Руководство. Защита виртуального концентратора с помощью диспетчера Брандмауэр Azure

  • Статья

С помощью Диспетчера брандмауэра Azure можно создавать защищенные виртуальные концентраторы для защиты трафика облачной сети, направляемого на частные IP-адреса, в Azure PaaS и Интернет. Трафик маршрутизируется в брандмауэр автоматически, поэтому создавать пользовательские маршруты не требуется.

Диспетчер брандмауэра также поддерживает архитектуру защищенных виртуальных сетей. Сравнение таких типов архитектуры, как защищенный виртуальный концентратор и центр виртуальной сети, см. в этой статье.

В этом руководстве описано следующее:

  • Создание периферийной виртуальной сети
  • Создание защищенного виртуального концентратора
  • Подключение пиринга между центральной и периферийной виртуальными сетями
  • Маршрутизация трафика в концентратор
  • Развертывание серверов
  • Создание политики брандмауэра и защита концентратора
  • тестирование брандмауэра.

Внимание

Процедура, описанная в этом руководстве, использует Диспетчер брандмауэр Azure для создания нового защищенного концентратора Azure Виртуальной глобальной сети. Диспетчер брандмауэра можно использовать для обновления существующего концентратора, но настроить Зоны доступности Azure для Брандмауэра Azure нельзя. Можно также преобразовать существующий концентратор в защищенный с помощью портала Azure, как описано в статье Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети. Но как и в случае с Диспетчером брандмауэра Azure, вы не можете настроить Зоны доступности. Чтобы обновить существующий концентратор и указать Зоны доступности для Брандмауэра Azure (рекомендуется), необходимо выполнить процедуру обновления, описанную в учебнике Защита виртуального концентратора с помощью Azure PowerShell.

Diagram showing the secure cloud network.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание звездообразной архитектуры

Сначала создайте периферийные виртуальные сети, в которых можно разместить серверы.

Создание двух периферийных виртуальных сетей и подсетей

Две виртуальные сети имеют сервер рабочей нагрузки и защищаются брандмауэром.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. Найдите виртуальную сеть, выберите ее и нажмите кнопку "Создать".
  3. В качестве подписки выберите свою подписку.
  4. В поле Группа ресурсов щелкните Создать, введите имя fw-manager-rg и нажмите кнопку ОК.
  5. В поле "Имя виртуальной сети" введите Spoke-01.
  6. В поле Страна или регион выберите Восточная часть США.
  7. Выберите Далее.
  8. На странице "Безопасность" нажмите кнопку "Далее".
  9. В разделе "Добавление адресного пространства IPv4" примите значение по умолчанию 10.0.0.0/16.
  10. В подсетях выберите значение по умолчанию.
  11. Для имени введите Workload-01-SN.
  12. Для начального адреса введите 10.0.1.0/24.
  13. Выберите Сохранить.
  14. Выберите Review + create (Просмотреть и создать).
  15. Нажмите кнопку создания.

Повторите эту процедуру, чтобы создать другую аналогичную виртуальную сеть в группе ресурсов fw-manager-rg :

Имя: Периферийный-02
Диапазон адресов: 10.1.0.0/16
Имя подсети: рабочая нагрузка-02-SN
Начальный адрес: 10.1.1.0/24

Создание защищенного виртуального концентратора

Создайте защищенный виртуальный концентратор с помощью Диспетчера брандмауэра.

  1. На домашней странице портала Azure выберите Все службы.

  2. В поле поиска введите запрос Диспетчер брандмауэра и выберите элемент Диспетчер брандмауэра.

  3. На странице Диспетчер брандмауэра в разделе Развертывания выберите Виртуальные центры.

  4. На странице Диспетчер брандмауэра | Виртуальные концентраторы выберите Создать защищенный виртуальный концентратор.

    Screenshot of creating a new secured virtual hub.

  5. Выберите Подписка.

