Kurz: Nasazení a konfigurace Azure Firewall a zásad v hybridní síti pomocí Azure Portal

  • Článek
  • 14 min ke čtení

Když připojíte místní síť k virtuální síti Azure a vytvoříte hybridní síť, je schopnost řídit přístup k síťovým prostředkům Azure důležitou součástí celkového plánu zabezpečení.

Pomocí zásad Azure Firewall a firewallu můžete řídit přístup k síti v hybridní síti pomocí pravidel, která definují povolený a odepřený síťový provoz.

Pro tento kurz vytvoříte tři virtuální sítě:

  • VNet-Hub – brána firewall je v této virtuální síti.
  • VNet-Spoke – paprsková virtuální síť představuje úlohu umístěnou v Azure.
  • VNet-Onprem – místní virtuální síť představuje místní síť. Ve skutečném nasazení je možné ho připojit pomocí připojení VPN nebo ExpressRoute. Pro zjednodušení tento kurz používá připojení brány VPN a virtuální síť umístěná v Azure se používá k reprezentaci místní sítě.

Brána firewall v hybridní síti

V tomto kurzu se naučíte:

  • Vytvoření virtuální sítě centra brány firewall
  • Vytvoření virtuální sítě paprsku
  • Vytvoření místní virtuální sítě
  • Konfigurace a nasazení brány firewall a zásad
  • Vytvoření a propojení bran VPN
  • Partnerský vztah mezi virtuálními sítěmi s centrem a paprsky
  • Vytvoření tras
  • Vytvoření virtuálních počítačů
  • Testování brány firewall

Pokud chcete k dokončení tohoto Azure PowerShell použít nástroj , podívejte se na článek Nasazení a konfigurace Azure Firewall v hybridní síti pomocí Azure PowerShell.

Požadavky

Hybridní síť používá model architektury centra a paprsku ke směrování provozu mezi virtuálními sítěmi Azure a místními sítěmi. Architektura centra a paprsku má následující požadavky:

  • Nastavte Možnost Použít bránu této virtuální sítě nebo Směrovací server při VNet-Hub s virtuální sítí VNet-Spoke. V centrální a paprskové síťové architektuře průchod bránou umožňuje paprskové virtuální sítě sdílet bránu VPN v centru místo nasazování bran VPN v každé paprskové virtuální síti.

    Kromě toho se trasy do virtuálních sítí připojených k bráně nebo do místních sítí automaticky rozšíří do směrovacích tabulek pro partnerské virtuální sítě pomocí průchodu bránou. Další informace najdete v tématu Konfigurace průchodu bránou VPN pro partnerský vztah virtuálních sítí.

  • Nastavte možnost Použít brány vzdálené virtuální sítě nebo Směrovací server při připojení VNet-Spoke Snet-Hub. Pokud je nastavená možnost Použít brány vzdálené virtuální sítě nebo Směrovací server a je nastavená také možnost Použít bránu této virtuální sítě nebo Směrovací server ve vzdáleném partnerském vztahu, paprsková virtuální síť použije pro přenos brány vzdálené virtuální sítě.

  • Pokud chcete směrovat provoz podsítě paprsku přes bránu firewall centra, můžete použít trasu definovanou uživatelem (UDR), která odkazuje na bránu firewall se zakázaným parametrem šíření tras brány virtuální sítě. Možnost Zakázané šíření tras brány virtuální sítě brání distribuci tras do paprskových podsítí. Zabráníte tak konfliktům naučených tras s trasou UDR. Pokud chcete zachovat povolené šíření tras brány virtuální sítě, nezapomeňte definovat konkrétní trasy k bráně firewall a přepsat trasy publikované z místního prostředí přes protokol BGP.

  • Nakonfigurujte UDR v podsíti brány rozbočovače, která odkazuje na IP adresu brány firewall jako na další segment směrování do paprskových sítí. V podsíti virtuální sítě není Azure Firewall trasa UDR, protože se učí trasy z protokolu BGP.

