Tutorial: Schützen Ihres virtuellen Hubs mit Azure Firewall ManagerTutorial: Secure your virtual hub using Azure Firewall Manager

Mit Azure Firewall Manager können Sie geschützte virtuelle Hubs erstellen, um für private IP-Adressen, für Azure PaaS und für das Internet bestimmten Datenverkehr Ihres Cloudnetzwerks zu schützen.Using Azure Firewall Manager, you can create secured virtual hubs to secure your cloud network traffic destined to private IP addresses, Azure PaaS, and the Internet. Das Datenverkehrsrouting an die Firewall ist automatisiert, sodass keine benutzerdefinierten Routen (User Defined Routes, UDRs) erstellt werden müssen.Traffic routing to the firewall is automated, so there's no need to create user defined routes (UDRs).

Schützen des Cloudnetzwerks

Firewall Manager unterstützt außerdem die Architektur für virtuelle Hubnetzwerke.Firewall Manager also supports a hub virtual network architecture. Einen Vergleich der Architekturtypen für geschützte virtuelle Hubs und virtuelle Hubnetzwerke finden Sie unter Welche Architekturoptionen gibt es für Azure Firewall Manager?.For a comparison of the secured virtual hub and hub virtual network architecture types, see What are the Azure Firewall Manager architecture options?

In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Erstellen des virtuellen Spoke-NetzwerksCreate the spoke virtual network
  • Erstellen eines geschützten virtuellen HubsCreate a secured virtual hub
  • Herstellen einer Verbindung für die virtuellen Hub-and-Spoke-NetzwerkeConnect the hub and spoke virtual networks
  • Weiterleiten von Datenverkehr an Ihren HubRoute traffic to your hub
  • Bereitstellen der ServerDeploy the servers
  • Erstellen einer Firewallrichtlinie und Schützen Ihres HubsCreate a firewall policy and secure your hub
  • Testen der FirewallTest the firewall

VoraussetzungenPrerequisites

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Erstellen einer Hub-Spoke-ArchitekturCreate a hub and spoke architecture

Erstellen Sie zunächst virtuelle Spoke-Netzwerke für Ihre Server.First, create spoke virtual networks where you can place your servers.

Erstellen von zwei virtuellen Spoke-Netzwerken und SubnetzenCreate two spoke virtual networks and subnets

Die beiden virtuellen Netzwerke werden jeweils einen Workloadserver enthalten und durch die Firewall geschützt sein.The two virtual networks will each have a workload server in them and will be protected by the firewall.

  1. Wählen Sie auf der Startseite des Azure-Portals Ressource erstellen aus.From the Azure portal home page, select Create a resource.
  2. Wählen Sie unter Netzwerk die Option Virtuelles Netzwerk aus.Under Networking, select Virtual network.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.For Subscription, select your subscription.
  4. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, geben Sie fw-manager als Name ein, und wählen Sie OK aus.For Resource group, select Create new, and type fw-manager for the name and select OK.
  5. Geben Sie unter Name den Namen Spoke-01 ein.For Name, type Spoke-01.
  6. Wählen Sie unter Region die Option (USA) USA, Osten aus.For Region, select (US) East US.
  7. Klicken Sie auf Weiter: IP-Adressen.Select Next: IP Addresses.
  8. Geben Sie unter Adressraum den Adressraum 10.1.0.0/16 ein.For Address space, type 10.1.0.0/16.
  9. Wählen Sie Subnetz hinzufügen aus.Select Add subnet.
  10. Geben Sie Workload-01-SN ein.Type Workload-01-SN.
  11. Geben Sie unter Subnetzadressbereich den Bereich 10.1.1.0/24 ein.For Subnet address range, type 10.1.1.0/24.
  12. Wählen Sie Hinzufügen.Select Add.
  13. Klicken Sie auf Überprüfen und erstellen.Select Review + create.
  14. Klicken Sie auf Erstellen.Select Create.

Wiederholen Sie dieses Verfahren, um ein weiteres ähnliches virtuelles Netzwerk zu erstellen:Repeat this procedure to create another similar virtual network:

Name: Spoke-02Name: Spoke-02
Adressraum: 10.2.0.0/16Address space: 10.2.0.0/16
Subnetzname: Workload-02-SNSubnet name: Workload-02-SN
Subnetzadressbereich: 10.2.1.0/24Subnet address range: 10.2.1.0/24

Erstellen des geschützten virtuellen HubsCreate the secured virtual hub

Erstellen Sie mithilfe von Firewall Manager Ihren geschützten virtuellen Hub.Create your secured virtual hub using Firewall Manager.

