значение
   Добавление адресного пространства IPv4	10.0.0.0/16 (по умолчанию)
   подсети;	default
   Имя.	Workload-01-SN
   Начальный адрес	10.0.1.0/24

6. Нажмите кнопку "Сохранить", "Проверить и создать", а затем нажмите кнопку "Создать".

Повторите эту процедуру, чтобы создать другую аналогичную виртуальную сеть в группе ресурсов fw-manager-rg :

Параметр	Значение
Имя.	Spoke-02
Пространство адресов	10.1.0.0/16.
Имя подсети	Workload-02-SN
Начальный адрес	10.1.1.0/24

Создание защищенного виртуального концентратора

Создайте защищенный виртуальный концентратор с помощью Диспетчера брандмауэра.

1. На домашней странице портала Azure выберите Все службы.

2. В поле поиска введите запрос Диспетчер брандмауэра и выберите элемент Диспетчер брандмауэра.

3. На странице Диспетчер брандмауэра в разделе Развертывания выберите Виртуальные центры.

4. На странице Диспетчер брандмауэра | Виртуальные концентраторы выберите Создать защищенный виртуальный концентратор.

5. На странице "Создание защищенного виртуального концентратора" введите следующие сведения:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выбор fw-manager-rg
   Область/регион	Восточная часть США
   Имя защищенного виртуального концентратора	Hub-01
   Диапазон адресов концентратора	10.2.0.0/16

6. Выберите "Создать виртуальную глобальную сеть".

   Параметр	Значение
   Новое имя виртуальной глобальной сети	Vwan-01
   Тип	Стандартные
   Включение VPN-шлюза для включения доверенных партнеров по безопасности	Оставьте флажок снят.

7. Нажмите кнопку "Далее": Брандмауэр Azure.

8. Примите параметр Брандмауэр Azure включено по умолчанию.

9. В качестве уровня брандмауэра Azure выберите Стандартный.

10. Выберите нужное сочетание Зон доступности.

    Внимание

    Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. Вы можете развернуть столько Виртуальная глобальная сеть, сколько вам нужно. В концентраторе Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зонах доступности (кроме Брандмауэра Azure), если регион поддерживает их. Чтобы обеспечить устойчивость Виртуальной глобальной сети Azure, следует выбрать все доступные Зоны доступности.

11. Введите 1 в текстовом поле "Указать количество общедоступных IP-адресов " или свяжите существующий общедоступный IP-адрес (предварительная версия) с этим брандмауэром.

12. В разделе "Политика брандмауэра" убедитесь, что выбрана политика запрета по умолчанию. Вы можете уточнить параметры далее в этой статье.

13. Выберите Далее. Поставщик партнера по безопасности.

14. Примите параметр "Доверенный партнербезопасности", отключенный по умолчанию, и нажмите кнопку "Далее: проверка и создание".

15. Нажмите кнопку создания.

Примечание.

На создание защищенного виртуального концентратора может потребоваться до 30 минут.

Общедоступный IP-адрес брандмауэра можно найти после завершения развертывания.

1. Откройте Диспетчер брандмауэра.
2. Выберите Виртуальные концентраторы.
3. Выберите hub-01.
4. Выберите AzureFirewall_Hub-01.
5. Запишите общедоступный IP-адрес. Он понадобится позже.

Подключение пиринга между центральной и периферийной виртуальными сетями

Теперь вы можете создать пиринговое подключение между центральной и периферийной виртуальными сетями.

1. Выберите группу ресурсов fw-manager-rg, а затем — виртуальную глобальную сеть Vwan-01.

2. В разделе Подключение выберите Подключения виртуальных сетей.

   Параметр	Значение
   Имя подключения	hub-spoke-01
   Концентраторы	Hub-01
   Группа ресурсов	fw-manager-rg
   Виртуальная сеть	Спик-01

3. Нажмите кнопку создания.

