Självstudie: skydda din virtuella hubb med Azure Firewall Manager

  • Artikel
  • 7 minuter för att läsa

Med hjälp av Azure Firewall Manager kan du skapa säkra virtuella hubbar för att skydda din moln nätverks trafik till privata IP-adresser, Azure PaaS och Internet. Trafik dirigering till brand väggen är automatiserad, så du behöver inte skapa användardefinierade vägar (UDR).

skydda moln nätverket

Firewall Manager stöder också en hubb för virtuella nätverk. En jämförelse av arkitektur typerna för den säkra virtuella hubben och hubben för virtuella nätverk finns i Vad är arkitektur alternativ för Azure Firewall Manager?

I den här guiden får du lära dig att:

  • Skapa det virtuella ekernätverket
  • Skapa en säker virtuell hubb
  • Anslut hubben och ekrarna virtuella nätverk
  • Dirigera trafik till hubben
  • Distribuera servrarna
  • Skapa en brand Väggs princip och skydda hubben
  • testa brandväggen.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en hubb och eker-arkitektur

Skapa först ekrar virtuella nätverk där du kan placera dina servrar.

Skapa två ekrar virtuella nätverk och undernät

De två virtuella nätverken kommer att ha en arbets belastnings Server och skyddas av brand väggen.

  1. På Start sidan Azure Portal väljer du skapa en resurs.
  2. Sök efter virtuellt nätverk och välj skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. För resurs grupp väljer du Skapa ny och skriver VB-Manager-RG som namn och väljer OK.
  5. Som namn skriver du ekrar-01.
  6. För region väljer du (US) USA, östra.
  7. Välj Nästa: IP-adresser.
  8. I fältet Adressutrymme skriver du 10.0.0.0/16.
  9. Under undernäts namn väljer du standard.
  10. För under näts namn skriver du arbets belastning – 01-SN.
  11. Skriv 10.0.1.0/24 för under nätets adress intervall.
  12. Välj Spara.
  13. Välj Granska + skapa.
  14. Välj Skapa.

Upprepa proceduren för att skapa ett annat liknande virtuellt nätverk:

Namn: ekrar-02
Adress utrymme: 10.1.0.0/16
Under näts namn: arbets belastning-02-SN
Adress intervall för under nätet: 10.1.1.0/24

Skapa den säkra virtuella hubben

Skapa din säkra virtuella hubb med hjälp av brand Väggs hanteraren.

  1. På Start sidan för Azure Portal väljer du alla tjänster.

  2. I rutan Sök skriver du Firewall Manager och väljer brand Väggs hanteraren.

  3. På sidan Firewall Manager väljer du Visa skyddade virtuella nav.

  4. I brand Väggs hanteraren | Sidan skyddade virtuella hubbar väljer du Skapa ny säker virtuell hubb.

  5. För resurs grupp väljer du VB-Manager-RG.

  6. För region väljer du östra USA.

  7. För namnet på den säkra virtuella hubben skriver du Hub-01.

  8. Skriv 10.2.0.0/16 för nav adress utrymme.

  9. För det nya vWAN-namnet skriver du vWAN-01.

  10. Lämna kryss rutan Inkludera VPN-gateway för att aktivera betrodda säkerhets partner avmarkerad.

  11. Välj Nästa: Azure-brandvägg.

  12. Godkänn standard inställningen för Azure Firewall som är aktive rad och välj sedan Nästa: betrodd säkerhets partner.

  13. Godkänn standardinställningen för inaktiverade betrodda säkerhets partner och välj Nästa: granska + skapa.

  14. Välj Skapa.

    Det tar cirka 30 minuter att distribuera.

Du kan hämta den offentliga brand väggens IP-adress när distributionen är klar.

  1. Öppna brand Väggs hanteraren.
  2. Välj virtuella nav.
  3. Välj hubb – 01.
  4. Välj offentlig IP-konfiguration.
  5. Anteckna den offentliga IP-adressen som ska användas senare.