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.From the Azure portal home page, select All services.
  2. Geben Sie Firewall Manager in das Suchfeld ein, und wählen Sie Firewall Manager aus.In the search box, type Firewall Manager and select Firewall Manager.
  3. Wählen Sie auf der Seite Firewall Manager die Option View secured virtual hubs (Geschützte virtuelle Hubs anzeigen) aus.On the Firewall Manager page, select View secured virtual hubs.
  4. Wählen Sie auf der Seite Firewall Manager | Geschützte virtuelle Hubs die Option Neuen geschützten virtuellen Hub erstellen aus.On the Firewall Manager | Secured virtual hubs page, select Create new secured virtual hub.
  5. Wählen Sie unter Ressourcengruppe die Ressourcengruppe fw-manager aus.For Resource group, select fw-manager.
  6. Wählen Sie als Region die Option USA, Osten aus.For Region, select East US.
  7. Geben Sie als Name des geschützten virtuellen Hubs den Namen Hub-01 ein.For the Secured virtual hub name, type Hub-01.
  8. Geben Sie unter Adressraum des Hubs den Adressraum 10.0.0.0/16 ein.For Hub address space, type 10.0.0.0/16.
  9. Geben Sie als Name des neuen vWAN den Namen Vwan-01 ein.For the new vWAN name, type Vwan-01.
  10. Lassen Sie das Kontrollkästchen VPN Gateway zum Aktivieren vertrauenswürdiger Sicherheitspartner einbeziehen deaktiviert.Leave the Include VPN gateway to enable Trusted Security Partners check box cleared.
  11. Klicken Sie auf Weiter: Azure Firewall aus.Select Next: Azure Firewall.
  12. Übernehmen Sie die Standardeinstellung Azure Firewall aktiviert, und wählen Sie Weiter: Vertrauenswürdiger Sicherheitspartner aus.Accept the default Azure Firewall Enabled setting and then select Next: Trusted Security Partner.
  13. Übernehmen Sie die Standardeinstellung Vertrauenswürdiger Sicherheitspartner deaktiviert, und wählen Sie Weiter: Überprüfen + erstellen.Accept the default Trusted Security Partner Disabled setting, and select Next: Review + create.
  14. Klicken Sie auf Erstellen.Select Create. Die Bereitstellung dauert ca. 30 Minuten.It will take about 30 minutes to deploy.

Jetzt können Sie die öffentliche IP-Adresse der Firewall abrufen.Now you can get the firewall public IP address.

  1. Nachdem die Bereitstellung abgeschlossen ist, wählen Sie im Azure-Portal Alle Dienste aus.After the deployment is complete, on the Azure portal select All services.
  2. Geben Sie Firewall Manager ein, und wählen Sie dann Firewall Manager aus.Type firewall manager and then select Firewall Manager.
  3. Wählen Sie Geschützte virtuelle Hubs aus.Select Secured virtual hubs.
  4. Wählen Sie hub-01 aus.Select hub-01.
  5. Wählen Sie Öffentliche IP-Konfiguration aus.Select Public IP configuration.
  6. Notieren Sie sich die öffentliche IP-Adresse zur späteren Verwendung.Note the public IP address to use later.

Herstellen einer Verbindung für die virtuellen Hub-and-Spoke-NetzwerkeConnect the hub and spoke virtual networks

Jetzt können Sie das Peering für die virtuellen Hub-and-Spoke-Netzwerke durchführen.Now you can peer the hub and spoke virtual networks.

  1. Wählen Sie die Ressourcengruppe fw-manager und anschließend das virtuelle WAN Vwan-01 aus.Select the fw-manager resource group, then select the Vwan-01 virtual WAN.
  2. Wählen Sie unter Konnektivität die Option Virtuelle Netzwerkverbindungen aus.Under Connectivity, select Virtual network connections.
  3. Wählen Sie Verbindung hinzufügen aus.Select Add connection.
  4. Geben Sie unter Verbindungsname den Namen hub-spoke-01 ein.For Connection name, type hub-spoke-01.
  5. Wählen Sie unter Hubs die Option Hub-01 aus.For Hubs, select Hub-01.
  6. Wählen Sie unter Ressourcengruppe die Ressourcengruppe fw-manager aus.For Resource group, select fw-manager.
  7. Wählen Sie unter Virtuelles Netzwerk die Option Spoke-01 aus.For Virtual network, select Spoke-01.
  8. Klicken Sie auf Erstellen.Select Create.