Postup vytvoření těchto tras najdete v části Vytvoření pravidel v tomto kurzu.

Poznámka

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše síť AzureFirewallSubnet zjistí výchozí trasu k místní síti přes protokol BGP, musíte ji přepsat trasou UDR 0.0.0.0/0 s hodnotou NextHopType nastavenou na Internet, aby se zachovalo přímé připojení k internetu.

Azure Firewall můžete nakonfigurovat tak, aby podporovala vynucené tunelování. Další informace najdete v tématu Azure Firewall tunelování.

Poznámka

Provoz mezi virtuálními sítěmi v přímém partnerském vztahu se směruje přímo, i když trasa UDR odkazuje Azure Firewall jako výchozí bránu. Pokud chcete v tomto scénáři odesílat provoz podsítě do brány firewall, musí pravidlo UDR explicitně obsahovat předponu sítě cílové podsítě v obou podsítích.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření virtuální sítě centra brány firewall

Nejprve vytvořte skupinu prostředků, která bude obsahovat prostředky pro tento kurz:

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. Na domovské Azure Portal vyberte Skupiny prostředků > Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte FW-Hybrid-Test.
  5. V oblasti vyberte (USA) USA – východ. Všechny prostředky, které vytvoříte později, musí být ve stejném umístění.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Teď vytvořte virtuální síť:

Poznámka

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v tématu Azure Firewall nejčastější dotazy.

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. Vyberte Vytvořit.
  4. V seznamu Skupina prostředků vyberte FW-Hybrid-Test.
  5. Jako Název zadejte VNet-hub.
  6. Vyberte Další: IP adresy.
  7. V případě adresního prostoru IPv4 odstraňte výchozí adresu a zadejte 10.5.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Jako Název podsítě zadejte AzureFirewallSubnet. Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.
  10. Jako Rozsah adres podsítě zadejte 10.5.0.0/26.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Vytvoření virtuální sítě paprsku

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. V seznamu Skupina prostředků vyberte FW-Hybrid-Test.
  4. Jako Název zadejte VNet-Spoke.
  5. V oblasti vyberte (USA) USA – východ.
  6. Vyberte Další: IP adresy.
  7. V případě adresního prostoru IPv4 odstraňte výchozí adresu a zadejte 10.6.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Jako Název podsítě zadejte SN-Workload.
  10. Jako Rozsah adres podsítě zadejte 10.6.0.0/24.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Vytvoření místní virtuální sítě

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. V seznamu Skupina prostředků vyberte FW-Hybrid-Test.
  4. Jako Název zadejte VNet-OnPrem.
  5. V oblasti vyberte (USA) USA – východ.
  6. Vyberte Další: IP adresy.
  7. V případě adresního prostoru IPv4 odstraňte výchozí adresu a zadejte 192.168.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Jako Název podsítě zadejte SN-Corp.
  10. Jako Rozsah adres podsítě zadejte 192.168.1.0/24.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Teď vytvořte druhou podsíť pro bránu.

  1. Na stránce VNet-Onprem vyberte Podsítě.
  2. Vyberte +Podsíť.
  3. Jako Název zadejte GatewaySubnet.
  4. Jako Rozsah adres podsítě zadejte 192.168.2.0/24.
  5. Vyberte OK.

Konfigurace a nasazení brány firewall

Teď nasaďte bránu firewall do virtuální sítě centra brány firewall.

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.

  2. V levém sloupci vyberte Sítě a vyhledejte a pak vyberte Brána firewall.

  3. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <your subscription>
    Skupina prostředků FW-Hybrid-Test
    Name AzFW01
    Oblast East US
    Správa brány firewall Použití zásad brány firewall ke správě této brány firewall
    Zásady brány firewall Přidat novou:
    hybrid-test-pol
    East US
    Volba virtuální sítě Použít existující:
    VNet-hub
    Veřejná IP adresa Přidat novou:
    fw-pip.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte souhrn a pak vyberte Vytvořit a vytvořte bránu firewall.

