教程:使用 Azure 防火墙管理器保护虚拟中心
使用 Azure 防火墙管理器,可以创建安全虚拟中心来保护发往专用 IP 地址、Azure PaaS 和 Internet 的云网络流量。 到防火墙的流量路由是自动的,因此无需创建用户定义的路由 (UDR)。
防火墙管理器还支持中心虚拟网络体系结构。 有关安全虚拟中心和中心虚拟网络体系结构类型的比较,请参阅有哪些 Azure 防火墙管理器体系结构选项?
在本教程中,你将了解如何执行以下操作:
- 创建分支虚拟网络
- 创建安全虚拟中心
- 连接中心和辐射型虚拟网络
- 将流量路由到中心
- 部署服务器
- 创建防火墙策略并保护中心
- 测试防火墙
重要
本教程中的过程使用 Azure 防火墙管理器创建新的 Azure 虚拟 WAN 安全中心。 可以使用防火墙管理器升级现有中心,但无法为 Azure 防火墙配置 Azure 可用性区域。 也可以使用 Azure 门户将现有中心转换为安全中心,如在虚拟 WAN 中心配置 Azure 防火墙所述。 但与 Azure 防火墙管理器一样,无法配置可用性区域。 若要升级现有中心并为 Azure 防火墙指定可用性区域(推荐),必须遵循教程:使用 Azure PowerShell 保护虚拟中心中的升级过程。
先决条件
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
创建中心和辐射体系结构
首先,创建一个可放置服务器的辐射型虚拟网络。
创建两个辐射型虚拟网络和子网
两个虚拟网络各自具有工作负载服务器,并且都受防火墙保护。
- 在 Azure 门户主页上,选择“创建资源”。
- 搜索并选择“虚拟网络”,并选择“创建”。
- 对于“订阅”,请选择自己的订阅。
- 对于资源组,选择新建,键入 fw-manager-rg 作为名称,然后选择确定。
- 对于“虚拟网络名称”,请键入“Spoke-01”。
- 对于“区域”,请选择“中国东部”。
- 选择下一步。
- 在“安全性”页上,选择“下一步”。
- 在“添加 IPv4 地址空间”下,接受默认值“10.0.0.0/16”。
- 在“子网”下,选择“默认值”。
- 对于“名称”,键入“Workload-01-SN”。
- 对于“起始地址”,键入“10.0.1.0/24”。
- 选择“保存”。
- 选择“查看 + 创建”。
- 选择“创建”。
重复此过程,以在 fw-manager-rg 资源组中创建另一个类似的虚拟网络:
姓名:Spoke-02
地址空间:10.1.0.0/16
子网名称:Workload-02-SN
起始地址:10.1.1.0/24
创建安全虚拟中心
使用防火墙管理器创建安全虚拟中心。
在 Azure 门户主页上,选择“所有服务”。
在搜索框中,键入“防火墙管理器”并选择“防火墙管理器”。
在“部署”下的“防火墙管理器”页面,选择“虚拟中心”。
在“防火墙管理器 | 虚拟中心”页上,选择“新建安全虚拟中心”。
选择订阅。
对于资源组,请选择 fw-manager-rg。
对于“区域”,请选择“中国东部”。
对于“安全虚拟中心名称”,键入“Hub-01”。
对于中心地址空间,请键入 10.2.0.0/16。
选择“新建 vWAN”。
对于新的虚拟 WAN 名称,键入“Vwan-01”。
对于“类型”,请选择“标准”。
使“包含 VPN 网关以启用受信任的安全合作伙伴”复选框处于清除状态。
在完成时选择“下一步:Azure 防火墙”。
接受默认的“Azure 防火墙”的“启用”设置。
对于“Azure 防火墙层”,选择“标准”。
选择所需的可用性区域组合。
重要
虚拟 WAN 是中心以及其中提供的服务的集合。 可以部署所需的任意数量的虚拟 WAN。 虚拟 WAN 中心包含多个服务,例如 VPN、ExpressRoute 等。 如果区域支持可用性区域,则这些服务都会自动跨可用性区域进行部署,Azure 防火墙除外。 若要与 Azure 虚拟 WAN 复原能力保持一致,应选择所有可用的可用性区域。
在“指定公共 IP 地址数”文本框中,键入 1。
在“防火墙策略”下,确保选中“默认拒绝策略”。 可在本文稍后部分优化设置。
选择“下一步: 安全合作伙伴提供程序”。
接受默认的“受信任的安全合作伙伴”的“禁用”设置,然后选择“下一步: 查看 + 创建”。
选择创建。
注意
创建安全虚拟中心可能需要长达 30 分钟的时间。
部署完成后,可以查找防火墙公共 IP 地址。
- 开启防火墙管理器。
- 选择虚拟中心。
- 选择“hub-01”。
- 选择“AzureFirewall_Hub-01”。
- 记下公共 IP 地址以供稍后使用。
连接中心和辐射型虚拟网络
现在,你可以将中心和辐射型虚拟网络对等互连。
选择 fw-manager-rg 资源组,然后选择 Vwan-01 虚拟 WAN。
在“连接”下,选择“虚拟网络连接”。
选择“添加连接”。
对于“连接名称”,键入“hub-spoke-01”。
对于“中心”,选择“Hub-01”。
对于资源组,请选择 fw-manager-rg。
对于“虚拟网络”,选择“Spoke-01”。
选择创建。
重复此步骤以连接“Spoke-02”虚拟网络:连接名称 -“hub-spoke-02”。
部署服务器
在 Azure 门户中,选择“创建资源”。
在“常用”列表中选择“Windows Server 2019 Datacenter” 。
输入虚拟机的以下值:
设置 值 资源组 fw-manager-rg 虚拟机名称 Srv-workload-01 区域 中国北部 3 管理员用户名 键入用户名 密码 键入密码 在“入站端口规则”下,对于“公共入站端口”,选择“无” 。
接受其他默认值,然后选择“下一步:磁盘” 。
接受磁盘默认值,然后选择“下一步:网络”。
选择“Spoke-01”作为虚拟网络,并选择“Workload-01-SN”作为子网 。
对于“公共 IP”,请选择“无”。
接受其他默认值,然后选择“下一步:管理” 。
