Руководство. Защита виртуальной сети концентратора с помощью диспетчера Брандмауэр Azure
Возможность контролировать доступ к сетевым ресурсам Azure при подключении локальной сети к виртуальной сети Azure для создания гибридной сети является важной частью общего плана безопасности.
С помощью Диспетчера брандмауэра Azure можно создать центральную виртуальную сеть для защиты трафика гибридной сети, направляемого на частные IP-адреса, в Azure PaaS и Интернет. Диспетчер брандмауэра Azure позволяет контролировать доступ к гибридной сети с помощью политик, которые определяют разрешенный и запрещенный сетевой трафик.
Диспетчер брандмауэра также поддерживает архитектуру защищенных виртуальных концентраторов. Сравнение таких типов архитектуры, как защищенный виртуальный концентратор и центр виртуальной сети, см. в этой статье.
В этом руководстве описано, как создать три виртуальные сети:
- VNet-Hub — виртуальная сеть, в которой размещен брандмауэр;
- VNet-Spoke — периферийная виртуальная сеть, которая представляет рабочую нагрузку, размещенную в Azure;
- VNet-Onprem — локальная виртуальная сеть, которая представляет локальную среду. В фактическом развертывании его можно подключить с помощью VPN-подключения или ExpressRoute. Для простоты в этом руководстве используется подключение к шлюзу VPN, а виртуальная сеть, размещенная в Azure, представляет локальную сеть.
В этом руководстве описано следующее:
- Создание политики брандмауэра.
- Создание виртуальных сетей
- Настройка и развертывание брандмауэра
- Создание и подключение шлюзов VPN
- Настройка пиринга между центральной и периферийной виртуальными сетями
- Создание маршрутов.
- Создание виртуальных машин
- тестирование брандмауэра.
Необходимые компоненты
Гибридная сеть использует "звездообразную" модель архитектуры для маршрутизации трафика между виртуальными и локальными сетями Azure. "Звездообразная" архитектура имеет указанные далее требования.
- Чтобы направить трафик периферийной подсети через брандмауэр концентратора, требуется определяемый пользователем маршрут (UDR), указывающий на брандмауэр с отключенным параметром Распространение маршрутов шлюза виртуальной сети. Этот параметр запрещает распределение маршрутов между периферийными подсетями. Это предотвращает конфликт полученных маршрутов с UDR.
- Настройте маршрут UDR в подсети шлюза центра, который должен указывать на IP-адрес брандмауэра в качестве следующего прыжка к периферийным сетям. В подсети Брандмауэра Azure не требуется указывать UDR, так как он узнает о маршрутах из BGP.
См. раздел Создание маршрутов в этом руководстве, чтобы узнать, как создаются эти маршруты.
Примечание.
Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.
Брандмауэр Azure можно настроить для поддержки принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).
Примечание.
Трафик между виртуальными сетями с прямым пирингом передается напрямую, даже если маршрут UDR указывает на Брандмауэр Azure как шлюз по умолчанию. Чтобы маршрутизировать трафик между подсетями к брандмауэру в этом сценарии, в UDR для обеих подсетей нужно явно указать префикс целевой подсети.
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Создание политики брандмауэра
Войдите на портал Azure.
На портале Azure в строке поиска введите Диспетчер брандмауэра и нажмите клавишу ВВОД.
На странице диспетчера Брандмауэр Azure в разделе "Безопасность" выберите Брандмауэр Azure политики.
Щелкните Создание политики Брандмауэра Azure.
Выберите подписку, а для группы ресурсов щелкните Create new (Создать) и создайте ее с именем FW-Hybrid-Test.
Введите имя политики Pol-Net01.
В поле "Регион" выберите Восточная часть США.
Выберите Далее: Параметры DNS.
Выберите Далее : Проверка TLS
Выберите Далее: Правила.
Щелкните Добавить коллекцию правил.
В поле Имя введите RCNet01.
В поле Тип коллекции правил выберите значение Сеть.
В поле Приоритет введите 100.
В поле Действие выберите Разрешить.
В разделе Правила в поле Имя введите AllowWeb.