Wiederholen Sie diesen Vorgang, um das virtuelle Netzwerk Spoke-02 zu verbinden: Verbindungsname – hub-spoke-02Repeat to connect the Spoke-02 virtual network: connection name - hub-spoke-02

Bereitstellen der ServerDeploy the servers

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.On the Azure portal, select Create a resource.

  2. Wählen Sie dann in der Liste Beliebt die Option Windows Server 2016 Datacenter aus.Select Windows Server 2016 Datacenter in the Popular list.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:Enter these values for the virtual machine:

    EinstellungSetting WertValue
    Resource groupResource group fw-managerfw-manager
    Name des virtuellen ComputersVirtual machine name Srv-workload-01Srv-workload-01
    RegionRegion (USA) USA, Osten(US) East US)
    Benutzername des AdministratorsAdministrator user name Geben Sie einen Benutzernamen ein.type a user name
    KennwortPassword Geben Sie ein Kennwort ein.type a password
  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.Under Inbound port rules, for Public inbound ports, select None.

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Datenträger.Accept the other defaults and select Next: Disks.

  6. Übernehmen Sie die Standardeinstellungen für Datenträger, und wählen Sie Weiter: Netzwerk aus.Accept the disk defaults and select Next: Networking.

  7. Wählen Sie Spoke-01 für das virtuelle Netzwerk und dann Workload-01-SN für das Subnetz aus.Select Spoke-01 for the virtual network and select Workload-01-SN for the subnet.

  8. Wählen Sie unter Öffentliche IP die Option Keine aus.For Public IP, select None.

  9. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.Accept the other defaults and select Next: Management.

  10. Wählen Sie Aus aus, um die Startdiagnose zu deaktivieren.Select Off to disable boot diagnostics. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.Accept the other defaults and select Review + create.

  11. Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.Review the settings on the summary page, and then select Create.

Konfigurieren Sie anhand der Angaben in der folgenden Tabelle eine weitere VM mit dem Namen Srv-Workload-02.Use the information in the following table to configure another virtual machine named Srv-Workload-02. Die restliche Konfiguration ist mit der Konfiguration des virtuellen Computers Srv-workload-01 identisch.The rest of the configuration is the same as the Srv-workload-01 virtual machine.

EinstellungSetting WertValue
Virtuelles NetzwerkVirtual network Spoke-02Spoke-02
SubnetSubnet Workload-02-SNWorkload-02-SN

Nachdem die Server bereitgestellt wurden, wählen Sie eine Serverressource aus, und notieren Sie unter Netzwerk die private IP-Adresse für jeden Server.After the servers are deployed, select a server resource, and in Networking note the private IP address for each server.

Erstellen einer Firewallrichtlinie und Schützen Ihres HubsCreate a firewall policy and secure your hub

Eine Firewallrichtlinie definiert Regelsammlungen für die Weiterleitung von Datenverkehr an einen oder mehrere geschützte virtuelle Hubs.A firewall policy defines collections of rules to direct traffic on one or more Secured virtual hubs. Sie erstellen zuerst Ihre Firewallrichtlinie und schützen dann Ihren Hub.You'll create your firewall policy and then secure your hub.

  1. Wählen Sie in Firewall Manager die Option View Azure Firewall policies (Azure Firewall-Richtlinien anzeigen) aus.From Firewall Manager, select View Azure Firewall policies.
  2. Wählen Sie die Option Azure-Firewallrichtlinie erstellen aus.Select Create Azure Firewall Policy.
  3. Geben Sie unter Richtliniendetails für Name den Namen Policy-01 ein, und wählen Sie für Region die Option USA, Osten aus.Under Policy details, for the Name type Policy-01 and for Region select East US.
  4. Klicken Sie auf Weiter: DNS-Einstellungen (Vorschau) .Select Next: DNS Settings (preview).
  5. Klicken Sie auf Weiter: Regeln.Select Next: Rules.
  6. Wählen Sie auf der Registerkarte Regeln die Option Regelsammlung hinzufügen aus.On the Rules tab, select Add a rule collection.
  7. Geben Sie auf der Seite Regelsammlung hinzufügen unter Name den Namen App-RC-01 ein.On the Add a rule collection page, type App-RC-01 for the Name.
  8. Wählen Sie unter Regelsammlungstyp die Option Anwendung aus.For Rule collection type, select Application.
  9. Geben Sie unter Priorität den Wert 100 ein.For Priority, type 100.
  10. Vergewissern Sie sich, dass die Regelsammlungsaktion auf Zulassen festgelegt ist.Ensure Rule collection action is Allow.
  11. Geben Sie unter Name den Regelnamen Allow-msft ein.For the rule Name type Allow-msft.
  12. Wählen Sie unter Quellentyp die Option IP-Adresse aus.For the Source type, select IP address.
  13. Geben Sie unter Quelle die Zeichenfolge * ein.For Source, type *.
  14. Geben Sie unter Protokoll Folgendes ein: http,https.For Protocol, type http,https.
  15. Vergewissern Sie sich, dass Zieltyp auf FQDN festgelegt ist.Ensure Destination type is FQDN.
  16. Geben Sie unter Ziel das Ziel *.microsoft.com ein.For Destination, type *.microsoft.com.
  17. Wählen Sie Hinzufügen.Select Add.