选择“下一步: 监视”。
选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。
检查摘要页上的设置,然后选择“创建”。
使用下表中的信息配置名为 Srv-Workload-02 的另一台虚拟机。 剩余的配置与 Srv-workload-01 虚拟机相同。
设置 | 值 |
---|---|
虚拟网络 | Spoke-02 |
子网 | Workload-02-SN |
部署服务器后,选择服务器资源,并记下“网络”中每个服务器的专用 IP 地址。
创建防火墙策略并保护中心
防火墙策略定义规则集合,以在一个或多个安全虚拟中心上定向流量。 创建防火墙策略,然后保护你的中心。
从防火墙管理器中,选择“Azure 防火墙策略”。
选择“创建 Azure 防火墙策略”。
对于资源组,请选择 fw-manager-rg。
在“策略详细信息”下,针对“名称”键入“Policy-01”并针对“区域”选择“中国东部”。
对于“策略层”,选择“标准”。
选择下一步:DNS 设置。
选择“下一步:TLS 检查”。
选择下一步:规则。
在“规则”选项卡上,选择“添加规则集合”。
在“添加规则集合”页上,键入“App-RC-01”作为“名称”。
对于“规则集合类型”,选择“应用程序”。
对于“优先级”,请键入 100。
确保“规则集合操作”设置为“允许”。
对于规则“名称”,键入“Allow-msft”。
对于“源类型”,请选择“IP 地址” 。
对于“源”,请键入 *。
对于“协议”,键入“http,https”。
确保“目标类型”是“FQDN” 。
对于“目标”,键入“*.microsoft.com”。
选择 添加 。
添加一项 DNAT 规则,以便可以将远程桌面连接到 Srv-Workload-01 虚拟机。
- 选择“添加规则集合”。
- 对于名称,请键入 dnat-rdp。
- 对于“规则集合类型”,请选择“DNAT” 。
- 对于“优先级”,请键入 100。
- 对于规则“名称”,键入“Allow-rdp”。
- 对于“源类型”,请选择“IP 地址” 。
- 对于“源”,请键入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请键入 3389。
- 对于“目标”,键入之前记下的防火墙公共 IP 地址。
- 对于“转换的类型”,请选择“IP 地址”。
- 对于“转换的地址”,键入之前记下的 Srv-Workload-01 的专用 IP 地址 。
- 对于“已翻译的端口” ,键入 3389。
- 选择 添加 。
添加一项网络规则,以便可以将远程桌面从 Srv-Workload-01 连接到 Srv-Workload-02。
- 选择“添加规则集合”。
- 对于“名称”,键入“vnet-rdp” 。
- 对于“规则集合类型”,请选择“网络”。
- 对于“优先级”,请键入 100。
- 对于规则集合操作,请选择允许。
- 对于规则的“名称”,键入“Allow-vnet”。
- 对于“源类型”,请选择“IP 地址” 。
- 对于“源”,请键入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请键入 3389。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,键入之前记下的 Srv-Workload-02 专用 IP 地址 。
- 选择 添加 。
选择“下一步: IDPS”。
在“IDPS”页上,选择“下一步: 威胁情报”
在“威胁情报”页中,接受默认设置并选择“查看并创建”:
查看以确认选择,然后选择“创建”。
关联策略
将防火墙策略与中心关联。
将流量路由到中心
现在必须确保通过防火墙路由网络流量。
从防火墙管理器中,选择虚拟中心。
选择“Hub-01”。
在“设置”下,选择“安全配置” 。
在“Internet 流量”下,选择“Azure 防火墙” 。
在“专用流量”下,选择“通过 Azure 防火墙发送” 。
在“中心间”下,选择“已启用”以启用虚拟 WAN 路由意向功能。 路由意向是一种机制,可以通过该机制配置虚拟 WAN,以通过部署在虚拟 WAN 中心内的 Azure 防火墙路由分支到分支(本地到本地)流量。 有关与路由意向功能相关的先决条件和注意事项的详细信息,请参阅路由意向文档。
选择“保存”。
在“警告”对话框中选择“确定”。
注意
更新路由表需要几分钟时间。
验证两个连接是否显示 Azure 防火墙同时保护 Internet 和专用通信。
测试防火墙
若要测试防火墙规则,请使用防火墙公共 IP 地址(该地址已通过 NAT 转换到“Srv-Workload-01”)连接远程桌面。 在其中使用浏览器测试应用程序规则并将远程桌面连接到 Srv-Workload-02 来测试网络规则。
测试应用程序规则
现在,测试防火墙以确认它可按预期工作。
将远程桌面连接到防火墙公共 IP 地址,然后进行登录。
打开 Internet Explorer 并浏览到
https://www.microsoft.com
。出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。
应会看到 Azure 主页。
-
防火墙应会阻止你访问。
现已验证防火墙应用程序规则可正常工作:
- 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
测试网络规则
现在测试网络规则。
从 Srv-Workload-01,打开连接到 Srv-Workload-02 专用 IP 地址的远程桌面。
远程桌面应连接到 Srv-Workload-02。
现已验证防火墙网络规则可正常工作:
- 你可以将远程桌面连接到另一个虚拟网络中的服务器。
清理资源
完成防火墙资源测试后,删除 fw-manager-rg 资源组,以删除所有与防火墙相关的资源。