    Nasazení trvá několik minut.

  6. Po dokončení nasazení přejděte do skupiny prostředků FW-Hybrid-Test a vyberte bránu firewall AzFW01.

  7. Poznamenejte si privátní IP adresu. Budete ji potřebovat později při vytváření výchozí trasy.

Konfigurace pravidel sítě

Nejprve přidejte pravidlo sítě, které povolí webový provoz.

  1. Ve skupině prostředků FW-Hybrid-Test vyberte zásadu brány firewall hybrid-test-pol.
  2. Vyberte Pravidla sítě.
  3. Vyberte Přidat přidat kolekci pravidel.
  4. Jako Název zadejte RCNet01.
  5. Jako Prioritu zadejte 100.
  6. V seznamu Akce kolekce pravidel vyberte Povolit.
  7. V části Pravidla jako Název zadejte AllowWeb.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 192.168.1.0/24.
  10. V části Protokol vyberte TCP.
  11. Do pole Cílové porty zadejte 80.
  12. Jako Typ cíle vyberte IP adresa.
  13. Do pole Cíl zadejte 10.6.0.0/16.

Teď přidejte pravidlo, které povolí provoz protokolu RDP.

Do druhého řádku pravidla zadejte následující informace:

  1. Název zadejte AllowRDP.
  2. Jako Typ zdroje vyberte IP adresa.
  3. Jako Zdroj zadejte 192.168.1.0/24.
  4. V části Protokol vyberte TCP.
  5. Do pole Cílové porty zadejte 3389.
  6. Jako Typ cíle vyberte IP adresa.
  7. Do pole Cíl zadejte 10.6.0.0/16.
  8. Vyberte Přidat.

Vytvoření a propojení bran VPN

Rozbočovač a místní virtuální sítě jsou připojené prostřednictvím bran VPN.

Vytvoření brány VPN pro centrální virtuální síť

Teď vytvořte bránu VPN pro centrální virtuální síť. Konfigurace typu Network-to-Network vyžadují Typ sítě Vpn typu RouteBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte brána virtuální sítě.
  3. Vyberte Brána virtuální sítě a pak Vytvořit.
  4. Jako Název zadejte GW-hub.
  5. V oblasti Oblast vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako Gateway type (Typ brány) vyberte VPN.
  7. Jako typ sítě VPN vyberte Trasový.
  8. V části SKU vyberte Basic.
  9. V oblasti Virtuální síť vyberte VNet-hub.
  10. V poli Veřejná IP adresa vyberte Vytvořit novou a jako název zadejte VNet-hub-GW-pip.
  11. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  12. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření brány VPN pro místní virtuální síť

Teď vytvořte bránu VPN pro místní virtuální síť. Konfigurace typu Network-to-Network vyžadují Typ sítě Vpn typu RouteBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na Azure Portal stránce vyberte Vytvořit prostředek.
  2. Do textového pole hledání zadejte brána virtuální sítě a stiskněte Enter.
  3. Vyberte Brána virtuální sítě a pak Vytvořit.
  4. Jako Název zadejte GW-Onprem.
  5. V oblasti Oblast vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako Gateway type (Typ brány) vyberte VPN.
  7. Jako typ sítě VPN vyberte Trasový.
  8. V části SKU vyberte Basic.
  9. V oblasti Virtuální síť vyberte VNet-Onprem.
  10. V poli Veřejná IP adresa vyberte Vytvořit novou a jako název zadejte VNet-Onprem-GW-pip.
  11. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  12. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření připojení VPN

Teď můžete vytvořit připojení VPN mezi centrem a místními bránami.