4. Повторите предыдущие действия, чтобы подключить виртуальную сеть "Периферийный-02" со следующими параметрами:

   Параметр	Значение
   Имя подключения	hub-spoke-02
   Концентраторы	Hub-01
   Группа ресурсов	fw-manager-rg
   Виртуальная сеть	Spoke-02

Развертывание серверов

1. На портале Azure выберите Создать ресурс.

2. Выберите Windows Server 2019 Datacenter в списке Популярные.

3. Введите следующие значения для виртуальной машины:

   Параметр	Значение
   Группа ресурсов	fw-manager-rg
   Virtual machine name	Srv-workload-01
   Область/регион	Восточная часть США (США)
   Имя пользователя для администратора	введите имя пользователя
   Пароль	введите пароль

4. В разделе Правила входящего порта выберите для пункта Общедоступные входящие порты значение Нет.

5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

7. Выберите Spoke-01 для виртуальной сети и Workload-01-SN — для подсети.

8. В поле Общедоступный IP-адрес выберите значение Нет.

9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

10. Нажмите кнопку "Далее:Мониторинг".

11. Выберите Отключить, чтобы отключить диагностику загрузки.

12. Примите другие значения по умолчанию и выберите Просмотр и создание.

13. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

Используйте сведения в таблице ниже, чтобы настроить другую виртуальную машину с именем Srv-Workload-02. Остальная конфигурация такая же, как и для виртуальной машины Srv-workload-01.

Параметр	Значение
Виртуальная сеть	Spoke-02
Подсеть	Workload-02-SN

Развернув серверы, выберите ресурс сервера и в разделе Сеть запишите частный IP-адрес для каждого сервера.

Создание политики брандмауэра и защита концентратора

Политика брандмауэра определяет коллекции правил для направления трафика в один или несколько защищенных виртуальных концентраторов. Вы создаете политику брандмауэра, а затем защищаете центр.

1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.

2. Щелкните Создание политики Брандмауэра Azure.

3. В поле Группа ресурсов выберите fw-manager-rg.

4. В разделе Сведения о политике в поле Имя введите Policy-01, а в списке Регион выберите Восточная часть США.

5. В качестве уровня политики выберите Премиум.

6. Выберите Далее: Параметры DNS.

7. Выберите Далее: Проверка TLS.

8. Выберите Далее: Правила.

9. На вкладке Правила выберите элемент Добавление коллекции правил.

10. На странице "Добавление коллекции правил" введите следующие сведения.

    Параметр	Значение
    Имя.	App-RC-01
    Тип коллекции правил	Приложение
    Приоритет	100
    Действие коллекции правил	Разрешить
    Имя правила	Allow-msft
    Тип источника	IP-адрес
    Исходный код	*
    Протокол	http,https
    Тип назначения	FQDN
    Назначение	*.microsoft.com

11. Выберите Добавить.

12. Добавьте правило DNAT, чтобы подключить удаленный рабочий стол к виртуальной машине Srv-Workload-01.

13. Выберите " Добавить коллекцию правил" и введите следующие сведения.

    Параметр	Значение
    Имя.	dnat-rdp
    Тип коллекции правил	DNAT
    Приоритет	100
    Имя правила	Allow-rdp
    Тип источника	IP-адрес
    Исходный код	*
    Протокол	TCP
    Порты назначения	3389
    Назначение	Общедоступный IP-адрес брандмауэра, отмеченный ранее.
    Переведенный тип	IP Address
    Преобразованный адрес	Частный IP-адрес для Srv-Workload-01 , отмеченный ранее.
    Преобразованный порт	3389

14. Выберите Добавить.

15. Добавьте правило сети, чтобы подключиться к удаленному рабочему столу из Srv-Workload-01 к Srv-Workload-02.

16. Выберите " Добавить коллекцию правил" и введите следующие сведения.

    Параметр	Значение
    Имя.	vnet-rdp
    Тип коллекции правил	Сеть
    Приоритет	100
    Действие коллекции правил	Разрешить
    Имя правила	Allow-vnet
    Тип источника	IP-адрес
    Исходный код	*
    Протокол	TCP
    Порты назначения	3389
    Тип назначения	IP Address
    Назначение	Частный IP-адрес Srv-Workload-02 , который вы указали ранее.