Anslut hubben och ekrarna virtuella nätverk

Nu kan du peer-koppla hubben och Ekers virtuella nätverk.

  1. Välj resurs gruppen VB-Manager-RG och välj sedan det virtuella WAN-nätverket med Vwan-01 .
  2. Under anslutning väljer du virtuella nätverks anslutningar.
  3. Välj Lägg till anslutning.
  4. För anslutnings namn skriver du Hub-eker-01.
  5. För hubbar väljer du hubb-01.
  6. För resurs grupp väljer du VB-Manager-RG.
  7. För virtuellt nätverk väljer du eker-01.
  8. Välj Skapa.

Upprepa för att ansluta det ekrar-02 virtuella nätverket: anslutnings namn – hubb-eker-02

Distribuera servrarna

  1. Välj Skapa en resurs på Azure-portalen.

  2. Välj Windows Server 2016 Data Center i listan populär .

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp VB-Manager-rg
    Namn på virtuell dator SRV-arbets belastning – 01
    Region USA USA, östra)
    Administratörens användar namn Ange ett användar namn
    Lösenord Ange ett lösen ord

  4. Under regler för inkommande port för offentliga inkommande portar väljer du ingen.

  5. Godkänn de andra standardinställningarna och välj Nästa: diskar.

  6. Acceptera standardvärdena för disken och välj Nästa: nätverk.

  7. Välj ekrar – 01 för det virtuella nätverket och välj arbets belastning – 01-SN för under nätet.

  8. För offentlig IP-adress väljer du ingen.

  9. Godkänn övriga standardvärden och välj Nästa: hantering.

  10. Välj inaktivera om du vill inaktivera startdiagnostik. Godkänn de andra standardinställningarna och välj Granska + skapa.

  11. Granska inställningarna på sidan Sammanfattning och välj sedan skapa.

Använd informationen i följande tabell för att konfigurera en annan virtuell dator med namnet SRV-arbetsbelastning-02. Resten av konfigurationen är samma som den virtuella datorn för SRV-arbetsbelastnings 01 .

Inställning Värde
Virtuellt nätverk Eker-02
Undernät Arbets belastning-02-SN

När servrarna har distribuerats väljer du en server resurs och i nätverk noterar du den privata IP-adressen för varje server.

Skapa en brand Väggs princip och skydda hubben

En brand Väggs princip definierar samlingar av regler för att dirigera trafik på ett eller flera skyddade virtuella nav. Du skapar brand Väggs principen och skyddar sedan hubben.

  1. I brand Väggs hanteraren väljer du Visa Azure Firewall-principer.
  2. Välj Skapa Azure Firewall-princip.
  3. För resurs grupp väljer du VB-Manager-RG.
  4. Under princip information, för namn typ policy-01 och för region väljer du USA, östra.
  5. Välj Nästa: DNS-inställningar.
  6. Välj Nästa: TLS-kontroll (för hands version).
  7. Välj Nästa: regler.
  8. På fliken regler väljer du Lägg till en regel samling.
  9. På sidan Lägg till regel samling skriver du app-RC-01 som namn.
  10. För regel samlings typ väljer du program.
  11. För prioritet, Skriv 100.
  12. Se till att regel samlings åtgärden är tillåten.
  13. För regel namn typen Allow-MSFT.
  14. För typ av källa väljer du IP-adress.
  15. Som källa skriver du * .
  16. För protokoll, Skriv http, https.
  17. Se till att måltypen är ett fullständigt domän namn.
  18. För mål skriver du * . Microsoft.com.
  19. Välj Lägg till.

Lägg till en DNAT-regel så att du kan ansluta ett fjärr skrivbord till den virtuella SRV-arbets belastnings 01- datorn.

