Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu programu Azure PowerShell

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Za pomocą usługi Azure Firewall można kontrolować dostęp sieciowy w sieci hybrydowej przy użyciu reguł definiujących dozwolony i blokowany ruch sieciowy.

W tym artykule utworzysz trzy sieci wirtualne:

• VNet-Hub: zapora znajduje się w tej sieci wirtualnej.
• VNet-Spoke: Sieć wirtualna typu spoke reprezentuje obciążenie znajdujące się na platformie Azure.
• VNet-Onprem: lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można nawiązać z nim połączenie przy użyciu połączenia wirtualnej sieci prywatnej (VPN) lub połączenia usługi Azure ExpressRoute. Dla uproszczenia w tym artykule jest używane połączenie bramy sieci VPN, a sieć wirtualna zlokalizowana na platformie Azure reprezentuje sieć lokalną.

Jeśli zamiast tego chcesz użyć witryny Azure Portal do wykonania procedur opisanych w tym artykule, zobacz Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu witryny Azure Portal.

Wymagania wstępne

Ten artykuł wymaga lokalnego uruchomienia programu PowerShell. Musisz mieć zainstalowany moduł Azure PowerShell. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu programu Azure PowerShell. Po zweryfikowaniu wersji programu PowerShell uruchom polecenie Login-AzAccount, aby utworzyć połączenie z platformą Azure.

Aby ten scenariusz przebiegał prawidłowo, muszą zostać spełnione trzy podstawowe wymagania:

• Trasa zdefiniowana przez użytkownika (UDR) w podsieci, wskazująca adres IP Azure Firewall jako bramę domyślną. Propagacja tras bramy sieci wirtualnej musi być wyłączona w tej tabeli tras.

• Trasa zdefiniowana przez użytkownika w podsieci bramy koncentratora musi wskazywać adres IP zapory jako następny przeskok do sieci szprychowej.

  Na podsieci dla usługi Azure Firewall nie jest wymagana UDR, ponieważ uczy się tras z protokołu BGP (Border Gateway Protocol).

• Pamiętaj, aby ustawić AllowGatewayTransit podczas łączenia VNet-Hub z VNet-Spoke. Ustaw UseRemoteGateways podczas parowania VNet-Spoke z VNet-Hub.

W sekcji Tworzenie tras w dalszej części tego artykułu pokazano, jak utworzyć te trasy.

Ruch między bezpośrednio połączonymi sieciami wirtualnymi jest kierowany bezpośrednio, nawet jeśli trasa definiowana przez użytkownika (UDR) wskazuje usługę Azure Firewall jako bramę domyślną. Aby wysłać ruch między podsieciami do zapory w tym scenariuszu, trasa definiowana przez użytkownika (TDZ) musi zawierać prefiks sieciowy docelowej podsieci jawnie dla obu podsieci.

Aby zapoznać się z powiązaną dokumentacją referencyjną programu Azure PowerShell, zobacz New-AzFirewall.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Deklarowanie zmiennych

Poniższy przykład deklaruje zmienne przy użyciu wartości tego artykułu. W niektórych przypadkach może być konieczne zastąpienie pewnych wartości własnymi, aby działały w ramach Twojej subskrypcji. W razie potrzeby zmodyfikuj zmienne, a następnie skopiuj i wklej je w konsoli programu PowerShell.

$RG1 = "FW-Hybrid-Test"
$Location1 = "East US"

# Variables for the firewall hub virtual network

$VNetnameHub = "VNet-Hub"
$SNnameHub = "AzureFirewallSubnet"
$VNetHubPrefix = "10.5.0.0/16"
$SNHubPrefix = "10.5.0.0/24"
$SNGWHubPrefix = "10.5.1.0/24"
$GWHubName = "GW-hub"
$GWHubpipName = "VNet-Hub-GW-pip"
$GWIPconfNameHub = "GW-ipconf-hub"
$ConnectionNameHub = "hub-to-Onprem"

# Variables for the spoke virtual network

$VnetNameSpoke = "VNet-Spoke"
$SNnameSpoke = "SN-Workload"
$VNetSpokePrefix = "10.6.0.0/16"
$SNSpokePrefix = "10.6.0.0/24"
$SNSpokeGWPrefix = "10.6.1.0/24"