V tomto kroku vytvoříte připojení z virtuální sítě rozbočovače k místní virtuální síti. Zobrazí se sdílený klíč uváděný v příkladech. Pro sdílený klíč můžete použít vlastní hodnoty. Důležité je, že se sdílený klíč pro obě připojení musí shodovat. Vytvoření připojení může nějakou dobu trvat.

  1. Otevřete skupinu prostředků- Hybrid-test FW a vyberte bránu GS-hub .
  2. V levém sloupci vyberte připojení .
  3. Vyberte Přidat.
  4. Název připojení, typ hub-to-OnPrem.
  5. Pro Typ připojení vyberte VNet-to-VNet .
  6. Pro druhou bránu virtuální sítě vyberte GS-OnPrem.
  7. Pro sdílený klíč (PSK) zadejte AzureA1b2C3.
  8. Vyberte OK.

Vytvořte připojení k virtuální síti z místního prostředí k rozbočovači. Tento krok je podobný předchozímu, s tím rozdílem, že vytvoříte připojení z VNet-Onprem k rozbočovači VNet. Ověřte, že se sdílené klíče shodují. Připojení se vytvoří během několika minut.

  1. Otevřete skupinu prostředků " Hybrid-test FW " a vyberte bránu GS-OnPrem .
  2. V levém sloupci vyberte připojení .
  3. Vyberte Přidat.
  4. Do pole název připojení zadejte OnPrem-to-hub.
  5. Pro Typ připojení vyberte VNet-to-VNet .
  6. Pro druhou bránu virtuální sítě vyberte GS-hub.
  7. Pro sdílený klíč (PSK) zadejte AzureA1b2C3.
  8. Vyberte OK.

Ověření připojení

Po asi pěti minutách se musí připojit stav obou připojení.

Připojení brány

Vytvoření partnerského vztahu mezi virtuálními sítěmi hub a paprsek

Nyní můžete vytvořit partnerský vztah mezi virtuálními sítěmi hub a paprsek.

  1. Otevřete skupinu prostředků " Hybrid-test FW " a vyberte virtuální síť centra VNet .

  2. V levém sloupci vyberte partnerské vztahy.

  3. Vyberte Přidat.

  4. V rámci této virtuální sítě:

    Název nastavení Hodnota
    Název propojení partnerského vztahu HubtoSpoke
    Provoz do vzdálené virtuální sítě Povoleno (výchozí)
    Přenos předaných ze vzdálené virtuální sítě Povoleno (výchozí)
    Brána virtuální sítě Použít bránu této virtuální sítě

  5. V části Vzdálená virtuální síť:

    Název nastavení Hodnota
    Název propojení partnerského vztahu SpoketoHub
    Model nasazení virtuální sítě Resource Manager
    Předplatné <your subscription>
    Virtuální síť VNet-Spoke
    Provoz do vzdálené virtuální sítě Povoleno (výchozí)
    Přenos předaných ze vzdálené virtuální sítě Povoleno (výchozí)
    Brána virtuální sítě Použít bránu vzdálené virtuální sítě

  6. Vyberte Přidat.

    Partnerský vztah virtuální sítě

Vytvoření tras

Dále vytvořte několik tras:

  • Trasa z podsítě brány rozbočovače do podsítě paprsku přes IP adresu brány firewall
  • Výchozí trasa z podsítě paprsku přes IP adresu brány firewall
  1. Na domovské stránce Azure Portal vyberte vytvořit prostředek.
  2. Do textového pole Hledat zadejte Směrování Table a stiskněte klávesu ENTER.
  3. Vyberte směrovací tabulku.
  4. Vyberte Vytvořit.
  5. Vyberte položku FW-Hybrid-test pro skupinu prostředků.
  6. V poli oblast vyberte stejné umístění, které jste použili dříve.
  7. Jako název zadejte udr-hub-paprsek.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.
  10. Po vytvoření směrovací tabulky vyberte ji a otevřete stránku směrovací tabulka.
  11. V levém sloupci vyberte možnost trasy .
  12. Vyberte Přidat.
  13. Jako název trasy zadejte ToSpoke.
  14. Jako předponu adresy zadejte 10.6.0.0/16.
  15. V poli Typ dalšího segmentu směrování vyberte virtuální zařízení.
  16. Do pole adresa dalšího směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  17. Vyberte OK.