  6. В поле Группа ресурсов выберите fw-manager-rg.

  7. В поле Страна или регион выберите Восточная часть США.

  8. В поле Имя защищенного виртуального концентратора введите Hub-01.

  9. В поле Диапазон адресов концентратора введите 10.2.0.0/16.

  10. Выберите "Создать виртуальную глобальную сеть".

  11. В поле имени новой виртуальной глобальной сети введите Vwan-01.

  12. Для типа select Standard.

  13. Не устанавливайте флажок Включить VPN-шлюз для использования доверенных партнеров по безопасности.

    Screenshot of creating a new virtual hub with properties.

  14. Нажмите кнопку "Далее": Брандмауэр Azure.

  15. Примите значение по умолчанию Включено для Брандмауэра Azure.

  16. В качестве уровня брандмауэра Azure выберите Стандартный.

  17. Выберите нужное сочетание Зон доступности.

Внимание

Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. Вы можете развернуть столько Виртуальных глобальных сетей, сколько вам нужно. В концентраторе Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зонах доступности (кроме Брандмауэра Azure), если регион поддерживает их. Чтобы обеспечить устойчивость Виртуальной глобальной сети Azure, следует выбрать все доступные Зоны доступности.

Screenshot of configuring Azure Firewall parameters.

  1. Введите 1 в текстовом поле "Указать число общедоступных IP-адресов".

  2. В разделе "Политика брандмауэра" убедитесь, что выбрана политика запрета по умолчанию. Вы можете уточнить параметры далее в этой статье.

  3. Выберите Далее. Поставщик партнера по безопасности.

    Screenshot of configuring Trusted Partners parameters.

  4. Примите значение по умолчанию Отключено для параметра Доверенный партнер по безопасности, а затем выберите Далее: Просмотр + создание.

  5. Нажмите кнопку создания.

    Screenshot of creating the Firewall instance.

Примечание.

На создание защищенного виртуального концентратора может потребоваться до 30 минут.

Общедоступный IP-адрес брандмауэра можно найти после завершения развертывания.

  1. Откройте Диспетчер брандмауэра.
  2. Выберите Виртуальные концентраторы.
  3. Выберите hub-01.
  4. Выберите AzureFirewall_Hub-01.
  5. Запишите общедоступный IP-адрес. Он понадобится позже.

Подключение пиринга между центральной и периферийной виртуальными сетями

Теперь вы можете создать пиринговое подключение между центральной и периферийной виртуальными сетями.

  1. Выберите группу ресурсов fw-manager-rg, а затем — виртуальную глобальную сеть Vwan-01.

  2. В разделе Подключение выберите Подключения виртуальных сетей.

    Screenshot of adding Virtual Network connections.

  3. Выберите Добавить подключение.

  4. В поле Имя подключения введите hub-spoke-01.

  5. В поле Концентраторы выберите Hub-01.

  6. В поле Группа ресурсов выберите fw-manager-rg.

  7. В качестве виртуальной сети выберите Spoke-01.

  8. Нажмите кнопку создания.

  9. Повторите, чтобы подключить виртуальную сеть "Периферийный "02 : имя подключения — hub-spoke-02.

Развертывание серверов

  1. На портале Azure выберите Создать ресурс.

  2. Выберите Windows Server 2019 Datacenter в списке Популярные.

  3. Введите следующие значения для виртуальной машины:

    Параметр Значение
    Группа ресурсов fw-manager-rg
    Virtual machine name Srv-workload-01
    Область/регион Восточная часть США (США)
    Имя пользователя для администратора введите имя пользователя
    Пароль введите пароль

  4. В разделе Правила входящего порта выберите для пункта Общедоступные входящие порты значение Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Выберите Spoke-01 для виртуальной сети и Workload-01-SN — для подсети.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Нажмите кнопку "Далее:Мониторинг".

