教程:使用 Azure 防火墙管理器保护虚拟中心
使用 Azure 防火墙管理器,可以创建安全虚拟中心来保护发往专用 IP 地址、Azure PaaS 和 Internet 的云网络流量。 到防火墙的流量路由是自动的,因此无需创建用户定义的路由 (UDR)。
防火墙管理器还支持中心虚拟网络体系结构。 有关安全虚拟中心和中心虚拟网络体系结构类型的比较,请参阅有哪些 Azure 防火墙管理器体系结构选项?
在本教程中,你将了解如何执行以下操作:
- 创建分支虚拟网络
- 创建安全虚拟中心
- 连接中心和辐射型虚拟网络
- 将流量路由到中心
- 部署服务器
- 创建防火墙策略并保护中心
- 测试防火墙
重要
本教程中的过程使用 Azure 防火墙管理器创建新的 Azure 虚拟 WAN 安全中心。 可以使用防火墙管理器升级现有中心,但无法为 Azure 防火墙配置 Azure 可用性区域。 也可以使用 Azure 门户将现有中心转换为安全中心,如在虚拟 WAN 中心配置 Azure 防火墙所述。 但与 Azure 防火墙管理器一样,无法配置可用性区域。 若要升级现有中心并为 Azure 防火墙指定可用性区域(推荐),必须遵循教程:使用 Azure PowerShell 保护虚拟中心中的升级过程。
先决条件
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
创建中心和辐射体系结构
首先,创建一个可放置服务器的辐射型虚拟网络。
创建两个辐射型虚拟网络和子网
两个虚拟网络各自具有工作负载服务器,并且都受防火墙保护。
- 在 Azure 门户主页上,选择“创建资源”。
- 搜索并选择“虚拟网络”,并选择“创建”。
- 对于“订阅”,请选择自己的订阅。
- 对于资源组,选择新建,键入 fw-manager-rg 作为名称,然后选择确定。
- 对于“虚拟网络名称”,请键入“Spoke-01”。
- 对于“区域”,请选择“中国东部”。
- 选择下一步。
- 在“安全性”页上,选择“下一步”。
- 在“添加 IPv4 地址空间”下,接受默认值“10.0.0.0/16”。
- 在“子网”下,选择“默认值”。
- 对于“名称”,键入“Workload-01-SN”。
- 对于“起始地址”,键入“10.0.1.0/24”。
- 选择“保存”。
- 选择“查看 + 创建”。
- 选择“创建”。
重复此过程,以在 fw-manager-rg 资源组中创建另一个类似的虚拟网络:
姓名:Spoke-02
地址空间:10.1.0.0/16
子网名称:Workload-02-SN
起始地址:10.1.1.0/24
创建安全虚拟中心
使用防火墙管理器创建安全虚拟中心。
在 Azure 门户主页上,选择“所有服务”。
在搜索框中,键入“防火墙管理器”并选择“防火墙管理器”。
在“部署”下的“防火墙管理器”页面,选择“虚拟中心”。
在“防火墙管理器 | 虚拟中心”页上,选择“新建安全虚拟中心”。
选择订阅。
对于资源组,请选择 fw-manager-rg。
对于“区域”,请选择“中国东部”。
对于“安全虚拟中心名称”,键入“Hub-01”。
对于中心地址空间,请键入 10.2.0.0/16。
选择“新建 vWAN”。
对于新的虚拟 WAN 名称,键入“Vwan-01”。
对于“类型”,请选择“标准”。
使“包含 VPN 网关以启用受信任的安全合作伙伴”复选框处于清除状态。
在完成时选择“下一步:Azure 防火墙”。
接受默认的“Azure 防火墙”“启用”设置。
对于“Azure 防火墙层”,选择“标准”。
选择所需的可用性区域组合。
重要
虚拟 WAN 是中心以及其中提供的服务的集合。 可以部署所需的任意数量的虚拟 WAN。 虚拟 WAN 中心包含多个服务,例如 VPN、ExpressRoute 等。 如果区域支持可用性区域,则这些服务都会自动跨可用性区域进行部署,Azure 防火墙除外。 若要与 Azure 虚拟 WAN 复原能力保持一致,应选择所有可用的可用性区域。
在“防火墙策略”下,确保选中“默认拒绝策略”。 可在本文稍后部分优化设置。
选择“下一步: 安全合作伙伴提供程序”。
接受默认的“受信任的安全合作伙伴”的“禁用”设置,然后选择“下一步: 查看 + 创建”。
选择“创建” 。
注意
创建安全虚拟中心可能需要长达 30 分钟的时间。
部署完成后,可以查找防火墙公共 IP 地址。
- 开启防火墙管理器。
- 选择虚拟中心。
- 选择“hub-01”。
- 选择“AzureFirewall_Hub-01”。
- 记下公共 IP 地址以供稍后使用。
连接中心和辐射型虚拟网络
现在,你可以将中心和辐射型虚拟网络对等互连。
选择 fw-manager-rg 资源组,然后选择 Vwan-01 虚拟 WAN。
在“连接”下,选择“虚拟网络连接”。
选择“添加连接”。
对于“连接名称”,键入“hub-spoke-01”。
对于“中心”,选择“Hub-01”。
对于资源组,请选择 fw-manager-rg。
对于“虚拟网络”,选择“Spoke-01”。
选择创建。
重复此步骤以连接“Spoke-02”虚拟网络:连接名称 -“hub-spoke-02”。
部署服务器
在 Azure 门户中,选择“创建资源”。
在“常用”列表中选择“Windows Server 2019 Datacenter” 。
输入虚拟机的以下值:
设置 值 资源组 fw-manager-rg 虚拟机名称 Srv-workload-01 区域 中国北部 3 管理员用户名 键入用户名 密码 键入密码 在“入站端口规则”下,对于“公共入站端口”,选择“无” 。
接受其他默认值,然后选择“下一步:磁盘” 。
接受磁盘默认值,然后选择“下一步:网络”。
选择“Spoke-01”作为虚拟网络,并选择“Workload-01-SN”作为子网 。
对于“公共 IP”,请选择“无”。
接受其他默认值,然后选择“下一步:管理” 。