В поле Источник введите 192.168.1.0/24.
В поле Протокол выберите TCP.
В поле Порты назначения введите 80.
В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
В поле Пункт назначения введите 10.6.0.0/16.
В следующей строке правила введите следующие сведения.
"Имя": введите AllowRDP.
Источник: введите 192.168.1.0/24.
"Протокол": выберите значение TCP.
"Порты назначения": введите 3389.
"Тип назначения": выберите Адрес IP.
"Пункт назначения": ведите 10.6.0.0/16.Выберите Добавить.
Выберите Review + Create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
Создание центральной виртуальной сети с брандмауэром
Примечание.
Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.
На домашней странице портала Azure выберите Создать ресурс.
Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.
Нажмите кнопку создания.
В качестве подписки выберите свою подписку.
В поле Группа ресурсов выберите FW-Hybrid-Test.
В поле Имя введите VNet-Hub.
В поле Страна или регион выберите Восточная часть США.
Выберите Далее.
В поле "Безопасность" нажмите кнопку "Далее".
В поле Диапазон IPv4-адресов введите 10.5.0.0/16.
В подсетях выберите значение по умолчанию.
Для назначения подсети выберите Брандмауэр Azure.
Для начального адреса введите 10.5.0.0/26.
Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Добавьте другую подсеть с назначением подсети, чтобы виртуальная сеть шлюз с начальным адресом 10.5.1.0/27. Эта подсеть используется для VPN-шлюза.
Создание периферийной виртуальной сети
- На домашней странице портала Azure выберите Создать ресурс.
- Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.
- Нажмите кнопку создания.
- В качестве подписки выберите свою подписку.
- В поле Группа ресурсов выберите FW-Hybrid-Test.
- В поле Имя введите VNet-Spoke.
- В поле Страна или регион выберите Восточная часть США.
- Выберите Далее.
- На странице "Безопасность" нажмите кнопку "Далее".
- Выберите Далее: IP-адреса.
- В поле Диапазон IPv4-адресов введите 10.6.0.0/16.
- В подсетях выберите значение по умолчанию.
- Измените имя на SN-Workload.
- Для начального адреса введите 10.6.0.0/24.
- Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.
- Выберите Review + create (Просмотреть и создать).
- Нажмите кнопку создания.
Создание локальной виртуальной сети
На домашней странице портала Azure выберите Создать ресурс.
Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.
Нажмите кнопку создания.
В качестве подписки выберите свою подписку.
В поле Группа ресурсов выберите FW-Hybrid-Test.
Для имени виртуальной сети введите VNet-OnPrem.
В поле Страна или регион выберите Восточная часть США.
Выберите Далее.
На странице "Безопасность" нажмите кнопку "Далее".
В поле Диапазон IPv4-адресов введите 192.168.0.0/16.
В подсетях выберите значение по умолчанию.
Измените имя на SN-Corp.
Для начального адреса введите 192.168.1.0/24.
Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.
Выберите " Добавить подсеть".
Для назначения подсети выберите шлюз виртуальная сеть.
Для начального типа адреса 192.168.2.0/27.
Выберите Добавить.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Настройка и развертывание брандмауэра
Если с концентратором связаны политики безопасности, он называется центральной виртуальной сетью.
Преобразуйте виртуальную сеть VNet-Hub в центральную виртуальную сеть и защитите ее с помощью Брандмауэра Azure.
На портале Azure в строке поиска введите Диспетчер брандмауэра и нажмите клавишу ВВОД.
В правой области выберите "Обзор".
На странице Диспетчер брандмауэра Azure в разделе Add security to virtual networks (Усиление безопасности виртуальных сетей) щелкните View hub virtual networks (Просмотр центральной виртуальной сети).
В разделе Виртуальные сети установите флажок VNet-hub.
Выберите Управление безопасностью, а затем Deploy a Firewall with Firewall Policy (Развернуть брандмауэр с политикой брандмауэра).
На странице "Преобразование виртуальных сетей" в Брандмауэр Azure уровне выберите "Премиум". В разделе "Политика брандмауэра" установите флажок для Pol-Net01.