  11. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

Используйте сведения в таблице ниже, чтобы настроить другую виртуальную машину с именем Srv-Workload-02. Остальная конфигурация такая же, как и для виртуальной машины Srv-workload-01.

Параметр Значение
Виртуальная сеть Spoke-02
Подсеть Workload-02-SN

Развернув серверы, выберите ресурс сервера и в разделе Сеть запишите частный IP-адрес для каждого сервера.

Создание политики брандмауэра и защита концентратора

Политика брандмауэра определяет коллекции правил для направления трафика в один или несколько защищенных виртуальных концентраторов. Вы создаете политику брандмауэра, а затем защищаете центр.

  1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.

    Screenshot of creating an Azure Policy with first step.

  2. Щелкните Создание политики Брандмауэра Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. В поле Группа ресурсов выберите fw-manager-rg.

  4. В разделе Сведения о политике в поле Имя введите Policy-01, а в списке Регион выберите Восточная часть США.

  5. В качестве уровня политики выберите Премиум.

  6. Выберите Далее: Параметры DNS.

    Screenshot of configuring DNS settings.

  7. Выберите Далее: Проверка TLS.

    Screenshot of configuring TLS settings.

  8. Выберите Далее: Правила.

  9. На вкладке Правила выберите элемент Добавление коллекции правил.

    Screenshot of configuring Rule Collection.

  10. На странице Добавление коллекции правил в поле Имя введите App-RC-01.

  11. В списке Тип коллекции правил выберите Приложение.

  12. В поле Приоритет введите 100.

  13. В качестве действия коллекции правил должно быть выбрано Разрешить.

  14. Для имени правила введите Allow-msft.

  15. В поле Тип источника выберите IP-адрес.

  16. В поле Источник введите *.

  17. В поле Протокол введите http,https.

  18. Убедитесь, что для параметра Тип назначения выбрано значение Полное доменное имя.

  19. В поле Назначение введите *.microsoft.com.

  20. Выберите Добавить.

  21. Добавьте правило DNAT, чтобы подключить удаленный рабочий стол к виртуальной машине Srv-Workload-01.

    1. Щелкните Добавить коллекцию правил.
    2. В поле Имя введите dnat-rdp.
    3. В поле Тип коллекции правил выберите значение DNAT.
    4. В поле Приоритет введите 100.
    5. Для имени правила введите Allow-rdp.
    6. В поле Тип источника выберите IP-адрес.
    7. В поле Источник введите *.
    8. В поле Протокол выберите TCP.
    9. В поле Порты назначения введите 3389.
    10. В поле Назначение введите общедоступный IP-адрес брандмауэра, записанный ранее.
    11. Для переведенного типа выберите IP-адрес.
    12. В поле Преобразованный адрес введите частный IP-адрес для виртуальной машины Srv-Workload-01, который вы записали ранее.
    13. В поле Преобразованный порт введите 3389.
    14. Выберите Добавить.

  22. Добавьте правило сети, чтобы подключиться к удаленному рабочему столу из Srv-Workload-01 к Srv-Workload-02.

    1. Щелкните Добавить коллекцию правил.
    2. В поле Имя введите vnet-rdp.
    3. В поле Тип коллекции правил выберите значение Сеть.
    4. В поле Приоритет введите 100.
    5. В разделе Действие коллекции правил выберите Разрешить.
    6. В поле Имя для правила введите Allow-vnet.
    7. В поле Тип источника выберите IP-адрес.
    8. В поле Источник введите *.
    9. В поле Протокол выберите TCP.
    10. В поле Порты назначения введите 3389.
    11. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
    12. В поле Назначение введите частный IP-адрес для Srv-Workload-02, записанный ранее.
    13. Выберите Добавить.

  23. Нажмите кнопку "Далее" — поставщики удостоверений.

  24. На странице IDPS нажмите кнопку "Далее: аналитика угроз"

    Screenshot of configuring IDPS settings.