Nyní připojte trasu k podsíti.

  1. Na stránce udr-hub-paprsek-Routes vyberte podsítě.
  2. Vyberte přidružit.
  3. V části virtuální síť vyberte VNet-hub.
  4. V části podsíť vyberte GatewaySubnet.
  5. Vyberte OK.

Nyní vytvořte výchozí trasu z podsítě paprsků.

  1. Na domovské stránce Azure Portal vyberte vytvořit prostředek.
  2. Do textového pole Hledat zadejte Směrování Table a stiskněte klávesu ENTER.
  3. Vyberte směrovací tabulku.
  4. Vyberte Vytvořit.
  5. Vyberte položku FW-Hybrid-test pro skupinu prostředků.
  6. V poli oblast vyberte stejné umístění, které jste použili dříve.
  7. Jako název zadejte udr-DG.
  8. V případě trasy rozšíření pro přenos brány vyberte možnost ne.
  9. Vyberte Zkontrolovat a vytvořit.
  10. Vyberte Vytvořit.
  11. Po vytvoření směrovací tabulky vyberte ji a otevřete stránku směrovací tabulka.
  12. V levém sloupci vyberte možnost trasy .
  13. Vyberte Přidat.
  14. Jako název trasy zadejte ToHub.
  15. Jako předponu adresy zadejte 0.0.0.0/0.
  16. V poli Typ dalšího segmentu směrování vyberte virtuální zařízení.
  17. Do pole adresa dalšího směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  18. Vyberte OK.

Nyní připojte trasu k podsíti.

  1. Na stránce udr-DG-Routes vyberte podsítě.
  2. Vyberte přidružit.
  3. V části virtuální síť vyberte VNet-paprsek.
  4. V části podsíť vyberte sériové – zatížení.
  5. Vyberte OK.

Vytvoření virtuálních počítačů

Teď vytvořte úlohu paprsků a místní virtuální počítače a umístěte je do příslušných podsítí.

Vytvoření virtuálního počítače úloh

Vytvořte virtuální počítač ve virtuální síti paprsků a spusťte službu IIS bez veřejné IP adresy.

  1. Na domovské stránce Azure Portal vyberte vytvořit prostředek.
  2. v části oblíbené vyberte Windows Server 2016 datacentra.
  3. Zadejte pro virtuální počítač tyto hodnoty:
    • Skupina prostředků – vyberte FW-Hybrid-test.
    • Název virtuálního počítače: VM-paprsek-01.
    • Oblast se stejnou oblastí, kterou jste použili dříve.
    • Uživatelské jméno: <type a user name> .
    • Heslo: <type a password>
  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte http (80) a RDP (3389) .
  5. Vyberte Další: disky.
  6. Přijměte výchozí hodnoty a vyberte Další: sítě.
  7. Vyberte VNet-hvězdicové pro virtuální síť a podsíť je sn-zatížení.
  8. V případě veřejné IP adresy vyberte žádné.
  9. Vyberte Další: Správa.
  10. V případě diagnostiky spouštění vyberte Zakázat.
  11. Vyberte zkontrolovat + vytvořit, zkontrolujte nastavení na stránce Souhrn a pak vyberte vytvořit.

Instalace služby IIS

  1. Z Azure Portal otevřete Cloud Shell a ujistěte se, že je nastavené na PowerShell.

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuálním počítači a v případě potřeby změňte umístění:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Vytvoření místního virtuálního počítače

Toto je virtuální počítač, který používáte k připojení pomocí vzdálené plochy k veřejné IP adrese. Odtud se pak pomocí brány firewall připojíte k místnímu serveru.

