模块 06-单元 9 使用 Azure 防火墙管理器保护虚拟中心安全

练习场景

在此练习中，你将创建分支虚拟网络并创建安全虚拟中心，然后连接中心和分支虚拟网络，并将流量路由到中心。接下来，你将部署工作负载服务器，然后创建防火墙策略并保护中心，最后测试防火墙。

具有安全中心的虚拟网络体系结构示意图。

交互式实验室模拟

注意：此前提供的实验室模拟已停用。

创建中心和辐射体系结构

在此练习部分，你将创建分支虚拟网络和子网，用于放置工作负载服务器。然后，你将创建安全虚拟中心，并连接中心和分支虚拟网络。

工作技能

通过学习本练习，你将能够：

任务 1：创建两个分支虚拟网络和子网
任务 2：创建安全虚拟中心
任务 3：连接中心和分支虚拟网络
任务 4：部署服务器
任务 5：创建防火墙策略并保护中心
任务 6：关联防火墙策略
任务 7：将流量路由到中心
任务 8：测试应用程序规则
任务 9：测试网络规则
任务 10：清理资源

预计用时：35 分钟

任务 1：创建两个分支虚拟网络和子网

在此任务中，你将创建两个分支虚拟网络，每个虚拟网络都包含一个托管工作负载服务器的子网。

在 Azure 门户中，搜索并选择Virtual Networks。
选择创建。
在“资源组”中，选择“新建”，输入 fw-manager-rg 作为名称，然后选择“确定”****。
在“虚拟网络名称”中，输入 Spoke-01**。
在“区域”中，选择你的区域。
选择下一步。查看“安全”选项卡但不进行任何更改。**
选择“下一步”并移至“IP 地址”选项卡。****
依次选择“删除地址空间”和“添加 IPv4 地址空间”。****
验证 IP 地址空间是否为“10.0.0.0/16”**。
选择 “添加子网”。
将子网“名称”** 更改为 Workload-01-SN。
将“起始地址”** 更改为 10.0.1.0。
选择添加。
选择“查看 + 创建”。
选择“创建”。

重复上述步骤 1-14，使用以下信息创建另一个类似的虚拟网络和子网。无需等待第一个虚拟网络完成部署。

资源组：fw-manager-rg（选择现有资源组）
虚拟网络名称：Spoke-02
地址空间：10.1.0.0/16 -（删除列出的任何其他地址）
子网名称：Workload-02-SN
子网起始地址：10.1.1.0

任务 2：创建安全虚拟中心

在此任务中，你将使用防火墙管理器创建安全虚拟中心。

在门户中，搜索 firewall manager 并选择“网络安全关键字防火墙管理器”**。
在“保护资源”边栏选项卡中，选择“虚拟中心”。****
选择“新建安全虚拟中心”。
对于资源组，请选择 fw-manager-rg。
在“区域”中，选择你的区域。
对于“安全虚拟中心名称”**，输入 Hub-01。
对于“中心地址空间”**，输入 10.2.0.0/16。
确保已选择“新建 vWAN”**
在“虚拟 WAN 名称”中**，输入 Vwan-01。
在完成时选择“下一步:Azure 防火墙”。查看但不进行任何更改。
选择“下一步: 安全合作伙伴提供程序”**。查看但不进行任何更改。
选择“下一步: 查看 + 创建”。
选择创建。

注意:部署可能需要 30 分钟。
等待部署完成。
在门户中，搜索 firewall manager 并选择“网络安全关键字防火墙管理器”**。
在“防火墙管理器”页上，选择“虚拟中心”。
选择“Hub-01”。
选择“Azure 防火墙”，然后选择“公共 IP 配置”****。
记下公共 IP 地址（例如：172.191.79.203），后续会用到该地址**。

任务 3：连接中心和分支虚拟网络

在此任务中，你将连接中心和分支虚拟网络。这通常被称为“对等互连”。

在门户中，搜索并选择 Vwan-01 虚拟 WAN。
在“连接”下，选择“虚拟网络连接”。
选择“添加连接”。
对于“连接名称”，请输入 hub-spoke-01。
对于“中心”，选择“Hub-01”。
对于资源组，请选择 fw-manager-rg。
对于“虚拟网络”，选择“Spoke-01”。
选择创建。
重复上述步骤 4 到 9，创建另一个类似的连接，但使用连接名称 hub-spoke-02 来连接“Spoke-02”** 虚拟网络。
刷新虚拟网络连接页面，确认已存在两个虚拟网络：Spoke-01 和 Spoke-02**。

