Condividi tramite


Esercitazione: proteggere l’hub virtuale con Gestione firewall di Azure

Gestione firewall di Azure consente di creare hub virtuali protetti per proteggere il traffico di rete cloud destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. Il routing del traffico verso il firewall è automatizzato, pertanto non è necessario creare route definite dall'utente.

Gestione firewall supporta anche un'architettura di rete virtuale hub. Per un confronto delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.

In questa esercitazione apprenderai a:

  • Creare la rete virtuale spoke
  • Creare un hub virtuale protetto
  • Connettere le reti virtuali hub-spoke
  • Instradare il traffico all'hub
  • Distribuire i server
  • Creare un criterio firewall e proteggere l'hub
  • Testare il firewall

Importante

La procedura descritta in questa esercitazione usa Gestione firewall di Azure per creare un nuovo hub protetto della rete WAN virtuale di Azure. È possibile usare Gestione firewall per aggiornare un hub esistente, ma non è possibile configurare le zone di disponibilità di Azure per Firewall di Azure. È anche possibile convertire un hub esistente in un hub protetto usando il portale di Azure, come descritto in Configurare Firewall di Azure in un hub della rete WAN virtuale. Come Gestione firewall di Azure, tuttavia, non è possibile configurare zone di disponibilità. Per aggiornare un hub esistente e specificare zone di disponibilità per Firewall di Azure (scelta consigliata) è necessario seguire la procedura di aggiornamento in Esercitazione: Proteggere l'hub virtuale usando Azure PowerShell.

Diagramma che mostra la rete cloud sicura.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'architettura hub-spoke

Prima di tutto, creare reti virtuali spoke in cui poter collocare i server.

Creare due reti virtuali spoke e le subnet

Le due reti virtuali includeranno ognuna un server del carico di lavoro e sono protette tramite firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Cercare Rete virtuale, selezionarla e quindi selezionare Crea.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. Per Gruppo di risorse, selezionare Crea nuovo, digitare fw-manager-rg come nome e selezionare OK.
  5. Per Nome rete virtuale digitare Spoke-01.
  6. In Area selezionare Stati Uniti orientali.
  7. Selezionare Avanti.
  8. Nella pagina Sicurezza, selezionare Avanti.
  9. In Aggiungere spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.
  10. In Subnet, selezionare predefinita.
  11. In Nome, immettere Workload-01-SN.
  12. Per Indirizzo iniziale, digitare 10.0.1.0/24.
  13. Seleziona Salva.
  14. Selezionare Rivedi e crea.
  15. Seleziona Crea.

Ripetere questa procedura per creare un'altra rete virtuale simile nel gruppo di risorse fw-manager-rg:

Nome: Spoke-02
Spazio indirizzi: 10.1.0.0/16
Nome subnet: Workload-02-SN
Indirizzo iniziale: 10.1.1.0/24

Creare l'hub virtuale protetto

Creare l'hub virtuale protetto usando Gestione firewall.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. Nella casella di ricerca digitare Gestione firewall, quindi selezionare Gestione firewall.

  3. Nella pagina Gestione firewall, selezionare Implementazioni, selezionare Hub virtuali.

  4. Nella pagina Gestione firewall | Hub virtuali protetti, selezionare Crea nuovo hub virtuale protetto.

    Screenshot della creazione di un nuovo hub virtuale protetto.

  5. Selezionare la propria sottoscrizione.

  6. Per Gruppo di risorse selezionare fw-manager-rg.

  7. In Area selezionare Stati Uniti orientali.

  8. Per Nome hub virtuale protetto, digitare Hub-01.

  9. Per Spazio indirizzi dell'hub, digitare 10.2.0.0/16.

  10. Selezionare Nuovo vWAN.

  11. Come nome della nuova rete WAN virtuale, digitare Vwan-01.

  12. Per Tipo selezionare Standard.

  13. Lasciare deselezionata la casella di controllo Includere il gateway VPN per abilitare i partner di sicurezza affidabili.