# Variables for the on-premises virtual network

$VNetnameOnprem = "Vnet-Onprem"
$SNNameOnprem = "SN-Corp"
$VNetOnpremPrefix = "192.168.0.0/16"
$SNOnpremPrefix = "192.168.1.0/24"
$SNGWOnpremPrefix = "192.168.2.0/24"
$GWOnpremName = "GW-Onprem"
$GWIPconfNameOnprem = "GW-ipconf-Onprem"
$ConnectionNameOnprem = "Onprem-to-hub"
$GWOnprempipName = "VNet-Onprem-GW-pip"

$SNnameGW = "GatewaySubnet"

Tworzenie sieci wirtualnej koncentratora zapory

Najpierw utwórz grupę zasobów, aby zawierała zasoby dla tego artykułu:

  New-AzResourceGroup -Name $RG1 -Location $Location1

Zdefiniuj podsieci, które mają być dołączone do sieci wirtualnej:

$FWsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameHub -AddressPrefix $SNHubPrefix
$GWsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNGWHubPrefix

Utwórz wirtualną sieć centrali zapory ogniowej:

$VNetHub = New-AzVirtualNetwork -Name $VNetnameHub -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetHubPrefix -Subnet $FWsub,$GWsub

Zażądaj przydzielenie publicznego adresu IP do bramy sieci VPN utworzonej dla sieci wirtualnej. Zauważ, że wartość AllocationMethod wynosi Dynamic. Nie można określić adresu IP, którego chcesz użyć. Jest on przydzielany dynamicznie do bramy sieci VPN.

$gwpip1 = New-AzPublicIpAddress -Name $GWHubpipName -ResourceGroupName $RG1 `
-Location $Location1 -AllocationMethod Dynamic

Utwórz połączoną sieć wirtualną

Zdefiniuj podsieci, które mają być dołączone do sieci wirtualnej typu "spoke":

$Spokesub = New-AzVirtualNetworkSubnetConfig -Name $SNnameSpoke -AddressPrefix $SNSpokePrefix
$GWsubSpoke = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNSpokeGWPrefix

Utwórz podporządkowaną sieć wirtualną:

$VNetSpoke = New-AzVirtualNetwork -Name $VnetNameSpoke -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetSpokePrefix -Subnet $Spokesub,$GWsubSpoke

Tworzenie lokalnej sieci wirtualnej

Zdefiniuj podsieci, które mają być dołączone do sieci wirtualnej:

$Onpremsub = New-AzVirtualNetworkSubnetConfig -Name $SNNameOnprem -AddressPrefix $SNOnpremPrefix
$GWOnpremsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNGWOnpremPrefix

Utwórz lokalną sieć wirtualną:

$VNetOnprem = New-AzVirtualNetwork -Name $VNetnameOnprem -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetOnpremPrefix -Subnet $Onpremsub,$GWOnpremsub

Zażądaj przydzielenie publicznego adresu IP do bramy, która zostanie utworzona dla sieci wirtualnej. Zauważ, że wartość AllocationMethod wynosi Dynamic. Nie można określić adresu IP, którego chcesz użyć. Jest dynamicznie przydzielany do twojej bramy sieciowej.

$gwOnprempip = New-AzPublicIpAddress -Name $GWOnprempipName -ResourceGroupName $RG1 `
-Location $Location1 -AllocationMethod Dynamic

Konfigurowanie i wdrażanie zapory

Teraz wdróż zaporę w sieci wirtualnej hubu:

# Get a public IP for the firewall
$FWpip = New-AzPublicIpAddress -Name "fw-pip" -ResourceGroupName $RG1 `
  -Location $Location1 -AllocationMethod Static -Sku Standard
# Create the firewall
$Azfw = New-AzFirewall -Name AzFW01 -ResourceGroupName $RG1 -Location $Location1 -VirtualNetworkName $VNetnameHub -PublicIpName fw-pip

#Save the firewall private IP address for future use

$AzfwPrivateIP = $Azfw.IpConfigurations.privateipaddress
$AzfwPrivateIP

Konfigurowanie reguł sieci:

$Rule1 = New-AzFirewallNetworkRule -Name "AllowWeb" -Protocol TCP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort 80

$Rule2 = New-AzFirewallNetworkRule -Name "AllowRDP" -Protocol TCP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort 3389

$Rule3 = New-AzFirewallNetworkRule -Name "AllowPing" -Protocol ICMP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort

$NetRuleCollection = New-AzFirewallNetworkRuleCollection -Name RCNet01 -Priority 100 `
   -Rule $Rule1,$Rule2 -ActionType "Allow"
$Azfw.NetworkRuleCollections = $NetRuleCollection
Set-AzFirewall -AzureFirewall $Azfw

Tworzenie i łączenie bram sieci VPN

Sieci wirtualne centrum i lokalne sieci są połączone za pośrednictwem bram sieci VPN.

Utwórz bramę sieci VPN dla sieci wirtualnej centrum

Utwórz konfigurację ustawień bramy sieci VPN dla sieci wirtualnej w centrum. W ramach konfiguracji bramy sieci VPN zostaje zdefiniowana podsieć i publiczny adres IP do użycia.

$vnet1 = Get-AzVirtualNetwork -Name $VNetnameHub -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfNameHub `
-Subnet $subnet1 -PublicIpAddress $gwpip1

Teraz utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje między sieciami wymagają VpnType wartości RouteBased. Tworzenie bramy sieci VPN może często potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU.

New-AzVirtualNetworkGateway -Name $GWHubName -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku basic

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Utwórz konfigurację bramy sieci VPN dla lokalnej sieci wirtualnej. W ramach konfiguracji bramy sieci VPN zostaje zdefiniowana podsieć i publiczny adres IP do użycia.

$vnet2 = Get-AzVirtualNetwork -Name $VNetnameOnprem -ResourceGroupName $RG1
$subnet2 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gwipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfNameOnprem `
-Subnet $subnet2 -PublicIpAddress $gwOnprempip

Teraz utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje między sieciami wymagają VpnType wartości RouteBased. Tworzenie bramy sieci VPN może często potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU.

New-AzVirtualNetworkGateway -Name $GWOnpremName -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gwipconf2 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku basic

Tworzenie połączeń sieci VPN

Utwórz połączenia sieci VPN między centralnym węzłem a bramami lokalnymi.

Pobierz bramy VPN

$vnetHubgw = Get-AzVirtualNetworkGateway -Name $GWHubName -ResourceGroupName $RG1
$vnetOnpremgw = Get-AzVirtualNetworkGateway -Name $GWOnpremName -ResourceGroupName $RG1

Tworzenie połączeń

W tym kroku utworzysz połączenie z sieci wirtualnej huba do lokalnej sieci wirtualnej. W przykładach pokazano klucz współużytkowany, ale możesz użyć własnych wartości dla klucza współużytkowanego. Ważne jest, aby klucz współdzielony był zgodny dla obu połączeń. Tworzenie połączenia może nieco potrwać.

New-AzVirtualNetworkGatewayConnection -Name $ConnectionNameHub -ResourceGroupName $RG1 `
-VirtualNetworkGateway1 $vnetHubgw -VirtualNetworkGateway2 $vnetOnpremgw -Location $Location1 `
-ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'

Utwórz połączenie sieci wirtualnej ze środowiska lokalnego do koncentratora. Ten krok jest podobny do poprzedniego, z tą różnicą, że tworzysz połączenie z VNet-Onprem do VNet-Hub. Upewnij się, że klucze udostępnione są zgodne. Połączenie zostanie nawiązane po kilku minutach.

New-AzVirtualNetworkGatewayConnection -Name $ConnectionNameOnprem -ResourceGroupName $RG1 `
-VirtualNetworkGateway1 $vnetOnpremgw -VirtualNetworkGateway2 $vnetHubgw -Location $Location1 `
-ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'

Weryfikowanie połączenia

Możesz zweryfikować pomyślne połączenie przy użyciu cmdlet Get-AzVirtualNetworkGatewayConnection, z lub bez -Debug.

Użyj poniższego przykładu polecenia cmdlet, ale skonfiguruj wartości, aby odpowiadały własnym. Jeśli zostanie wyświetlony monit, wybierz polecenie A , aby uruchomić polecenie All. W tym przykładzie -Name odwołuje się do nazwy połączenia, które chcesz przetestować.