17. Нажмите кнопку "Добавить", а затем нажмите кнопку "Далее: поставщики удостоверений".

18. На странице IDPS нажмите кнопку "Далее: аналитика угроз"

19. На странице "Аналитика угроз" примите значения по умолчанию и выберите "Проверить и создать":

20. Проверьте, подтвердите выбор и нажмите кнопку "Создать".

Связывание политики

Свяжите политику брандмауэра с концентратором.

1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.
2. Установите флажок напротив Policy-01.
3. Выберите Управление привязками и Привязка концентраторов.
4. Выберите hub-01.
5. Выберите Добавить.

Маршрутизация трафика в концентратор

Теперь необходимо сделать так, чтобы сетевой трафик маршрутизировался через брандмауэр.

1. В Диспетчере брандмауэра выберите Виртуальные концентраторы.

2. Выберите Hub-01.

3. В разделе Параметры выберите пункт Конфигурация безопасности.

4. В разделе Интернет-трафик выберите Брандмауэр Azure.

5. В разделе Частный трафик выберите Брандмауэр Azure.

   Примечание.

   Если вы используете диапазоны общедоступных IP-адресов для частных сетей в виртуальной сети или локальной ветви, необходимо явно указать эти префиксы IP-адресов. Выберите раздел префиксов частного трафика и добавьте их вместе с префиксами адресов RFC1918.

6. В разделе "Меж концентратор" выберите "Включено", чтобы включить функцию намерения маршрутизации Виртуальная глобальная сеть. Намерение маршрутизации — это механизм, с помощью которого можно настроить Виртуальная глобальная сеть маршрутизации трафика в ветвь —ветвь (локальная сеть) через Брандмауэр Azure развернутый в центре Виртуальная глобальная сеть. Дополнительные сведения о предварительных требованиях и рекомендациях, связанных с функцией намерения маршрутизации, см . в документации по намерению маршрутизации.

7. Выберите Сохранить.

8. В диалоговом окне предупреждения нажмите кнопку ОК.

9. Нажмите кнопку "ОК " в диалоговом окне "Миграция" , чтобы использовать диалоговое окно "Меж концентратор ".

   Примечание.

   Обновление таблиц маршрутизации занимает несколько минут.

10. Убедитесь, что два подключения отображают сведения о том, что брандмауэр Azure защищает как Интернет, так и частный трафик.

тестирование брандмауэра.

Чтобы проверить правила брандмауэра, подключите удаленный рабочий стол с помощью общедоступного IP-адреса брандмауэра, который находится в Srv-Workload-01. Затем используйте браузер для тестирования правила приложения и подключения удаленного рабочего стола к Srv-Workload-02 для тестирования сетевого правила.

Тестирование правила приложения

Теперь проверьте правила брандмауэра, чтобы убедиться в том, что они работают должным образом.

1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и выполните вход.

2. Откройте браузер Internet Explorer и перейдите на сайт https://www.microsoft.com.

3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

   Откроется домашняя страница Майкрософт.

4. Перейдите в https://www.google.com.

   Брандмауэр должен заблокировать это.

Теперь вы проверили, работает ли правило приложения брандмауэра:

• Вы можете перейти только к одному разрешенному имени FQDN.

Проверка правила сети

Теперь проверьте правило сети.

• В Srv-Workload-01 создайте сеанс удаленного рабочего стола по частному IP-адресу Srv-Workload-02.

  Удаленный рабочий стол должен подключиться к Srv-Workload-02.

Теперь вы проверили, работает ли правило сети брандмауэра:

• Удаленный рабочий стол можно подключить к серверу, расположенному в другой виртуальной сети.

Очистка ресурсов

Когда вы протестируете ресурсы брандмауэра, удалите группу ресурсов fw-manager-rg со всеми ресурсами, связанными с брандмауэром.

Следующие шаги

Сведения о доверенных партнерах по безопасности