Fügen Sie eine DNAT-Regel hinzu, sodass Sie einen Remotedesktop mit dem virtuellen Computer Srv-Workload-01 verbinden können.Add a DNAT rule so you can connect a remote desktop to the Srv-Workload-01 virtual machine.

  1. Wählen Sie Regelsammlung hinzufügen aus.Select Add a rule collection.
  2. Geben Sie für Name DNAT-rdp ein.For Name, type DNAT-rdp.
  3. Wählen Sie unter Regelsammlungstyp die Option DNAT aus.For Rule collection type, select DNAT.
  4. Geben Sie unter Priorität den Wert 100 ein.For Priority, type 100.
  5. Geben Sie unter Name den Regelnamen Allow-rdp ein.For the rule Name type Allow-rdp.
  6. Wählen Sie unter Quellentyp die Option IP-Adresse aus.For the Source type, select IP address.
  7. Geben Sie unter Quelle die Zeichenfolge * ein.For Source, type *.
  8. Wählen Sie für Protokoll die Option TCP aus.For Protocol, select TCP.
  9. Geben Sie unter Zielports den Wert 3389 ein.For Destination Ports, type 3389.
  10. Wählen Sie unter Zieltyp die Option IP-Adresse aus.For Destination Type, select IP Address.
  11. Geben Sie für Ziel die öffentliche IP-Adresse der Firewall ein, die Sie zuvor notiert haben.For Destination, type the firewall public IP address that you noted previously.
  12. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-Workload-01 ein, die Sie zuvor notiert haben.For Translated address, type the private IP address for Srv-Workload-01 that you noted previously.
  13. Geben Sie für Übersetzter Port den Wert 3389 ein.For Translated port, type 3389.
  14. Wählen Sie Hinzufügen.Select Add.

Fügen Sie eine Netzwerkregel hinzu, sodass Sie einen Remotedesktop von Srv-Workload-01 mit Srv-Workload-02 verbinden können.Add a network rule so you can connect a remote desktop from Srv-Workload-01 to Srv-Workload-02.

  1. Wählen Sie Regelsammlung hinzufügen aus.Select Add a rule collection.
  2. Geben Sie unter Name den Namen vnet-rdp ein.For Name, type vnet-rdp.
  3. Wählen Sie unter Regelsammlungstyp die Option Netzwerk aus.For Rule collection type, select Network.
  4. Geben Sie unter Priorität den Wert 100 ein.For Priority, type 100.
  5. Geben Sie unter Name den Regelnamen Allow-vnet ein.For the rule Name type Allow-vnet.
  6. Wählen Sie unter Quellentyp die Option IP-Adresse aus.For the Source type, select IP address.
  7. Geben Sie unter Quelle die Zeichenfolge * ein.For Source, type *.
  8. Wählen Sie für Protokoll die Option TCP aus.For Protocol, select TCP.
  9. Geben Sie unter Zielports den Wert 3389 ein.For Destination Ports, type 3389.
  10. Wählen Sie unter Zieltyp die Option IP-Adresse aus.For Destination Type, select IP Address.
  11. Geben Sie für Ziel die private IP-Adresse von Srv-Workload-02 ein, die Sie zuvor notiert haben.For Destination, type the Srv-Workload-02 private IP address that you noted previously.
  12. Wählen Sie Hinzufügen.Select Add.
  13. Klicken Sie auf Weiter: Threat Intelligence aus.Select Next: Threat intelligence.
  14. Klicken Sie auf Weiter: Hubs.Select Next: Hubs.
  15. Wählen Sie auf der Registerkarte Hubs die Option Virtuelle Hubs zuordnen aus.On the Hubs tab, select Associate virtual hubs.
  16. Wählen Sie Hub-01 und dann Hinzufügen aus.Select Hub-01 and then select Add.
  17. Klicken Sie auf Überprüfen + erstellen.Select Review + create.
  18. Klicken Sie auf Erstellen.Select Create.

