Поделиться через


Руководство. Защита виртуального концентратора с помощью диспетчера Брандмауэр Azure

С помощью Диспетчера брандмауэра Azure можно создавать защищенные виртуальные концентраторы для защиты трафика облачной сети, направляемого на частные IP-адреса, в Azure PaaS и Интернет. Трафик маршрутизируется в брандмауэр автоматически, поэтому создавать пользовательские маршруты не требуется.

Диспетчер брандмауэра также поддерживает архитектуру защищенных виртуальных сетей. Сравнение таких типов архитектуры, как защищенный виртуальный концентратор и центр виртуальной сети, см. в этой статье.

В этом руководстве описано следующее:

  • Создание периферийной виртуальной сети
  • Создание защищенного виртуального концентратора
  • Подключение пиринга между центральной и периферийной виртуальными сетями
  • Маршрутизация трафика в концентратор
  • Развертывание серверов
  • Создание политики брандмауэра и защита концентратора
  • тестирование брандмауэра.

Внимание

Процедура, описанная в этом руководстве, использует Диспетчер брандмауэр Azure для создания нового защищенного концентратора Azure Виртуальной глобальной сети. Диспетчер брандмауэра можно использовать для обновления существующего концентратора, но настроить Зоны доступности Azure для Брандмауэра Azure нельзя. Можно также преобразовать существующий концентратор в защищенный с помощью портала Azure, как описано в статье Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети. Но как и в случае с Диспетчером брандмауэра Azure, вы не можете настроить Зоны доступности. Чтобы обновить существующий концентратор и указать Зоны доступности для Брандмауэра Azure (рекомендуется), необходимо выполнить процедуру обновления, описанную в учебнике Защита виртуального концентратора с помощью Azure PowerShell.

Схема, на которой показана безопасная облачная сеть.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание звездообразной архитектуры

Сначала создайте периферийные виртуальные сети, в которых можно разместить серверы.

Создание двух периферийных виртуальных сетей и подсетей

Две виртуальные сети имеют сервер рабочей нагрузки и защищаются брандмауэром.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. Найдите виртуальную сеть, выберите ее и нажмите кнопку "Создать".
  3. В качестве подписки выберите свою подписку.
  4. В поле Группа ресурсов щелкните Создать, введите имя fw-manager-rg и нажмите кнопку ОК.
  5. В поле "Имя виртуальной сети" введите Spoke-01.
  6. В поле Страна или регион выберите Восточная часть США.
  7. Выберите Далее.
  8. На странице "Безопасность" нажмите кнопку "Далее".
  9. В разделе "Добавление адресного пространства IPv4" примите значение по умолчанию 10.0.0.0/16.
  10. В подсетях выберите значение по умолчанию.
  11. Для имени введите Workload-01-SN.
  12. Для начального адреса введите 10.0.1.0/24.
  13. Выберите Сохранить.
  14. Выберите Review + create (Просмотреть и создать).
  15. Нажмите кнопку создания.

Повторите эту процедуру, чтобы создать другую аналогичную виртуальную сеть в группе ресурсов fw-manager-rg :

Имя: Периферийный-02
Диапазон адресов: 10.1.0.0/16
Имя подсети: рабочая нагрузка-02-SN
Начальный адрес: 10.1.1.0/24

Создание защищенного виртуального концентратора

Создайте защищенный виртуальный концентратор с помощью Диспетчера брандмауэра.

  1. На домашней странице портала Azure выберите Все службы.

  2. В поле поиска введите запрос Диспетчер брандмауэра и выберите элемент Диспетчер брандмауэра.

  3. На странице Диспетчер брандмауэра в разделе Развертывания выберите Виртуальные центры.

  4. На странице Диспетчер брандмауэра | Виртуальные концентраторы выберите Создать защищенный виртуальный концентратор.

    Снимок экрана: создание нового защищенного виртуального концентратора.

  5. Выберите Подписка.

  6. В поле Группа ресурсов выберите fw-manager-rg.