  1. Na domovské stránce Azure Portal vyberte vytvořit prostředek.
  2. v části oblíbené vyberte Windows Server 2016 datacentra.
  3. Zadejte pro virtuální počítač tyto hodnoty:
    • Skupina prostředků – vyberte existující a pak vyberte FW-Hybrid-test.
    • Název - virtuálního počítače VM-OnPrem.
    • Oblast se stejnou oblastí, kterou jste použili dříve.
    • Uživatelské jméno: <type a user name> .
    • Heslo: <type a user password> .
  4. Pro veřejné příchozí porty vyberte Povolit vybrané porty a pak vyberte RDP (3389) .
  5. Vyberte Další: disky.
  6. Přijměte výchozí hodnoty a vyberte Další: sítě.
  7. Vyberte VNet-OnPrem pro virtuální síť a podsíť je sn-Corp.
  8. Vyberte Další: Správa.
  9. V případě diagnostiky spouštění vyberte Zakázat.
  10. Vyberte zkontrolovat + vytvořit, zkontrolujte nastavení na stránce Souhrn a pak vyberte vytvořit.

Poznámka

Azure poskytuje výchozí IP adresu odchozího přístupu pro Azure Virtual Machines, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endového fondu interního virtuálního počítače Azure Load Balancer. Výchozí mechanismus IP adresy odchozího přístupu poskytuje odchozí IP adresu, která není konfigurovatelná.

Další informace o výchozím odchozím přístupu najdete v tématu Výchozí odchozí přístup v Azure.

Výchozí IP adresa odchozího přístupu je zakázaná, když je virtuálnímu počítači přiřazena veřejná IP adresa nebo je virtuální počítač umístěn do back-endového fondu služby Standard Load Balancer s odchozími pravidly nebo bez nich. Pokud je Překlad adres služby Azure Virtual Network virtuální počítač přiřazený k podsíti virtuálního počítače, výchozí IP adresa odchozího přístupu je zakázaná.

Virtuální počítače vytvořené škálovacími sadami virtuálních počítačů v režimu flexibilní orchestrace nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Použití překladu zdrojových adres (SNAT) pro odchozí připojení.

Testování brány firewall

  1. Nejdřív si poznamenejte privátní IP adresu virtuálního počítače VM-paprsek-01 .

  2. Na webu Azure Portal se připojte k virtuálnímu počítači VM-Onprem.

  1. Otevřete webový prohlížeč na virtuálním počítači-OnPrem a přejděte na http:// <VM-spoke-01 private IP> .

    Měla by se zobrazit webová stránka VM-paprsek-01 webová stránka VM-paprsk-01.

  2. Z virtuálního počítače VM-OnPrem otevřete vzdálenou plochu virtuálního počítače-paprsek-01 na privátní IP adrese.

    Připojení by mělo být úspěšné a mělo by být možné se přihlásit.

Takže teď ověříte, že pravidla brány firewall fungují:

  • Webový server můžete procházet ve virtuální síti paprsků.
  • Pomocí protokolu RDP se můžete připojit k serveru ve virtuální síti paprsků.

Dále změňte akci kolekce pravidel sítě brány firewall na Odepřít, abyste ověřili, že pravidla brány firewall fungují podle očekávání.

  1. Vyberte zásady brány firewall Hybrid-test-Pol .
  2. Vyberte kolekce pravidel.
  3. Vyberte kolekci pravidel RCNet01 .
  4. V případě akce kolekce pravidel vyberte Odepřít.
  5. Vyberte Uložit.

Před testováním změněných pravidel ukončete všechna existující připojení vzdálené plochy. Teď znovu spusťte testy. Tentokrát by všechny měly selhat.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků FW-Hybrid-Test odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Nasazení a konfigurace Azure Firewall Premium