Get-AzVirtualNetworkGatewayConnection -Name $ConnectionNameHub -ResourceGroupName $RG1

Po zakończeniu wykonania polecenia cmdlet sprawdź wartości. W poniższym przykładzie pokazano stan połączenia Connected, a także bajty ruchu przychodzącego i wychodzącego.

"connectionStatus": "Connected",
"ingressBytesTransferred": 33509044,
"egressBytesTransferred": 4142431

Połącz sieci wirtualne centralne i peryferyjne

Teraz przyjrzyj się wirtualnym sieciom o architekturze gwiazdy.

# Peer hub to spoke
Add-AzVirtualNetworkPeering -Name HubtoSpoke -VirtualNetwork $VNetHub -RemoteVirtualNetworkId $VNetSpoke.Id -AllowGatewayTransit

# Peer spoke to hub
Add-AzVirtualNetworkPeering -Name SpoketoHub -VirtualNetwork $VNetSpoke -RemoteVirtualNetworkId $VNetHub.Id -AllowForwardedTraffic -UseRemoteGateways

Tworzenie tras

Użyj następujących poleceń, aby utworzyć te trasy:

• Trasa z podsieci bramy koncentratora do podsieci klienta przez adres IP zapory
• Domyślna trasa z podsieci typu 'szprycha' za pośrednictwem adresu IP zapory

#Create a route table
$routeTableHubSpoke = New-AzRouteTable `
  -Name 'UDR-Hub-Spoke' `
  -ResourceGroupName $RG1 `
  -location $Location1

#Create a route
Get-AzRouteTable `
  -ResourceGroupName $RG1 `
  -Name UDR-Hub-Spoke `
  | Add-AzRouteConfig `
  -Name "ToSpoke" `
  -AddressPrefix $VNetSpokePrefix `
  -NextHopType "VirtualAppliance" `
  -NextHopIpAddress $AzfwPrivateIP `
 | Set-AzRouteTable

#Associate the route table to the subnet

Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $VNetHub `
  -Name $SNnameGW `
  -AddressPrefix $SNGWHubPrefix `
  -RouteTable $routeTableHubSpoke | `
Set-AzVirtualNetwork

#Now, create the default route

#Create a table, with BGP route propagation disabled. The property is now called "Virtual network gateway route propagation," but the API still refers to the parameter as "DisableBgpRoutePropagation."
$routeTableSpokeDG = New-AzRouteTable `
  -Name 'UDR-DG' `
  -ResourceGroupName $RG1 `
  -location $Location1 `
  -DisableBgpRoutePropagation

#Create a route
Get-AzRouteTable `
  -ResourceGroupName $RG1 `
  -Name UDR-DG `
  | Add-AzRouteConfig `
  -Name "ToFirewall" `
  -AddressPrefix 0.0.0.0/0 `
  -NextHopType "VirtualAppliance" `
  -NextHopIpAddress $AzfwPrivateIP `
 | Set-AzRouteTable

#Associate the route table to the subnet

Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $VNetSpoke `
  -Name $SNnameSpoke `
  -AddressPrefix $SNSpokePrefix `
  -RouteTable $routeTableSpokeDG | `
Set-AzVirtualNetwork

Tworzenie maszyn wirtualnych

Utwórz obciążenie szprychy i lokalne maszyny wirtualne i umieść je w odpowiednich podsieciach.

Utwórz maszynę wirtualną obciążenia

Utwórz maszynę wirtualną w sieci wirtualnej połączeniowej z uruchomionymi usługami Internet Information Services (IIS), bez publicznego adresu IP i zezwala na przesyłanie poleceń ping. Po wyświetleniu monitu wprowadź nazwę użytkownika i hasło dla maszyny wirtualnej.

