Zelfstudie: Uw virtuele hub beveiligen met Azure Firewall Manager

  • Artikel
  • 7 minuten om te lezen

Met behulp van Azure Firewall Manager kunt u beveiligde virtuele hubs maken om het cloudnetwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. Omleiding van het verkeer naar de firewall is geautomatiseerd, dus u hoeft geen door de gebruiker gedefinieerde routes (UDR's) te maken.

Het cloudnetwerk beveiligen

Firewall Manager biedt ook ondersteuning voor een virtuele-netwerkarchitectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.

In deze zelfstudie leert u het volgende:

  • Het virtuele spoke-netwerk maken
  • Een beveiligde virtuele hub maken
  • De hub- en virtuele spoke-netwerken verbinden
  • Verkeer doorsturen naar uw hub
  • De servers implementeren
  • Een firewallbeleid maken en uw hub beveiligen
  • De firewall testen

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een hub-en-spoke-architectuur maken

Maak eerst virtuele spoke-netwerken waarin u uw servers kunt plaatsen.

Maak twee virtuele spoke-netwerken en subnetten

De twee virtuele netwerken hebben elk een workloadserver en worden beveiligd door de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Zoek naar virtueel netwerk en selecteer maken.
  3. Bij Abonnement selecteert u uw abonnement.
  4. Selecteer voor resource groep de optie nieuwe maken en typ FW-Manager-RG voor de naam en selecteer OK.
  5. Als Naam typt u Spoke-01.
  6. Selecteer bij Regio (VS) VS - oost.
  7. Selecteer Volgende: IP-adressen.
  8. Bij Adresruimte typt u 10.0.0.0/16.
  9. Onder Subnetnaam selecteert u standaard.
  10. Typ voor subnetnaam de naam workload-01-SN.
  11. Als Subnetadresbereik typt u 10.0.1.0/24.
  12. Selecteer Opslaan.
  13. Selecteer Controleren + maken.
  14. Selecteer Maken.

Herhaal dit proces om nog een soortgelijk virtueel netwerk te maken:

Naam: Spoke-02
Adres ruimte: 10.1.0.0/16
Subnetnaam: Workload-02-SN
Adres bereik van subnet: 10.1.1.0/24

De beveiligde virtuele hub maken

Maak uw beveiligde virtuele hub met behulp van Firewall Manager.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. In het zoekvak typt u Firewall Manager en selecteert u Firewall Manager.

  3. Op de pagina Firewall Manager selecteert u Beveiligde virtuele hubs weergeven.

  4. Op de pagina Firewall Manager | Beveiligde virtuele hubs selecteert u Nieuwe beveiligde virtuele hub maken.

  5. Selecteer voor resource groep FW-Manager-RG.

  6. Selecteer bij Regio VS - oost.

  7. Als de Naam van beveiligde virtuele hub typt u Hub-01.

  8. Voor de adres ruimte van de hub typt u 10.2.0.0/16.

  9. Als de nieuwe vWAN-naam typt u Vwan-01.

  10. Laat het selectievakje VPN-gateway opnemen om vertrouwde beveiligingspartners in te schakelen leeg.

  11. Selecteer Volgende: Azure Firewall.

  12. Accepteer de standaardinstelling Azure Firewall Ingeschakeld en selecteer vervolgens Volgende: Vertrouwde beveiligingspartner.

  13. Accepteer de standaardinstelling Vertrouwde beveiligingspartner Uitgeschakeld en selecteer Volgende: Beoordelen en maken.

  14. Selecteer Maken.

    Het duurt ongeveer 30 minuten om te implementeren.

U kunt het open bare IP-adres van de firewall ophalen nadat de implementatie is voltooid.

  1. Open firewall-beheer.
  2. Selecteer virtuele hubs.
  3. Selecteer hub-01.
  4. Selecteer Configuratie van openbaar IP-adres.
  5. Noteer het openbare IP-adres om later te gebruiken.

De hub- en virtuele spoke-netwerken verbinden

U kunt nu de virtuele hub- en spoke-netwerken koppelen.