Выберите Далее: Проверить и подтвердить
Проверьте параметры, а затем нажмите кнопку Подтвердить.
Развертывание занимает несколько минут.
По завершении развертывания перейдите в группу ресурсов FW-Hybrid-Test и выберите брандмауэр.
Обратите внимание на частный IP-адрес брандмауэра на странице обзора. Вы используете его позже при создании маршрута по умолчанию.
Создание и подключение шлюзов VPN
Центральная и локальная виртуальные сети подключены друг к другу с помощью VPN-шлюзов.
Создание VPN-шлюза в центральной виртуальной сети
Теперь создайте VPN-шлюз в центральной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.
- На домашней странице портала Azure выберите Создать ресурс.
- В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
- Выберите Шлюз виртуальной сети и щелкните Создать.
- В поле Имя введите GW-hub.
- В поле Регион выберите значение (США) Восточная часть США.
- В поле Тип шлюза выберите VPN.
- Для SKU выберите VpnGw2.
- Для создания выберите "Поколение2".
- В поле Виртуальная сеть выберите VNet-hub.
- В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-hub-GW-pip.
- Для включения активно-активного режима выберите "Отключено".
- Примите другие значения по умолчанию и выберите Просмотр и создание.
- Проверьте конфигурацию и щелкните Создать.
Создание VPN-шлюза для локальной виртуальной сети
Теперь создайте VPN-шлюз для локальной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.
- На домашней странице портала Azure выберите Создать ресурс.
- В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
- Выберите Шлюз виртуальной сети и щелкните Создать.
- В поле Имя введите GW-Onprem.
- В поле Регион выберите значение (США) Восточная часть США.
- В поле Тип шлюза выберите VPN.
- Для SKU выберите VpnGw2.
- Для создания выберите "Поколение2".
- В поле Виртуальная сеть выберите VNet-OnPrem.
- В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-Onprem-GW-pip.
- Для включения активно-активного режима выберите "Отключено".
- Примите другие значения по умолчанию и выберите Просмотр и создание.
- Проверьте конфигурацию и щелкните Создать.
Создание VPN-подключений
Теперь можно создать VPN-подключения между центральным и локальным шлюзами.
На этом этапе вы создадите подключение между центральной и локальной виртуальными сетями. Общий ключ ссылается в примерах. Можно использовать собственные значения для общего ключа. Важно, чтобы общий ключ в обоих подключениях был одинаковым. Создание подключения может занять некоторое время.
- Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-hub.
- В левом столбце в разделе "Параметры" выберите "Подключения".
- Выберите Добавить.
- В поле "Имя подключения" введите Hub-to-Onprem.
- Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
- Нажмите кнопку "Далее" : "Параметры".
- Для первого шлюза виртуальной сети выберите GW-hub.
- В поле Шлюз второй виртуальной сети выберите GW-Onprem.
- В поле Общий ключ (PSK) введите AzureA1b2C3.
- Выберите Review + create (Просмотреть и создать).
- Нажмите кнопку создания.
Создайте подключение между локальной и центральной виртуальными сетями. Этот шаг похож на предыдущий, за исключением того, что вы создаете подключение из VNet-Onprem к VNet-hub. Убедитесь, что общие ключи совпадают. Подключение установится через несколько минут.
- Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-Onprem.
- В левом столбце выберите Соединения.
- Выберите Добавить.
- В поле "Имя подключения" введите Onprem-to-Hub.
- Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
- Нажмите кнопку "Далее" : "Параметры".
- Для первого шлюза виртуальной сети выберите GW-Onprem.
- В поле Шлюз второй виртуальной сети выберите GW-hub.
- В поле Общий ключ (PSK) введите AzureA1b2C3.
- Нажмите ОК.
Проверка подключения
Через пять минут после развертывания второго сетевого подключения состояние обоих подключений должно быть подключено.
Настройка пиринга между центральной и периферийной виртуальными сетями
Теперь создайте пиринговое подключение между центральной и периферийной виртуальными сетями.
Откройте группу ресурсов FW-Hybrid-Test и выберите виртуальную сеть VNet-hub.
В левой колонке щелкните Пиринги.
