Övning – Dirigera nätverkstrafik via Azure Firewall

Slutförd

I föregående övning distribuerade du Azure Firewall. Nu måste du dirigera all nätverkstrafik genom brandväggen och filtrera trafiken med hjälp av brandväggsregler. När du är klar skyddar Azure Firewall utgående nätverkstrafik för Azure Virtual Desktop.

Dirigera all trafik genom brandväggen

För det undernät som värdpoolen använder konfigurerar du den utgående standardvägen så att den går genom brandväggen. Du slutför följande tre steg:

1. Skapa en routningstabell i samma resursgrupp som dina virtuella datorer i värdpoolen och brandväggen.
2. Associera routningstabellen till det undernät som dina virtuella värdpooldatorer använder.
3. Lägg till vägen i brandväggen i routningstabellen.

När du har slutfört dessa steg dirigeras all trafik till Azure Firewall.

Skapa routningstabell

Först skapar du en routningstabell med namnet firewall-route.

1. I Azure-portalen söker du efter och väljer Routningstabeller.

2. Välj + Skapa.

3. Ange följande värden:

   Fält	Värde
   Prenumeration	Din prenumeration
   Resursgrupp	learn-firewall-rg
   Region	Välj samma plats som du använde tidigare.
   Name	firewall-route

   

4. Välj Granska + skapa>Skapa.

5. När distributionen är klar väljer du Gå till resurs.

Associera routningstabellen till arbetsbelastningens undernät

Nu ska du associera brandväggsvägen till värdpoolens undernät.

1. På brandväggsvägen går du till Inställningar och väljer Undernät.

2. Välj + Associera.

3. Välj följande värden:

   Fält	Värde
   Virtuellt nätverk	hostVNet
   Undernät	hostSubnet

4. Välj OK och vänta tills associationen har lagts till.

Lägga till väg till routningstabell

Det sista steget är att lägga till en väg till Azure Firewall i routningstabellen. När du har slutfört det här steget dirigeras all nätverkstrafik i värdpoolens virtuella nätverk via Azure Firewall.

1. Under Inställningar väljer du Vägar.

   

2. Markera + Lägg till.

3. Ange följande värden:

   Fält	Värde
   Vägnamn	fw-rt
   Måltyp	IP-adresser
   Mål-IP-adresser/CIDR-intervall	0.0.0.0/0
   Nästa hopptyp	Virtuell installation
   Nexthop-adress	Klistra in den privata IP-adressen för brandväggen från föregående övningsenhet. Detta finns under din brandväggssida, som visas som brandväggens privata IP-adress.

   

4. Markera Lägga till.

Skapa en programregelsamling

Som standard nekar brandväggen åtkomst till allt, så du måste konfigurera villkor under vilka trafik tillåts via brandväggen.

Skapa en programregelsamling med regler för att ge Azure Virtual Desktop åtkomst till flera fullständigt kvalificerade domännamn (FQDN).

1. I Azure-portalen söker du efter och väljer Brandväggar.

2. Välj brandväggen learn-fw .

3. Under Inställningar väljer du Regler (klassisk).

4. Välj fliken Programregelsamling och välj Lägg till programregelsamling.

5. Ange följande information:

   Fält	Värde
   Name	app-coll01
   Prioritet	200
   Åtgärd	Tillåt

6. Under Regler i avsnittet FQDN-taggar anger du följande information:

   Fält	Värde
   Name	allow-virtual-desktop
   Source type	IP-adress
   Källa	Adressutrymme för hostVNet, till exempel 10.0.0.0/16
   FQDN-taggar	Windows Virtual Desktop

7. Under Regler i avsnittet Mål-FQDN anger du följande information:

   Fält	Värde
   Name	allow-storage-service-bus-accounts
   Source type	IP-adress
   Källa	Adressutrymme för hostVNet, till exempel 10.0.0.0/16
   Protokoll:Port	https
   Mål-FQDN	*xt.blob.core.windows.net, , *eh.servicebus.windows.net*xt.table.core.windows.net

8. När du är klar ser formuläret ut som följande bild:

9. Markera Lägga till.

Skapa en nätverksregelsamling

Anta att vårt scenario använder Microsoft Entra Domain Services (Microsoft Entra Domain Services), så du behöver inte skapa en nätverksregel för att tillåta DNS. Du behöver dock skapa en regel för att tillåta trafik från dina virtuella Azure Virtual Desktop-datorer till Windows-aktiveringstjänsten. För att vår nätverksregel ska tillåta nyckelhanteringstjänst (KMS) (KMS) använder du mål-IP-adressen för KMS-servern för det globala Azure-molnet.

1. På learn-fw>Rules (klassisk) väljer du Nätverksregelsamling.

2. Välj fliken Nätverksregelsamling och välj sedan Lägg till nätverksregelsamling.

3. Ange följande information:

   Fält	Värde
   Name	net-coll01
   Prioritet	200
   Åtgärd	Tillåt

4. Under Regler anger du följande information i avsnittet IP-adresser :

   Fält	Värde
   Name	allow-kms
   Protokoll	TCP
   Source type	IP-adress
   Källa	Adressutrymme för hostVNet, till exempel 10.0.0.0/16
   Måltyp	IP-adress
   Måladress	23.102.135.246
   Målportar	1688

5. När du är klar ser formuläret ut som följande bild:

6. Markera Lägga till.

Kontrollera ditt arbete

Nu har du dirigerat all nätverkstrafik för Azure Virtual Desktop genom brandväggen. Nu ska vi se till att brandväggen fungerar som förväntat. Utgående nätverkstrafik från värdpoolen bör filtreras via brandväggen till Azure Virtual Desktop-tjänsten. Du kan kontrollera att brandväggen tillåter trafik till tjänsten genom att kontrollera statusen för tjänstkomponenterna.

1. Kör följande kommando i Azure Cloud Shell:

   "rdgateway", "rdbroker","rdweb"|% `
   {Invoke-RestMethod -Method:Get `
   -Uri https://$_.wvd.microsoft.com/api/health}|ft `
   -Property Health,TimeStamp,ClusterUrl
   

2. Du bör få något som liknar följande resultat, där alla tre komponenttjänsterna visas som felfria:

   Health               TimeStamp           ClusterUrl
   ------               ---------           ----------
   RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/
   RDBroker is Healthy  7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/
   RDWeb is Healthy     7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/
   

   Om en eller flera komponenter inte är felfria fungerar inte brandväggen som förväntat.