    Screenshot della creazione di un nuovo hub virtuale protetto con proprietà.

  14. Selezionare Avanti: Firewall di Azure.

  15. Accettare l'impostazione predefinita Firewall di Azure Abilitato.

  16. Per livello firewall di Azure, selezionare Standard.

  17. Selezionare la combinazione desiderata di Zone di disponibilità.

Importante

Una rete WAN virtuale è un insieme di hub e servizi resi disponibili all'interno dell'hub. È possibile distribuire il numero di reti WAN virtuali necessarie. In un hub della rete WAN virtuale sono presenti più servizi, ad esempio VPN, ExpressRoute e così via. Ognuno di questi servizi viene distribuito automaticamente in un'area di zone di disponibilità tranne Firewall di Azure, cioè se l'area supporta le zone di disponibilità. Per allinearsi alla resilienza della rete WAN virtuale di Azure, è necessario selezionare tutte le zone di disponibilità disponibili.

Screenshot della configurazione dei parametri di Firewall di Azure.

  1. Digitare 1 nella casella di testo Specificare il numero di indirizzi IP pubblici.

  2. In Criterio firewall, assicurarsi di aver selezionato Criterio di negazione predefinito. Le impostazioni verranno perfezionate più avanti in questo articolo.

  3. Selezionare Avanti: Provider partner di sicurezza.

    Screenshot della configurazione dei parametri partner attendibili.

  4. Accettare l'impostazione predefinita Partner di sicurezza affidabile Disabilitato e selezionare Avanti: rivedi e crea.

  5. Seleziona Crea.

    Screenshot della creazione dell’istanza Firewall.

Nota

La creazione di un hub virtuale protetto può richiedere fino a 30 minuti.

Dopo il completamento della distribuzione, è possibile trovare l'indirizzo IP pubblico del firewall.

  1. Aprire Gestione firewall.
  2. Selezionare Hub virtuali.
  3. Selezionare hub-01.
  4. Selezionare AzureFirewall_Hub-01.
  5. Prendere nota dell'indirizzo IP pubblico, che verrà usato in seguito.

Connettere le reti virtuali hub-spoke

Eseguire ora il peering tra le reti virtuali hub-spoke.

  1. Selezionare il gruppo di risorse fw-manager-rg e quindi la rete WAN virtuale Vwan-01.

  2. In Connettività selezionare Connessioni rete virtuale.

    Screenshot dell'aggiunta di connessioni di rete virtuale.

  3. Selezionare Aggiungi connessione.

  4. Per Nome connessione, digitare hub-spoke-01.

  5. Per Hub, selezionare Hub-01.

  6. Per Gruppo di risorse selezionare fw-manager-rg.

  7. Per Rete virtuale, selezionare Spoke-01.

  8. Seleziona Crea.

  9. Ripetere la connessione alla rete virtuale Spoke-02: nome connessione - hub-spoke-02.

Distribuire i server

  1. Nel portale di Azure fare clic su Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter nell'elenco Più comuni.

  3. Immettere i valori seguenti per la macchina virtuale:

    Impostazione Valore
    Gruppo di risorse fw-manager-rg
    Virtual machine name Srv-workload-01
    Paese (Stati Uniti) Stati Uniti orientali
    Nome utente amministratore digitare un nome utente
    Password digitare una password
  4. In Regole porta in ingresso, per Porte in ingresso pubbliche, selezionare Nessuna.

  5. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare le impostazioni predefinite per i dischi e selezionare Avanti: Rete.

  7. Selezionare Spoke-01 per la rete virtuale e Workload-01-SN per la subnet.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Selezionare Avanti: Monitoraggio.

  11. Selezionare Disabilitare per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  12. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Usare le informazioni della tabella seguente per configurare un'altra macchina virtuale denominata Srv-Workload-02. Il resto della configurazione è uguale a quella della macchina virtuale Srv-workload-01.