  1. Selecteer de resource groep FW-Manager-RG en selecteer vervolgens de Vwan-01 virtuele WAN.
  2. Onder Connectiviteit selecteert u Virtuele netwerkverbindingen.
  3. Selecteer Verbinding toevoegen.
  4. Als Verbindingsnaam typt u hub-spoke-01.
  5. Als Hubs selecteert u Hub-01.
  6. Selecteer voor resource groep FW-Manager-RG.
  7. Als Virtueel netwerk, selecteert u Spoke-01.
  8. Selecteer Maken.

Herhaal om verbinding te maken met de Spoke-02 het virtuele netwerk: verbindingsnaam - hub-spoke-02

De servers implementeren

  1. Selecteer Een resource maken in de Azure-portal.

  2. Selecteer in de lijst Populair de optie Windows Server 2016-gegevenscentrum.

  3. Voer deze waarden in voor de virtuele machine:

    Instelling Waarde
    Resourcegroep FW-Manager-RG
    Naam van de virtuele machine Srv-workload-01
    Regio (VS) VS - oost
    Beheerdersgebruikersnaam typ een gebruikersnaam
    Wachtwoord typ een wachtwoord

  4. Selecteer onder Regels voor binnenkomende poort, voor Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden voor schijven en selecteer Volgende: Netwerken.

  7. Selecteer Spoke-01 voor het virtuele netwerk en selecteer Workload-01-SN voor het subnet.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer uitschakelen om diagnostische gegevens over opstarten uit te scha kelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  11. Controleer de instellingen op de overzichtspagina en selecteer Maken.

Gebruik de informatie in de volgende tabel om een andere virtuele machine, Srv-Workload-02, te configureren. De rest van de configuratie is hetzelfde als voor de virtuele machine Srv-workload-01.

Instelling Waarde
Virtueel netwerk Spoke-02
Subnet Workload-02-SN

Nadat de servers zijn geïmplementeerd, selecteert u een serverresource en in Netwerken noteert u het privé-IP-adres voor elke server.

Een firewallbeleid maken en uw hub beveiligen

Met een firewallbeleid worden verzamelingen regels gedefinieerd om verkeer om te leiden naar een of meer beveiligde virtuele hubs. U maakt uw firewallbeleid en vervolgens beveiligt u uw hub.

  1. Bij Firewall Manager selecteert u Azure Firewall-beleidsregels weergeven.
  2. Selecteer Azure Firewall-beleid maken.
  3. Selecteer voor resource groep FW-Manager-RG.
  4. Onder Beleidsdetails typt u voor naam beleid-01 en voor Regio selecteert u VS - oost.
  5. Selecteer volgende: DNS-instellingen.
  6. Selecteer volgende: TLS-inspectie (preview-versie).
  7. Selecteer volgende: regels.
  8. Op het tabblad Regels selecteert u Een regelverzameling toevoegen.
  9. Op de pagina Een regelverzameling toevoegen typt u App-RC-01 voor de Naam.
  10. Als Type regelverzameling selecteert u Toepassing.
  11. Bij Prioriteit typt u 100.
  12. Controleer of Type regelverzameling is ingesteld op Toestaan.
  13. Als de Naam van de regel typt u Allow-msft.
  14. Selecteer IP-adres als het Brontype.
  15. Typ bij Bron * .
  16. Als Protocol typt u http,https.
  17. Controleer of Doeltype is ingesteld op FQDN.
  18. Als Doel typt u *.microsoft.com.
  19. Selecteer Toevoegen.

Voeg een DNAT-regel toe zodat u een extern bureaublad kunt verbinden met de virtuele machine Srv-Workload-01.