  7. В поле Страна или регион выберите Восточная часть США.

  8. В поле Имя защищенного виртуального концентратора введите Hub-01.

  9. В поле Диапазон адресов концентратора введите 10.2.0.0/16.

  10. Выберите "Создать виртуальную глобальную сеть".

  11. В поле имени новой виртуальной глобальной сети введите Vwan-01.

  12. Для типа select Standard.

  13. Не устанавливайте флажок Включить VPN-шлюз для использования доверенных партнеров по безопасности.

    Снимок экрана: создание нового виртуального концентратора со свойствами.

  14. Нажмите кнопку "Далее": Брандмауэр Azure.

  15. Примите параметр Брандмауэр Azure включено по умолчанию.

  16. В качестве уровня брандмауэра Azure выберите Стандартный.

  17. Выберите нужное сочетание Зон доступности.

Внимание

Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. Вы можете развернуть столько Виртуальных глобальных сетей, сколько вам нужно. В концентраторе Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зонах доступности (кроме Брандмауэра Azure), если регион поддерживает их. Чтобы обеспечить устойчивость Виртуальной глобальной сети Azure, следует выбрать все доступные Зоны доступности.

Снимок экрана: настройка параметров Брандмауэр Azure.

  1. Введите 1 в текстовом поле "Указать число общедоступных IP-адресов".

  2. В разделе "Политика брандмауэра" убедитесь, что выбрана политика запрета по умолчанию. Вы можете уточнить параметры далее в этой статье.

  3. Выберите Далее. Поставщик партнера по безопасности.

    Снимок экрана: настройка параметров доверенных партнеров.

  4. Примите параметр "Доверенный партнер безопасности", отключенный по умолчанию, и нажмите кнопку "Далее: проверка и создание".

  5. Нажмите кнопку создания.

    Снимок экрана: создание экземпляра брандмауэра.

Примечание.

На создание защищенного виртуального концентратора может потребоваться до 30 минут.

Общедоступный IP-адрес брандмауэра можно найти после завершения развертывания.

  1. Откройте Диспетчер брандмауэра.
  2. Выберите Виртуальные концентраторы.
  3. Выберите hub-01.
  4. Выберите AzureFirewall_Hub-01.
  5. Запишите общедоступный IP-адрес. Он понадобится позже.

Подключение пиринга между центральной и периферийной виртуальными сетями

Теперь вы можете создать пиринговое подключение между центральной и периферийной виртуальными сетями.

  1. Выберите группу ресурсов fw-manager-rg, а затем — виртуальную глобальную сеть Vwan-01.

  2. В разделе Подключение выберите Подключения виртуальных сетей.

    Снимок экрана: добавление виртуальная сеть подключений.

  3. Выберите Добавить подключение.

  4. В поле Имя подключения введите hub-spoke-01.

  5. В поле Концентраторы выберите Hub-01.

  6. В поле Группа ресурсов выберите fw-manager-rg.

  7. В качестве виртуальной сети выберите Spoke-01.

  8. Нажмите кнопку создания.

  9. Повторите, чтобы подключить виртуальную сеть "Периферийный "02 : имя подключения — hub-spoke-02.

Развертывание серверов

  1. На портале Azure выберите Создать ресурс.

  2. Выберите Windows Server 2019 Datacenter в списке Популярные.

  3. Введите следующие значения для виртуальной машины:

    Параметр Значение
    Группа ресурсов fw-manager-rg
    Virtual machine name Srv-workload-01
    Область/регион Восточная часть США (США)
    Имя пользователя для администратора введите имя пользователя
    Пароль введите пароль
  4. В разделе Правила входящего порта выберите для пункта Общедоступные входящие порты значение Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Выберите Spoke-01 для виртуальной сети и Workload-01-SN — для подсети.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Нажмите кнопку "Далее:Мониторинг".

  11. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

Используйте сведения в таблице ниже, чтобы настроить другую виртуальную машину с именем Srv-Workload-02. Остальная конфигурация такая же, как и для виртуальной машины Srv-workload-01.