选择“下一步: 监视”。
选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。
检查摘要页上的设置,然后选择“创建”。
使用下表中的信息配置名为 Srv-Workload-02 的另一台虚拟机。 剩余的配置与 Srv-workload-01 虚拟机相同。
设置 | 值 |
---|---|
虚拟网络 | Spoke-02 |
子网 | Workload-02-SN |
部署服务器后,选择服务器资源,并记下“网络”中每个服务器的专用 IP 地址。
创建防火墙策略并保护中心
防火墙策略定义规则集合,以在一个或多个安全虚拟中心上定向流量。 创建防火墙策略,然后保护你的中心。
从防火墙管理器中,选择“Azure 防火墙策略”。
选择“创建 Azure 防火墙策略”。
对于资源组,请选择 fw-manager-rg。
在“策略详细信息”下,针对“名称”键入“Policy-01”并针对“区域”选择“中国东部”。
对于“策略层”,选择“标准”。
选择下一步:DNS 设置。
选择“下一步:TLS 检查”。
选择下一步:规则。
在“规则”选项卡上,选择“添加规则集合”。
在“添加规则集合”页上,键入“App-RC-01”作为“名称”。
对于“规则集合类型”,选择“应用程序”。
对于“优先级”,请键入 100。
确保“规则集合操作”设置为“允许”。
对于规则“名称”,键入“Allow-msft”。
对于“源类型”,请选择“IP 地址” 。
对于“源”,请键入 *。
对于“协议”,键入“http,https”。
确保“目标类型”是“FQDN” 。
对于“目标”,键入“*.microsoft.com”。
选择 添加 。
添加一项 DNAT 规则,以便可以将远程桌面连接到 Srv-Workload-01 虚拟机。
- 选择“添加规则集合”。
- 对于名称,请键入 dnat-rdp。
- 对于“规则集合类型”,请选择“DNAT” 。
- 对于“优先级”,请键入 100。
- 对于规则“名称”,键入“Allow-rdp”。
- 对于“源类型”,请选择“IP 地址” 。
- 对于“源”,请键入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请键入 3389。
- 对于“目标”,键入之前记下的防火墙公共 IP 地址。
- 对于“转换的类型”,请选择“IP 地址”。
- 对于“转换的地址”,键入之前记下的 Srv-Workload-01 的专用 IP 地址 。
- 对于“已翻译的端口” ,键入 3389。
- 选择 添加 。
添加一项网络规则,以便可以将远程桌面从 Srv-Workload-01 连接到 Srv-Workload-02。
- 选择“添加规则集合”。
- 对于“名称”,键入“vnet-rdp” 。
- 对于“规则集合类型”,请选择“网络”。
- 对于“优先级”,请键入 100。
- 对于规则集合操作,请选择允许。
- 对于规则的“名称”,键入“Allow-vnet”。
- 对于“源类型”,请选择“IP 地址” 。
- 对于“源”,请键入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请键入 3389。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,键入之前记下的 Srv-Workload-02 专用 IP 地址 。
- 选择 添加 。
选择“下一步: IDPS”。
在“IDPS”页上,选择“下一步: 威胁情报”
在“威胁情报”页中,接受默认设置并选择“查看并创建”:
查看以确认选择,然后选择“创建”。
关联策略
将防火墙策略与中心关联。
将流量路由到中心
现在必须确保通过防火墙路由网络流量。
从防火墙管理器中,选择虚拟中心。
选择“Hub-01”。
在“设置”下,选择“安全配置” 。
在“Internet 流量”下,选择“Azure 防火墙” 。
在“专用流量”下,选择“通过 Azure 防火墙发送” 。
在“中心间”下,选择“已启用”以启用虚拟 WAN 路由意向功能。 路由意向是一种机制,可以通过该机制配置虚拟 WAN,以通过部署在虚拟 WAN 中心内的 Azure 防火墙路由分支到分支(本地到本地)流量。 有关与路由意向功能相关的先决条件和注意事项的详细信息,请参阅路由意向文档。
选择“保存”。
在“警告”对话框中选择“确定”。
注意
更新路由表需要几分钟时间。
验证两个连接是否显示 Azure 防火墙同时保护 Internet 和专用通信。
测试防火墙
若要测试防火墙规则,请使用防火墙公共 IP 地址(该地址已通过 NAT 转换到“Srv-Workload-01”)连接远程桌面。 在其中使用浏览器测试应用程序规则并将远程桌面连接到 Srv-Workload-02 来测试网络规则。
测试应用程序规则
现在,测试防火墙以确认它可按预期工作。
将远程桌面连接到防火墙公共 IP 地址,然后进行登录。
打开 Internet Explorer 并浏览到
https://www.microsoft.com
。出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。
应会看到 Azure 主页。
-
防火墙应会阻止你访问。
现已验证防火墙应用程序规则可正常工作:
- 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
测试网络规则
现在测试网络规则。
从 Srv-Workload-01,打开连接到 Srv-Workload-02 专用 IP 地址的远程桌面。
远程桌面应连接到 Srv-Workload-02。
现已验证防火墙网络规则可正常工作:
- 你可以将远程桌面连接到另一个虚拟网络中的服务器。
清理资源
完成防火墙资源测试后,删除 fw-manager-rg 资源组,以删除所有与防火墙相关的资源。