  1. Selecteer toevoegen/regel verzameling.
  2. Typ DNAT-RDP bij naam.
  3. Bij Type regelverzameling selecteert u DNAT.
  4. Bij Prioriteit typt u 100.
  5. Als de Naam van de regel typt u Allow-rdp.
  6. Selecteer IP-adres als het Brontype.
  7. Typ bij Bron * .
  8. Bij Protocol selecteert u TCP.
  9. Typ bij Doelpoorten 3389.
  10. Bij Doeltype selecteert u IP-adres.
  11. Bij Doeladressen typt u het openbare IP-adres van de firewall dat u eerder hebt bewaard.
  12. Bij Omgezet adres typt u het privé-IP-adres voor de Srv-Workload-01 dat u eerder hebt bewaard.
  13. Bij Vertaalde poort typt u 3389.
  14. Selecteer Toevoegen.

Voeg een netwerkregel toe zodat u een extern bureaublad kunt koppelen van Srv-workload-01 tot SRV-workload-02.

  1. Selecteer Een regelverzameling toevoegen.
  2. Bij Naam typt u vnet-rdp.
  3. Bij Type regelverzameling selecteert u Netwerk.
  4. Bij Prioriteit typt u 100.
  5. Selecteer toestaan voor regel verzamelings actie.
  6. Als de Naam van de regel typt u Allow-vnet.
  7. Selecteer IP-adres als het Brontype.
  8. Typ bij Bron * .
  9. Bij Protocol selecteert u TCP.
  10. Typ bij Doelpoorten 3389.
  11. Bij Doeltype selecteert u IP-adres.
  12. Bij Doeladressen typt u het privé-IP-adres van Srv-workload-02 dat u eerder hebt bewaard.
  13. Selecteer Toevoegen.
  14. Selecteer Controleren en maken.
  15. Selecteer Maken.

Beleid koppelen

Koppel het firewall beleid aan de hub.

  1. Selecteer Azure firewall beleid in Firewall beheer.
  2. Schakel het selectie vakje voor het beleid-01 in.
  3. Selecteer koppelingen beheren/hubs koppelen.
  4. Selecteer hub-01.
  5. Selecteer Toevoegen.

Verkeer doorsturen naar uw hub

Nu moet u ervoor zorgen dat netwerkverkeer wordt omgeleid door uw firewall.

  1. Selecteer virtuele hubs in Firewall-beheer.

  2. Selecteer Hub-01.

  3. Onder Instellingen selecteert u Beveiligingsconfiguratie.

  4. Onder Internetverkeer selecteert u Azure Firewall.

  5. Onder Privéverkeer selecteert u Verzenden via Azure Firewall.

  6. Selecteer Opslaan.

    Het duurt enkele minuten om de route tabellen bij te werken.

  7. Controleer of de twee verbindingen weer geven Azure Firewall zowel het internet als het privé verkeer beveiligt.

De firewall testen

Als u de firewall regels wilt testen, maakt u een extern bureau blad met behulp van het open bare IP-adres van de firewall. dit wordt genateeerd tot SRV-workload-01. Van daaruit gebruikt u een browser om de toepassingsregel te testen en een extern bureau blad te verbinden met SRV-Workload-02 om de netwerkregel te testen.

De toepassingsregel testen

Test nu de firewallregels om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall en meld u aan.

  2. Open Internet Explorer en blader naar https://www.microsoft.com.

  3. Selecteer OK > Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    Als het goed is, ziet u nu de startpagina van Microsoft.

  4. Blader naar https://www.google.com.

    U zou nu door de firewall moeten worden geblokkeerd.

Nu u hebt geverifieerd dat de regel voor de firewalltoepassing werken:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.

De netwerkregel testen

Test nu de netwerkregel.

  • Open vanuit SRV-workload-01 een extern bureau blad naar de SRV-workload-02 privé IP-adres.

    Een extern bureaublad moet verbinding maken met SRV-Workload-02.

Nu u hebt geverifieerd dat de regel voor het firewallnetwerk werken:

  • U kunt een extern bureaublad verbinden met een server die zich in een ander virtueel netwerk bevindt.

Resources opschonen

Wanneer u klaar bent met het testen van uw firewall bronnen, verwijdert u de resource groep FW-Manager-RG om alle resources met betrekking tot de firewall te verwijderen.

Volgende stappen

Meer informatie over vertrouwde beveiligingspartners