  25. На странице "Аналитика угроз" примите значения по умолчанию и выберите "Проверить и создать":

    Screenshot of configuring Threat Intelligence settings.

  26. Проверьте, подтвердите выбор и нажмите кнопку "Создать".

Связывание политики

Свяжите политику брандмауэра с концентратором.

  1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.

  2. Установите флажок напротив Policy-01.

  3. Выберите Управление привязками и Привязка концентраторов.

    Screenshot of configuring Policy association.

  4. Выберите hub-01.

  5. Выберите Добавить.

    Screenshot of adding Policy and Hub settings.

Маршрутизация трафика в концентратор

Теперь необходимо сделать так, чтобы сетевой трафик маршрутизировался через брандмауэр.

  1. В Диспетчере брандмауэра выберите Виртуальные концентраторы.

  2. Выберите Hub-01.

  3. В разделе Параметры выберите пункт Конфигурация безопасности.

  4. В разделе Интернет-трафик выберите Брандмауэр Azure.

  5. В разделе Частный трафик выберите Брандмауэр Azure.

    Примечание.

    Если вы используете диапазоны общедоступных IP-адресов для частных сетей в виртуальной сети или локальной ветви, необходимо явно указать эти префиксы IP-адресов. Выберите раздел префиксов частного трафика и добавьте их вместе с префиксами адресов RFC1918.

  6. В разделе "Меж концентратор" выберите "Включено", чтобы включить функцию намерения маршрутизации Виртуальная глобальная сеть. Намерение маршрутизации — это механизм, с помощью которого можно настроить Виртуальная глобальная сеть маршрутизации трафика в ветвь —ветвь (локальная сеть) через Брандмауэр Azure развернутый в центре Виртуальная глобальная сеть. Дополнительные сведения о предварительных требованиях и рекомендациях, связанных с функцией намерения маршрутизации, см . в документации по намерению маршрутизации.

  7. Выберите Сохранить.

  8. В диалоговом окне предупреждения нажмите кнопку ОК.

    Screenshot of Secure Connections.

  9. Нажмите кнопку "ОК " в диалоговом окне "Миграция" , чтобы использовать диалоговое окно "Меж концентратор ".

    Примечание.

    Обновление таблиц маршрутизации занимает несколько минут.

  10. Убедитесь, что два подключения отображают сведения о том, что брандмауэр Azure защищает как Интернет, так и частный трафик.

    Screenshot of Secure Connections final status.

тестирование брандмауэра.

Чтобы проверить правила брандмауэра, подключите удаленный рабочий стол с помощью общедоступного IP-адреса брандмауэра, который находится в Srv-Workload-01. Затем используйте браузер для тестирования правила приложения и подключения удаленного рабочего стола к Srv-Workload-02 для тестирования сетевого правила.

Тестирование правила приложения

Теперь проверьте правила брандмауэра, чтобы убедиться в том, что они работают должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и выполните вход.

  2. Откройте браузер Internet Explorer и перейдите на сайт https://www.microsoft.com.

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Майкрософт.

  4. Перейдите в https://www.google.com.

    Брандмауэр должен заблокировать это.

Теперь вы проверили, работает ли правило приложения брандмауэра:

  • Вы можете перейти только к одному разрешенному имени FQDN.

Проверка правила сети

Теперь проверьте правило сети.

  • В Srv-Workload-01 создайте сеанс удаленного рабочего стола по частному IP-адресу Srv-Workload-02.

    Удаленный рабочий стол должен подключиться к Srv-Workload-02.

Теперь вы проверили, работает ли правило сети брандмауэра:

  • Удаленный рабочий стол можно подключить к серверу, расположенному в другой виртуальной сети.

Очистка ресурсов

Когда вы протестируете ресурсы брандмауэра, удалите группу ресурсов fw-manager-rg со всеми ресурсами, связанными с брандмауэром.

Следующие шаги

Сведения о доверенных партнерах по безопасности