  1. Välj Lägg till/regel samling.
  2. I namn skriver du DNAt-RDP.
  3. För regel samlings typ väljer du DNAt.
  4. För prioritet, Skriv 100.
  5. Som regel namn skriver du Tillåt-RDP.
  6. För typ av källa väljer du IP-adress.
  7. Som källa skriver du * .
  8. I fältet Protokoll väljer du TCP.
  9. För mål portar skriver du 3389.
  10. För måltyp väljer du IP-adress.
  11. För mål anger du den offentliga IP-adress för brand väggen som du antecknade tidigare.
  12. För översatt adress anger du den privata IP-adressen för SRV-arbetsbelastning – 01 som du antecknade tidigare.
  13. I fältet Översatt port skriver du 3389.
  14. Välj Lägg till.

Lägg till en nätverks regel så att du kan ansluta ett fjärr skrivbord från SRV-arbetsbelastning – 01 till SRV-arbets belastning-02.

  1. Välj Lägg till en regel samling.
  2. För namn skriver du VNet-RDP.
  3. För regel samlings typ väljer du nätverk.
  4. För prioritet, Skriv 100.
  5. För regel samlings åtgärd väljer du Tillåt.
  6. För regel namn skriver du Allow-VNet.
  7. För typ av källa väljer du IP-adress.
  8. Som källa skriver du * .
  9. I fältet Protokoll väljer du TCP.
  10. För mål portar skriver du 3389.
  11. För måltyp väljer du IP-adress.
  12. För mål anger du den SRV-arbetsbelastnings 02- privata IP-adress som du antecknade tidigare.
  13. Välj Lägg till.
  14. Välj Granska + skapa.
  15. Välj Skapa.

Associera princip

Koppla brand Väggs principen till hubben.

  1. I brand Väggs hanteraren väljer du Azure Firewall-principer.
  2. Markera kryss rutan för princip-01.
  3. Välj Hantera associationer/associera hubbar.
  4. Välj hubb – 01.
  5. Välj Lägg till.

Dirigera trafik till hubben

Nu måste du se till att nätverks trafiken dirigeras genom brand väggen.

  1. I brand Väggs hanteraren väljer du virtuella nav.

  2. Välj hubb – 01.

  3. Under Inställningar väljer du säkerhets konfiguration.

  4. Under Internet trafik väljer du Azure-brandvägg.

  5. Under privat trafik väljer du Skicka via Azure-brandvägg.

  6. Välj Spara.

    Det tar några minuter att uppdatera routningstabeller.

  7. Kontrol lera att de två anslutningarna visar Azure Firewall skyddar både Internet och privat trafik.

testa brandväggen.

Om du vill testa brand Väggs reglerna ansluter du en fjärr skrivbord med hjälp av den offentliga brand Väggs-IP-adressen, som är NATed till SRV-arbetsbelastning – 01. Därifrån använder du en webbläsare för att testa program regeln och ansluta ett fjärr skrivbord till SRV-arbets belastnings 02 för att testa nätverks regeln.

Testa program regeln

Testa nu brand Väggs reglerna för att bekräfta att den fungerar som förväntat.

  1. Anslut ett fjärr skrivbord till brand väggens offentliga IP-adress och logga in.

  2. Öppna Internet Explorer och navigera till https://www.microsoft.com.

  3. Välj OK > Stäng i Internet Explorers säkerhets aviseringar.

    Du bör se Microsofts hem sida.

  4. Gå till https://www.google.com.

    Du bör blockeras av brandväggen.

Nu har du verifierat att brand Väggs program regeln fungerar:

  • Du kan bläddra till en tillåten FQDN, men inte till andra.

Testa nätverks regeln

Testa nu nätverks regeln.

  • Från SRV-arbets belastning – 01 öppnar du ett fjärr skrivbord till SRV-arbets belastningen 02 privat IP-adress.

    Ett fjärr skrivbord bör ansluta till SRV-arbets belastning-02.

Nu har du verifierat att brand Väggs nätverks regeln fungerar:

  • Du kan ansluta ett fjärr skrivbord till en server som finns i ett annat virtuellt nätverk.

Rensa resurser

När du är färdig med att testa brand Väggs resurserna tar du bort resurs gruppen VB-Manager-RG för att ta bort alla brand Väggs resurser.

Nästa steg

Läs om betrodda säkerhets partner