Выберите Добавить.
В разделе "Сводка по удаленной виртуальной сети":
Имя настройки Значение Имя пиринговой связи SpoketoHub Модель развертывания виртуальной сети Resource Manager Отток подписок <ваша подписка> Виртуальная сеть VNet-Spoke Разрешить "виртуальная сеть-периферийный" доступ к "VNet-hub" выбрано Разрешить "виртуальная сеть-периферийный" получать переадресованный трафик из "VNet-Hub" выбрано Разрешить шлюзу или серверу маршрутизации в VNet-Spoke перенаправить трафик в "VNet-Hub" не выбрано Включите "виртуальная сеть-периферийный" для использования удаленного шлюза или сервера маршрутизации виртуальной сети выбрано В разделе "Сводка по локальной виртуальной сети":
Имя настройки Значение Имя пиринговой связи HubtoSpoke Разрешить "VNet-hub" получить доступ к "виртуальной сети-периферийным" выбрано Разрешить "VNet-hub" получать переадресованный трафик из "VNet-Spoke" выбрано Разрешить шлюзу или серверу маршрутизации в "VNet-Hub" перенаправить трафик в "виртуальная сеть-периферийный" выбрано Включение "VNet-hub" для использования удаленного шлюза или сервера маршрутизации виртуальной сети не выбрано Выберите Добавить.
Создание маршрутов.
Создайте несколько маршрутов:
- Маршрут от подсети шлюза центра до периферийной подсети через IP-адрес брандмауэра.
- Маршрут по умолчанию из периферийной подсети через IP-адрес брандмауэра.
- На домашней странице портала Azure выберите Создать ресурс.
- В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
- Щелкните элемент Таблица маршрутов.
- Нажмите кнопку создания.
- В качестве группы ресурсов выберите FW-Hybrid-Test.
- В поле Страна или регион выберите Восточная часть США.
- В поле "Имя" введите UDR-Hub-Spoke.
- Выберите Review + Create (Просмотреть и создать).
- Нажмите кнопку создания.
- После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
- В левом столбце выберите Маршруты.
- Выберите Добавить.
- В поле "Имя маршрута" введите ToSpoke.
- Для типа назначения выберите IP-адреса.
- Для диапазонов IP-адресов назначения или CIDR введите 10.6.0.0/16.
- В поле "Тип следующего прыжка" выберите Виртуальный модуль.
- В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
- Выберите Добавить.
Теперь свяжите таблицу маршрутов с подсетью.
- На странице UDR-Hub-Spoke — маршруты выберите Подсети.
- Выберите Связать.
- В разделе Виртуальная сеть выберите VNet-hub.
- В разделе Подсеть выберите GatewaySubnet.
- Нажмите ОК.
Теперь создайте маршрут по умолчанию из периферийной подсети.
- На домашней странице портала Azure выберите Создать ресурс.
- В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
- Щелкните элемент Таблица маршрутов.
- Нажмите кнопку создания.
- В качестве группы ресурсов выберите FW-Hybrid-Test.
- В поле Страна или регион выберите Восточная часть США.
- В поле "Имя" введите UDR-DG.
- Для параметра распространения маршрутов шлюза выберите вариант Нет.
- Выберите Review + create (Просмотреть и создать).
- Нажмите кнопку создания.
- После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
- В левом столбце выберите Маршруты.
- Выберите Добавить.
- В поле "Имя маршрута" введите ToHub.
- Для типа назначения выберите IP-адреса
- Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.
- В поле "Тип следующего прыжка" выберите Виртуальный модуль.
- В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
- Выберите Добавить.
Теперь свяжите таблицу маршрутов с подсетью.
- На странице UDR-DG — маршруты выберите Подсети.
- Выберите Связать.
- В разделе Виртуальная сеть выберите VNet-spoke.
- В разделе Подсеть выберите SN-Workload.
- Нажмите ОК.
Создание виртуальных машин
Теперь создайте виртуальные машины для периферийной рабочей нагрузки и локальной среды и поместите их в соответствующие подсети.
Создание виртуальной машины с рабочей нагрузкой
В периферийной виртуальной сети создайте виртуальную машину со службами IIS без общедоступного IP-адреса.