任务 4：部署服务器

在 Azure 门户中，选择右上角的 Cloud Shell 图标。如有必要，请配置 Shell。
- 选择“PowerShell”**。
- 选择“不需要存储帐户”和“订阅”，然后选择“应用”。
- 等待终端创建并显示提示。
在 Cloud Shell 窗格的工具栏中，选择“管理文件”图标，在下拉菜单中选择“上传”，将 FirewallManager.json 和 FirewallManager.parameters.json 文件上传到 Cloud Shell 主目录。

备注： 如果在自己的订阅中工作，则模板文件在 GitHub 实验室存储库中可用。

部署以下 ARM 模板以创建此练习所需的 VM：

注意：系统会提示你提供管理员密码。后续步骤中会用到此密码**。

$RGName = "fw-manager-rg"
   
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json

部署完成后，转到 Azure 门户主页，然后选择“虚拟机”。
在 Srv-workload-01 的“概述”页上，在右侧窗格中的“网络”部分下，记下“专用 IP 地址”（例如 10.0.1.4）。
在 Srv-workload-02 的“概述”页上，在右侧窗格中的“网络”部分下，记下“专用 IP 地址”（例如 10.1.1.4）。

任务 5：创建防火墙策略并保护中心

在此任务中，你将首先创建防火墙策略，然后保护中心。防火墙策略定义规则集合，以在一个或多个安全虚拟中心上定向流量。

在门户中，搜索 firewall manager 并选择“网络安全关键字防火墙管理器”**。
在“防火墙管理器”边栏选项卡中，选择“Azure 防火墙策略”。****
选择创建。
在“资源组”中，选择“fw-manager-rg” 。
在“策略详细信息”下，对于“名称”，输入 Policy-01。****
在“区域”中，选择你的区域。
在“策略层”中，选择“标准” 。
选择“下一步: DNS 设置”。查看但不进行任何更改。
选择“下一页:** TLS 检查”。查看但不进行任何更改。
选择下一步：规则。
在“规则”选项卡上，选择“添加规则集合”。
在“添加规则集合”页上的“名称”中，输入 App-RC-01。****
对于“规则集合类型”，选择“应用程序”。
对于“优先级”，请输入“100”。
确保“规则集合操作”设置为“允许”。
在“规则”下，在“名称”中输入 Allow-msft。****
对于“源类型”，请选择“IP 地址”。
对于“源”，请输入 *。
对于“协议”，输入 http,https。**
确保“目标类型”是“FQDN” 。
对于“目标”，输入 *.microsoft.com。**
选择添加。
若要添加 DNAT 规则，以便可以将远程桌面连接到 Srv-workload-01 VM，请选择“添加规则集合”。
输入 dnat-rdp 作为“名称”**。
对于“规则集合类型”，请选择“DNAT” 。
对于“优先级”，请输入“100”。
在“规则”下，在“名称”中输入 Allow-rdp。****
对于“源类型”，请选择“IP 地址”。
对于“源”，请输入 *。
对于“协议”，请选择“TCP”。
对于“目标端口”，输入 3389。**
对于“目标 IP 地址”，输入先前记下的防火墙虚拟中心公共 IP 地址（例如“51.143.226.18”）。****
对于“已转换的类型”，选择“IP 地址”。****
对于“已翻译的地址”，请输入前面记下的 Srv-workload-01 专用 IP 地址（例如，10.0.1.4）。
对于“已翻译的端口”，请输入“3389”。
选择添加。
若要添加网络规则，以便将远程桌面从 Srv-workload-01 连接到 Srv-workload-02 VM，请选择“添加规则集合”。
输入 vnet-rdp 作为“名称”**。
对于“规则集合类型”，请选择“网络”。
对于“优先级”，请输入“100”。
对于“规则集合操作”**，请选择“允许”**。
在“规则”下，在“名称”中输入 Allow-vnet。****
对于“源类型”，请选择“IP 地址”。
对于“源”，请输入 *。
对于“协议”，请选择“TCP”。
对于“目标端口”，请输入“3389”。
对于“目标类型”，请选择“IP 地址”。
对于“目标”，输入先前记下的“Srv-workload-02”的专用 IP 地址（例如“10.1.0.4”）。****
选择添加。
现在应列出 3 个规则集合。
选择“查看 + 创建”。
选择“创建”。