Параметр Значение
Виртуальная сеть Spoke-02
Подсеть Workload-02-SN

Развернув серверы, выберите ресурс сервера и в разделе Сеть запишите частный IP-адрес для каждого сервера.

Создание политики брандмауэра и защита концентратора

Политика брандмауэра определяет коллекции правил для направления трафика в один или несколько защищенных виртуальных концентраторов. Вы создаете политику брандмауэра, а затем защищаете центр.

  1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.

    Снимок экрана: создание Политика Azure с первым шагом.

  2. Щелкните Создание политики Брандмауэра Azure.

    Снимок экрана: настройка параметров Политика Azure на первом шаге.

  3. В поле Группа ресурсов выберите fw-manager-rg.

  4. В разделе Сведения о политике в поле Имя введите Policy-01, а в списке Регион выберите Восточная часть США.

  5. В качестве уровня политики выберите Премиум.

  6. Выберите Далее: Параметры DNS.

    Снимок экрана: настройка параметров DNS.

  7. Выберите Далее: Проверка TLS.

    Снимок экрана: настройка параметров TLS.

  8. Выберите Далее: Правила.

  9. На вкладке Правила выберите элемент Добавление коллекции правил.

    Снимок экрана: настройка коллекции правил.

  10. На странице Добавление коллекции правил в поле Имя введите App-RC-01.

  11. В списке Тип коллекции правил выберите Приложение.

  12. В поле Приоритет введите 100.

  13. В качестве действия коллекции правил должно быть выбрано Разрешить.

  14. Для имени правила введите Allow-msft.

  15. В поле Тип источника выберите IP-адрес.

  16. В поле Источник введите *.

  17. В поле Протокол введите http,https.

  18. Убедитесь, что для параметра Тип назначения выбрано значение Полное доменное имя.

  19. В поле Назначение введите *.microsoft.com.

  20. Выберите Добавить.

  21. Добавьте правило DNAT, чтобы подключить удаленный рабочий стол к виртуальной машине Srv-Workload-01.

    1. Щелкните Добавить коллекцию правил.
    2. В поле Имя введите dnat-rdp.
    3. В поле Тип коллекции правил выберите значение DNAT.
    4. В поле Приоритет введите 100.
    5. Для имени правила введите Allow-rdp.
    6. В поле Тип источника выберите IP-адрес.
    7. В поле Источник введите *.
    8. В поле Протокол выберите TCP.
    9. В поле Порты назначения введите 3389.
    10. В поле Назначение введите общедоступный IP-адрес брандмауэра, записанный ранее.
    11. Для переведенного типа выберите IP-адрес.
    12. В поле Преобразованный адрес введите частный IP-адрес для виртуальной машины Srv-Workload-01, который вы записали ранее.
    13. В поле Преобразованный порт введите 3389.
    14. Выберите Добавить.
  22. Добавьте правило сети, чтобы подключиться к удаленному рабочему столу из Srv-Workload-01 к Srv-Workload-02.

    1. Щелкните Добавить коллекцию правил.
    2. В поле Имя введите vnet-rdp.
    3. В поле Тип коллекции правил выберите значение Сеть.
    4. В поле Приоритет введите 100.
    5. В разделе Действие коллекции правил выберите Разрешить.
    6. В поле Имя для правила введите Allow-vnet.
    7. В поле Тип источника выберите IP-адрес.
    8. В поле Источник введите *.
    9. В поле Протокол выберите TCP.
    10. В поле Порты назначения введите 3389.
    11. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
    12. В поле Назначение введите частный IP-адрес для Srv-Workload-02, записанный ранее.
    13. Выберите Добавить.
  23. Нажмите кнопку "Далее" — поставщики удостоверений.

  24. На странице IDPS нажмите кнопку "Далее: аналитика угроз"

    Снимок экрана: настройка параметров IDPS.