# Create an inbound network security group rule for ports 3389 and 80
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name Allow-RDP  -Protocol Tcp `
  -Direction Inbound -Priority 200 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix $SNSpokePrefix -DestinationPortRange 3389 -Access Allow
$nsgRuleWeb = New-AzNetworkSecurityRuleConfig -Name Allow-web  -Protocol Tcp `
  -Direction Inbound -Priority 202 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix $SNSpokePrefix -DestinationPortRange 80 -Access Allow

# Create a network security group
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $RG1 -Location $Location1 -Name NSG-Spoke02 -SecurityRules $nsgRuleRDP,$nsgRuleWeb

#Create the NIC
$NIC = New-AzNetworkInterface -Name spoke-01 -ResourceGroupName $RG1 -Location $Location1 -SubnetId $VnetSpoke.Subnets[0].Id -NetworkSecurityGroupId $nsg.Id

#Define the virtual machine
$VirtualMachine = New-AzVMConfig -VMName VM-Spoke-01 -VMSize "Standard_DS2"
$VirtualMachine = Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName Spoke-01 -ProvisionVMAgent -EnableAutoUpdate
$VirtualMachine = Add-AzVMNetworkInterface -VM $VirtualMachine -Id $NIC.Id
$VirtualMachine = Set-AzVMSourceImage -VM $VirtualMachine -PublisherName 'MicrosoftWindowsServer' -Offer 'WindowsServer' -Skus '2016-Datacenter' -Version latest

#Create the virtual machine
New-AzVM -ResourceGroupName $RG1 -Location $Location1 -VM $VirtualMachine -Verbose

#Install IIS on the VM
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName IIS `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server"}' `
    -Location $Location1

#Create a host firewall rule to allow pings in
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName IIS `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4"}' `
    -Location $Location1

Tworzenie maszyny wirtualnej w środowisku lokalnym

Utwórz prostą maszynę wirtualną, której można użyć do nawiązania połączenia za pośrednictwem dostępu zdalnego z publicznym adresem IP. Z tego miejsca można nawiązać połączenie z serwerem lokalnym za pośrednictwem zapory. Po wyświetleniu monitu wprowadź nazwę użytkownika i hasło dla maszyny wirtualnej.

New-AzVm `
    -ResourceGroupName $RG1 `
    -Name "VM-Onprem" `
    -Location $Location1 `
    -VirtualNetworkName $VNetnameOnprem `
    -SubnetName $SNNameOnprem `
    -OpenPorts 3389 `
    -Size "Standard_DS2"

Testowanie zapory

1. Pobierz i zanotuj prywatny adres IP maszyny wirtualnej VM-spoke-01 :

   $NIC.IpConfigurations.privateipaddress
   

2. W portalu Azure połącz się z maszyną wirtualną VM-Onprem.

3. Otwórz wiersz polecenia programu Windows PowerShell na maszynie wirtualnej Vm-Onprem, i wyślij polecenie ping na prywatny adres IP maszyny wirtualnej VM-spoke-01. Powinieneś otrzymać odpowiedź. / Powinnaś otrzymać odpowiedź.

4. Otwórz przeglądarkę internetową na VM-Onprem i przejdź do http://<VM-spoke-01 private IP>. Powinna zostać otwarta domyślna strona usług IIS.

5. Z VM-Onprem otwórz połączenie zdalnego dostępu do VM-spoke-01 za pomocą prywatnego adresu IP. Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się przy użyciu wybranej nazwy użytkownika i hasła.

Po sprawdzeniu, czy reguły zapory działają, możesz:

• Wyślij polecenie ping do serwera w sieci wirtualnej typu spoke.
• Przejdź do serwera WWW w sieci wirtualnej typu szprychy.
• Nawiąż połączenie z serwerem w sieci wirtualnej zwanej spoke przy użyciu protokołu RDP.

Następnie uruchom następujący skrypt, aby zmienić akcję dla kolekcji reguł sieci zapory na Deny:

$rcNet = $azfw.GetNetworkRuleCollectionByName("RCNet01")
$rcNet.action.type = "Deny"

Set-AzFirewall -AzureFirewall $azfw

Zamknij wszystkie istniejące połączenia dostępu zdalnego. Uruchom ponownie testy, aby przetestować zmienione reguły. Tym razem wszystkie powinny zakończyć się niepowodzeniem.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby następnego samouczka. Jeśli nie są już potrzebne, usuń grupę zasobów FW-Hybrid-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Monitorowanie dzienników usługi Azure Firewall