На домашней странице портала Azure выберите Создать ресурс.
В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.
Введите следующие значения для виртуальной машины:
- В поле Группа ресурсов выберите FW-Hybrid-Test
- Имя виртуальной машины: VM-Spoke-01
- Регион - (США) Восточная часть США
- Имя пользователя: введите имя пользователя
- Пароль: введите пароль.
Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите варианты HTTP (80) и RDP (3389).
Выберите Next:Disks (Далее: диски).
Примите значения по умолчанию и нажмите кнопку Далее: Сеть.
Выберите виртуальную сеть VNet-Spoke и подсеть SN-Workload.
Щелкните Далее: Управление.
Нажмите кнопку "Далее" — мониторинг.
Для параметра Диагностика загрузки выберите команду Отключить.
Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и нажмите кнопку Создать.
Установить IIS
На портале Azure откройте Cloud Shell и убедитесь, что здесь выбран вариант PowerShell.
Чтобы установить службы IIS, выполните на виртуальной машине следующие команды и измените расположение, если это необходимо:
Set-AzVMExtension ` -ResourceGroupName FW-Hybrid-Test ` -ExtensionName IIS ` -VMName VM-Spoke-01 ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
Создание локальной виртуальной машины
Это виртуальная машина, которую вы используете для подключения к общедоступному IP-адресу по протоколу удаленного рабочего стола. Далее можно подключиться к локальному серверу за брандмауэром.
На домашней странице портала Azure выберите Создать ресурс.
В разделе Популярные выберите Windows Server 2019 Datacenter.
Введите следующие значения для виртуальной машины:
- Группа ресурсов. Выберите "Использовать имеющуюся", а затем — FW-Hybrid-Test
- Имя виртуальной машины - VM-Onprem
- Регион - (США) Восточная часть США
- Имя пользователя: введите имя пользователя
- Пароль: введите пароль.
Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите вариант RDP (3389).
Выберите Next:Disks (Далее: диски).
Примите значения по умолчанию и щелкните Далее: Сеть.
Выберите виртуальную сеть VNet-Onprem и подсеть SN-Corp.
Щелкните Далее: Управление.
Нажмите кнопку "Далее" — мониторинг.
Для параметра Диагностика загрузки выберите Отключить.
Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и нажмите кнопку Создать.
тестирование брандмауэра.
Сначала запишите частный IP-адрес для виртуальной машины VM-Spoke-01 с ее страницы обзора.
На портале Azure подключитесь к виртуальной машине VM-Onprem.
Откройте веб-браузер в VM-Onprem и перейдите по адресу http://<частный IP-адрес VM-spoke-01>.
Вы увидите веб-страницу VM-spoke-01 :
На виртуальной машине VM-Onprem подключите удаленный рабочий стол к VM-spoke-01 по частному IP-адресу.
Должно установиться соединение, чтобы вы могли войти в систему.
Теперь вы убедились, что правила брандмауэра работают:
- При помощи браузера можно подключиться к веб-серверу в периферийной виртуальной сети.
- К серверу в периферийной виртуальной сети можно подключиться с помощью RDP.
Затем измените действие коллекции сетевых правил брандмауэра на Запретить, чтобы убедиться, что правила брандмауэра работают должным образом.
- Откройте группу ресурсов FW-Hybrid-Test и выберите политику брандмауэра Pol-Net01.
- В разделе Параметры выберите Rule Collections (Коллекции правил).
- Выберите коллекцию правил RCNet01.
- В поле Действие коллекции правил выберите значение Запретить.
- Выберите Сохранить.
Перед тестированием измененных правил в виртуальной машине VM-Onprem закройте имеющиеся удаленные рабочие столы и браузеры. После завершения обновления коллекции правил выполните тесты еще раз. На этот раз все подключения должны завершиться сбоем.
Очистка ресурсов
Вы можете сохранить ресурсы брандмауэра для дальнейшего исследования или, если они больше не нужны, удалить группу ресурсов FW-Hybrid-Test, чтобы удалить ресурсы, связанные с брандмауэром.