Impostazione Valore
Rete virtuale Spoke-02
Subnet Workload-02-SN

Dopo la distribuzione dei server, selezionare una risorsa server e in Rete prendere nota dell'indirizzo IP privato di ogni server.

Creare un criterio firewall e proteggere l'hub

Un criterio firewall definisce raccolte di regole per indirizzare il traffico su uno o più hub virtuali protetti. È necessario creare il criterio firewall e quindi proteggere l'hub.

  1. In Gestione firewall, selezionare Criteri firewall di Azure.

    Screenshot della creazione di un criterio di Azure con il primo passaggio.

  2. Selezionare Crea criterio firewall di Azure.

    Screenshot della configurazione delle impostazioni del criterio di Azure nel primo passaggio.

  3. Per Gruppo di risorse selezionare fw-manager-rg.

  4. In Dettagli criteri, per Nome digitare Policy-01 e per Area selezionare Stati Uniti orientali.

  5. Per Livello criterio, selezionare Standard.

  6. Selezionare Avanti: Impostazioni DNS.

    Screenshot della configurazione delle impostazioni del DNS.

  7. Selezionare Avanti: ispezione TLS.

    Screenshot della configurazione delle impostazioni del TLS.

  8. Selezionare Avanti: Regole.

  9. Nella scheda Regole selezionare Aggiungi una raccolta regole.

    Screenshot della configurazione della Raccolta regole.

  10. Nella pagina Aggiungi una raccolta regole digitare App-RC-01 per Nome.

  11. Per Tipo di raccolta regole, selezionare Applicazione.

  12. In Priorità digitare 100.

  13. Verificare che Azione raccolta regole sia Consenti.

  14. Come Nome della regola, digitare Allow-msft.

  15. Per Tipo di origine, selezionare Indirizzo IP.

  16. Per Origine, digitare *.

  17. Per Protocollo, digitare http,https.

  18. Verificare che Tipo di destinazione sia impostato su FQDN.

  19. Per Destinazione, digitare *.microsoft.com.

  20. Selezionare Aggiungi.

  21. Aggiungere una regola DNAT in modo da poter connettere un desktop remoto alla macchina virtuale Srv-Workload-01.

    1. Selezionare Aggiungi una raccolta regole.
    2. Per Nome, digitare dnat-rdp.
    3. Per Tipo di raccolta regole, selezionare DNAT.
    4. In Priorità digitare 100.
    5. Per il Nome della regola, digitare Allow-rdp.
    6. Per Tipo di origine, selezionare Indirizzo IP.
    7. Per Origine, digitare *.
    8. In Protocollo selezionare TCP.
    9. In Porte di destinazione digitare 3389.
    10. Per Destinazione, digitare l'indirizzo IP pubblico del firewall annotato in precedenza.
    11. Per Tipo tradotto, selezionare Indirizzo IP.
    12. Per Indirizzo convertito, digitare l'indirizzo IP privato per la macchina virtuale Srv-Workload-01 annotato in precedenza.
    13. Per Porta tradotta digitare 3389.
    14. Selezionare Aggiungi.
  22. Aggiungere una Regola di rete in modo da poter connettere un desktop remoto da Srv-Workload-01 a Srv-Workload-02.

    1. Selezionare Aggiungi una raccolta regole.
    2. Per Nome, digitare vnet-rdp.
    3. In Tipo di raccolta regole selezionare Rete.
    4. In Priorità digitare 100.
    5. Per Azione della raccolta regole selezionare Consenti.
    6. Per Nome della regola, digitare Allow-vnet.
    7. Per Tipo di origine, selezionare Indirizzo IP.
    8. Per Origine, digitare *.
    9. In Protocollo selezionare TCP.
    10. In Porte di destinazione digitare 3389.
    11. In Tipo di destinazione selezionare Indirizzo IP.
    12. Per Destinazione, digitare l'indirizzo IP pubblico della macchina virtuale Srv-Workload-02 annotato in precedenza.
    13. Selezionare Aggiungi.
  23. Selezionare Avanti: IDPS.