任务 6：关联防火墙策略

在此任务中，将防火墙策略与虚拟中心关联。

在门户中，搜索并选择 Hub-01。
在“设置”边栏选项卡中，选择“安全提供程序”****
选择“添加策略”对应的复选框**。
选择 Policy-01，然后选择“保存”****。
选中“Hub-01”复选框。
选择添加。
当策略关联完成后，选择“刷新”**。应显示关联。

任务 7：将流量路由到中心

在此任务中，必须确保通过防火墙路由网络流量。

在门户中，搜索并选择 Vwan-01**。
在“连接性”边栏选项卡中，选择“中心”，然后选择“Hub-01”****。
在“安全”边栏选项卡中，选择“Azure 防火墙和防火墙管理器”，然后选择“Hub-01”，再选择“安全配置”******。
在“Internet 流量”中，选择“Azure 防火墙” 。
在“专用流量”中，选择“通过 Azure 防火墙发送” 。
选择“保存”，然后单击“确定”以确认你的选择****。
完成此设置可能需要几分钟时间。
配置完成后，请确保在“INTERNET 流量”和“专用流量”下，这两个中心辐射型连接都显示“受 Azure 防火墙保护”。

任务 8：测试应用程序规则

在此练习部分，将远程桌面连接到防火墙公共 IP 地址，即 NATed 连接到 Srv-Workload-01。然后使用 Web 浏览器测试应用程序规则，并将远程桌面连接到 Srv-Workload-02 来测试网络规则。

在此任务中，你将测试应用程序规则，以确认它是否按预期正常工作。

在电脑上打开“远程桌面连接”。
在“计算机”框中，输入防火墙的公共 IP 地址（例如 51.143.226.18）。
选择“显示选项”。
在“用户名”框中，输入“TestUser” 。
选择“连接”。
在“输入凭据”对话框中，使用部署期间提供的密码登录到 Srv-workload-01 服务器虚拟机。
选择“确定”。
选择证书消息上的“是”。
打开 Internet Explorer，然后选择“设置 Internet Explorer 11”对话框中选择“确定”。
浏览到 https://www.microsoft.com
在“安全警报”对话框中，选择“确定” 。
在可能弹出的 Internet Explorer 安全警报中，选择“关闭”。
应会看到 Microsoft 主页。
浏览到 https:// ****。
防火墙应会阻止你访问。
因此，你已验证可以连接到允许 FQDN 的网络，但被所有其他网络阻止。

任务 9：测试网络规则

在此任务中，你将测试网络规则，以确认它是否按预期正常工作。

仍登录到 Srv-workload-01 RDP 会话时，请从此远程计算机打开“远程桌面连接”。
在“计算机”框中，输入 Srv-workload-02 的“专用 IP 地址”（例如 10.1.1.4）。
在“输入凭据”对话框中，使用用户名 TestUser 和部署期间提供的密码登录到 Srv-workload-02 服务器。
选择“确定”。
选择证书消息上的“是”。
现在，你已验证防火墙网络规则是否正常工作，因为已将远程桌面从一台服务器连接到另一个虚拟网络中的另一台服务器。
关闭这两个 RDP 会话以断开连接。

任务 10：清理资源

注意：记得删除所有不再使用的新建 Azure 资源。删除未使用的资源可确保不会出现意外费用。

在 Azure 门户的“Cloud Shell”窗格中打开“PowerShell”会话。
通过运行以下命令，删除在此模块的实验室中创建的所有资源组：
```
Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob
```
注意：该命令以异步方式执行（由 -AsJob 参数决定），因此，虽然你可以随后立即在同一个 PowerShell 会话中运行另一个 PowerShell 命令，但需要几分钟才能实际删除资源组。