  25. На странице "Аналитика угроз" примите значения по умолчанию и выберите "Проверить и создать":

    Снимок экрана: настройка параметров аналитики угроз.

  26. Проверьте, подтвердите выбор и нажмите кнопку "Создать".

Связывание политики

Свяжите политику брандмауэра с концентратором.

  1. В Диспетчере брандмауэра выберите Политики Брандмауэра Azure.

  2. Установите флажок напротив Policy-01.

  3. Выберите Управление привязками и Привязка концентраторов.

    Снимок экрана: настройка сопоставления политик.

  4. Выберите hub-01.

  5. Выберите Добавить.

    Снимок экрана: добавление параметров политики и центра.

Маршрутизация трафика в концентратор

Теперь необходимо сделать так, чтобы сетевой трафик маршрутизировался через брандмауэр.

  1. В Диспетчере брандмауэра выберите Виртуальные концентраторы.

  2. Выберите Hub-01.

  3. В разделе Параметры выберите пункт Конфигурация безопасности.

  4. В разделе Интернет-трафик выберите Брандмауэр Azure.

  5. В разделе Частный трафик выберите Брандмауэр Azure.

    Примечание.

    Если вы используете диапазоны общедоступных IP-адресов для частных сетей в виртуальной сети или локальной ветви, необходимо явно указать эти префиксы IP-адресов. Выберите раздел префиксов частного трафика и добавьте их вместе с префиксами адресов RFC1918.

  6. В разделе "Меж концентратор" выберите "Включено", чтобы включить функцию намерения маршрутизации Виртуальная глобальная сеть. Намерение маршрутизации — это механизм, с помощью которого можно настроить Виртуальная глобальная сеть маршрутизации трафика в ветвь —ветвь (локальная сеть) через Брандмауэр Azure развернутый в центре Виртуальная глобальная сеть. Дополнительные сведения о предварительных требованиях и рекомендациях, связанных с функцией намерения маршрутизации, см . в документации по намерению маршрутизации.

  7. Выберите Сохранить.

  8. В диалоговом окне предупреждения нажмите кнопку ОК.

    Снимок экрана: безопасные подключения.

  9. Нажмите кнопку "ОК " в диалоговом окне "Миграция" , чтобы использовать диалоговое окно "Меж концентратор ".

    Примечание.

    Обновление таблиц маршрутизации занимает несколько минут.

  10. Убедитесь, что два подключения отображают сведения о том, что брандмауэр Azure защищает как Интернет, так и частный трафик.

    Снимок экрана: окончательное состояние безопасных подключений.

тестирование брандмауэра.

Чтобы проверить правила брандмауэра, подключите удаленный рабочий стол с помощью общедоступного IP-адреса брандмауэра, который находится в Srv-Workload-01. Затем используйте браузер для тестирования правила приложения и подключения удаленного рабочего стола к Srv-Workload-02 для тестирования сетевого правила.

Тестирование правила приложения

Теперь проверьте правила брандмауэра, чтобы убедиться в том, что они работают должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и выполните вход.

  2. Откройте браузер Internet Explorer и перейдите на сайт https://www.microsoft.com.

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Майкрософт.

  4. Перейдите в https://www.google.com.

    Брандмауэр должен заблокировать это.

Теперь вы проверили, работает ли правило приложения брандмауэра:

  • Вы можете перейти только к одному разрешенному имени FQDN.

Проверка правила сети

Теперь проверьте правило сети.

  • В Srv-Workload-01 создайте сеанс удаленного рабочего стола по частному IP-адресу Srv-Workload-02.

    Удаленный рабочий стол должен подключиться к Srv-Workload-02.

Теперь вы проверили, работает ли правило сети брандмауэра:

  • Удаленный рабочий стол можно подключить к серверу, расположенному в другой виртуальной сети.

Очистка ресурсов

Когда вы протестируете ресурсы брандмауэра, удалите группу ресурсов fw-manager-rg со всеми ресурсами, связанными с брандмауэром.

Следующие шаги