  24. Nella pagina IDPS, selezionare Avanti: Intelligence sulle minacce.

    Screenshot della configurazione delle impostazioni dell’IDPS.

  25. Nella pagina Intelligence sulle minacce accettare le impostazioni predefinite e selezionare Rivedi e crea:

    Screenshot della configurazione delle impostazioni di Intelligence sulle minacce.

  26. Rivedere per confermare la selezione e quindi selezionare Crea.

Associare un criterio

Associare i criteri firewall all'hub.

  1. In Gestione firewall, selezionare Criteri firewall di Azure.

  2. Selezionare la casella di controllo Policy-01.

  3. Selezionare Gestisci associazioni, Associa hub.

    Screenshot della configurazione dell'associazione di criteri.

  4. Selezionare hub-01.

  5. Selezionare Aggiungi.

    Screenshot dell'aggiunta di impostazioni di Criteri e Hub.

Instradare il traffico all'hub

A questo punto è necessario assicurarsi che il traffico di rete venga instradato attraverso il firewall.

  1. In Gestione firewall selezionare Hub virtuali.

  2. Selezionare Hub-01.

  3. In Impostazioni selezionare Configurazione della sicurezza.

  4. In Traffico Internet selezionare Firewall di Azure.

  5. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).

    Nota

    Se si usano intervalli di indirizzi IP pubblici per le reti private in una rete virtuale o in un ramo locale, è necessario specificare in modo esplicito questi prefissi di indirizzo IP. Selezionare la sezione Prefissi del traffico privato e quindi aggiungerli insieme ai prefissi degli indirizzi RFC1918.

  6. In Inter-hub, selezionare Abilitato per abilitare la funzionalità di routing della rete WAN virtuale. La finalità di routing è il meccanismo attraverso il quale è possibile configurare la rete WAN virtuale per instradare il traffico da ramo a ramo (locale a locale) tramite Firewall di Azure distribuito nell'hub della rete WAN virtuale. Per altre informazioni sui prerequisiti e sulle considerazioni associate alla funzionalità di finalità di routing, vedere Documentazione sulla finalità di routing.

  7. Seleziona Salva.

  8. Selezionare OK nella finestra di dialogo Avviso.

    Screenshot delle connessioni sicure

  9. Selezionare OK nella finestra di dialogo Esegui migrazione per usare l'inter-hub.

    Nota

    L’aggiornamento delle tabelle di route richiede alcuni minuti.

  10. Verificare che le due connessioni mostrino Firewall di Azure protegge sia il traffico Internet che il traffico privato.

    Screenshot dello stato finale di Connessioni sicure

Testare il firewall

Per testare le regole del firewall, connettere un desktop remoto usando l'indirizzo IP pubblico del firewall, che è convertito tramite NAT in Srv-Workload-01. Da qui verrà usato un browser per testare la regola dell'applicazione e connettere un desktop remoto a Srv-Workload-02 per testare la regola di rete.

Testare la regola dell'applicazione

A questo punto testare le regole del firewall per verificare che tutto funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall, quindi accedere.

  2. Aprire Internet Explorer e passare a https://www.microsoft.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page Microsoft.

  4. Passa a https://www.google.com.

    Il firewall deve bloccarlo.

A questo punto è stato verificato che la regola dell'applicazione del firewall funziona:

  • È possibile passare al nome di dominio completo consentito ma non agli altri.

Testare la regola di rete

Ora testare la regola di rete.

  • Da Srv-Workload-01, aprire un desktop remoto all'indirizzo IP privato di Srv-Workload-02.

    Un desktop remoto dovrebbe connettersi a Srv-Workload-02.

A questo punto è stato verificato che la regola di rete del firewall funziona:

  • È possibile connettere un desktop remoto a un server che si trova in un'altra rete virtuale.

Pulire le risorse

Al termine del test delle risorse del firewall, eliminare il gruppo di risorse fw-manager-rg per eliminare tutte le risorse correlate al firewall.

Passaggi successivi