Dieser Vorgang dauert etwa fünf Minuten (oder länger).This can take about five minutes or more to complete.

Weiterleiten von Datenverkehr an Ihren HubRoute traffic to your hub

Als nächstes müssen Sie sicherstellen, dass Netzwerkdatenverkehr durch Ihre Firewall geleitet wird.Now you must ensure that network traffic gets routed through your firewall.

  1. Wählen Sie in Firewall Manager die Option Geschützte virtuelle Hubs aus.From Firewall Manager, select Secured virtual hubs.
  2. Wählen Sie Hub-01 aus.Select Hub-01.
  3. Wählen Sie unter Einstellungen die Option Sicherheitskonfiguration aus.Under Settings, select Security configuration.
  4. Wählen Sie unter Internetdatenverkehr die Option Azure Firewall aus.Under Internet traffic, select Azure Firewall.
  5. Wählen Sie unter Private traffic (Privater Datenverkehr) die Option Send via Azure Firewall (Über Azure Firewall senden) aus.Under Private traffic, select Send via Azure Firewall.
  6. Vergewissern Sie sich, dass für die Hub-Spoke-Verbindung unter Internetdatenverkehr die Option Geschützt angezeigt wird.Verify that the hub-spoke connection shows Internet Traffic as Secured.
  7. Wählen Sie Speichern aus.Select Save.

Testen Ihrer FirewallTest your firewall

Zum Testen Ihrer Firewallregeln verbinden Sie einen Remotedesktop über die öffentliche IP-Adresse der Firewall, die mit NAT in Srv-Workload-01 aufgelöst wurde.To test your firewall rules, you'll connect a remote desktop using the firewall public IP address, which is NATed to Srv-Workload-01. Von dort aus verwenden Sie einen Browser, um die Anwendungsregel zu testen, und verbinden einen Remotedesktop mit Srv-Workload-02, um die Netzwerkregel zu testen.From there you'll use a browser to test the application rule and connect a remote desktop to Srv-Workload-02 to test the network rule.

Testen der AnwendungsregelTest the application rule

Testen Sie nun die Firewallregeln, um sicherzustellen, dass sie wie erwartet funktionieren.Now, test the firewall rules to confirm that it works as expected.

  1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall, und melden Sie sich an.Connect a remote desktop to firewall public IP address, and sign in.

  2. Navigieren Sie in Internet Explorer zu https://www.microsoft.com.Open Internet Explorer and browse to https://www.microsoft.com.

  3. Klicken Sie in den Sicherheitswarnungen von Internet Explorer auf OK > Schließen.Select OK > Close on the Internet Explorer security alerts.

    Daraufhin sollte die Microsoft-Homepage angezeigt werden.You should see the Microsoft home page.

  4. Navigieren Sie zu https://www.google.com.Browse to https://www.google.com.

    Sie sollten durch die Firewall blockiert werden.You should be blocked by the firewall.

Somit haben Sie sich jetzt vergewissert, dass die Anwendungsregel der Firewall funktioniert:So now you've verified that the firewall application rule is working:

  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.You can browse to the one allowed FQDN, but not to any others.

Testen der NetzwerkregelTest the network rule

Testen Sie jetzt die Netzwerkregel.Now test the network rule.

  • Öffnen Sie einen Remotedesktop mit der privaten IP-Adresse von Srv-Workload-02.Open a remote desktop to the Srv-Workload-02 private IP address.

    Ein Remotedesktop sollte eine Verbindung mit Srv-Workload-02 herstellen.A remote desktop should connect to Srv-Workload-02.

Somit haben Sie sich jetzt vergewissert, dass die Netzwerkregel der Firewall funktioniert:So now you've verified that the firewall network rule is working:

  • Sie können einen Remotedesktop mit einem Server verbinden, der sich in einem anderen virtuellen Netzwerk befindet.You can connect a remote desktop to a server located in another virtual network.

Bereinigen von RessourcenClean up resources

Wenn Sie die Firewallressourcen getestet haben, löschen Sie die fw-manager-Ressourcengruppe, um alle firewallbezogenen Ressourcen zu löschen.When you are done testing your firewall resources, delete the fw-manager resource group to delete all firewall-related resources.

Nächste SchritteNext steps