Share via

Oktatóanyag: Az Azure Firewall és a szabályzat üzembe helyezése és konfigurálása hibrid hálózaton az Azure Portal használatával

  • Cikk

Ha hibrid hálózat létrehozása érdekében helyhez kötött hálózatát egy Azure virtuális hálózathoz csatlakoztatja, az Azure hálózati erőforrásaihoz való hozzáférés ellenőrzése fontos része az átfogó biztonsági tervnek.

Az Azure Firewall és a tűzfalszabályzat használatával szabályozhatja a hálózati hozzáférést egy hibrid hálózatban az engedélyezett és megtagadott hálózati forgalmat meghatározó szabályok használatával.

Ebben az oktatóanyagban három virtuális hálózatot hoz létre:

  • VNet-Hub – a tűzfal ebben a virtuális hálózatban található.
  • VNet-Küllő – A küllős virtuális hálózat az Azure-ban található számítási feladatokat jelöli.
  • VNet-Onprem – A helyszíni virtuális hálózat egy helyszíni hálózatot jelöl. Egy tényleges üzembe helyezés esetén VPN- vagy ExpressRoute-kapcsolattal is csatlakoztatható. Az egyszerűség kedvéért ez az oktatóanyag VPN-átjárókapcsolatot használ, és egy Azure-beli virtuális hálózatot használ egy helyszíni hálózat ábrázolására.

Tűzfal a hibrid hálózatban

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • A tűzfalközpont virtuális hálózatának létrehozása
  • Küllős virtuális hálózat létrehozása
  • A helyszíni virtuális hálózat létrehozása
  • A tűzfal és a szabályzat konfigurálása és üzembe helyezése
  • A VPN-átjárók létrehozása és csatlakoztatása
  • Társviszony a küllős virtuális hálózatokkal
  • Az útvonalak létrehozása
  • A virtuális gépek létrehozása
  • A tűzfal tesztelése

Ha inkább az Azure PowerShellt szeretné használni az eljárás elvégzéséhez, olvassa el az Azure Firewall üzembe helyezését és konfigurálását hibrid hálózaton az Azure PowerShell használatával.

Előfeltételek

A hibrid hálózatok a küllős architektúramodell használatával irányítják a forgalmat az Azure-beli virtuális hálózatok és a helyszíni hálózatok között. A küllős architektúra a következő követelményekkel rendelkezik:

  • Állítsa be a virtuális hálózat átjárójának vagy útvonalkiszolgálójának használatát a VNet-Hub és a VNet-Küllő közötti társviszony létesítésekor. A küllős hálózati architektúrában az átjáróáttovábbítás lehetővé teszi, hogy a küllős virtuális hálózatok megosztják a VPN-átjárót a központban ahelyett, hogy vpn-átjárókat helyeznek üzembe minden küllős virtuális hálózaton.

    Emellett az átjáróhoz csatlakoztatott virtuális hálózatokra vagy helyszíni hálózatokra irányuló útvonalak automatikusan propagálásra kerülnek a társhálózatok útválasztási tábláira az átjárótovábbítás használatával. További információ: VPN Gateway-átvitel konfigurálása virtuális hálózatok közötti társviszony-létesítéshez.

  • Állítsa be a távoli virtuális hálózat átjáróinak vagy útvonalkiszolgálójának használatát, ha virtuális hálózat küllőjét társviszonyba állítja a VNet-Hubbal. Ha a távoli virtuális hálózat átjáróinak vagy útvonalkiszolgálójának használata be van állítva, és a virtuális hálózat átjárójának vagy útvonalkiszolgálójának használata távoli társviszony-létesítéskor is be van állítva, a küllős virtuális hálózat a távoli virtuális hálózat átjáróit használja az átvitelhez.

  • Ha a küllős alhálózat forgalmát a központi tűzfalon keresztül szeretné irányítani, használhat egy felhasználó által definiált útvonalat (UDR), amely a tűzfalra mutat, és a virtuális hálózati átjáró útvonalterjesztési lehetősége le van tiltva. A virtuális hálózati átjáró útvonalterjesztésének letiltott beállítása megakadályozza a küllős alhálózatok közötti útvonaleloszlást. Ez megakadályozza, hogy a tanult útvonalak ütköznek az UDR-vel. Ha engedélyezni szeretné a virtuális hálózati átjáró útvonal-propagálását , ügyeljen arra, hogy meghatározott útvonalakat adjon meg a tűzfalhoz, hogy felülbírálja a helyszíni BGP-n keresztül közzétett útvonalakat.

  • Konfiguráljon egy UDR-t a központi átjáró alhálózatán, amely a küllős hálózatok következő ugrásaként a tűzfal IP-címére mutat. Az Azure Firewall alhálózatán nincs szükség UDR-re, mivel az útvonalakat a BGP-ből tanulja meg.

Az útvonalak létrehozásával kapcsolatos információkért lásd az oktatóanyag Útvonalak létrehozása című szakaszát.

Feljegyzés

Az Azure Firewallnak közvetlen internetkapcsolatra van szüksége. Ha az AzureFirewallSubnet a BGP-n keresztül tanulja meg a helyszíni hálózathoz vezető alapértelmezett útvonalat, ezt felül kell bírálnia egy 0.0.0.0/0 UDR-vel, és a NextHopType értéket internetként kell beállítani a közvetlen internetkapcsolat fenntartásához.

Az Azure Firewall konfigurálható a kényszerített bújtatás támogatására. További információ: Kényszerített Azure Firewall-bújtatás.

Feljegyzés

A közvetlenül társviszonyban lévő virtuális hálózatok közötti forgalom akkor is közvetlenül lesz irányítva, ha egy UDR alapértelmezett átjáróként az Azure Firewallra mutat. Ha ebben a forgatókönyvben alhálózati forgalmat szeretne küldeni a tűzfalnak, az UDR-nek explicit módon tartalmaznia kell a cél alhálózati hálózati előtagot mindkét alhálózaton.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A tűzfalközpont virtuális hálózatának létrehozása

Először hozza létre az erőforráscsoportot az oktatóanyag erőforrásainak tartalmaznia:

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal kezdőlapján válassza a Létrehozás erőforráscsoportok>lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Az erőforráscsoport neveként írja be az FW-Hybrid-Test nevet.
  5. Régió esetén válassza az USA keleti régióját. A később létrehozott összes erőforrásnak ugyanazon a helyen kell lennie.
  6. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

Most hozza létre a virtuális hálózatot:

Feljegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózat lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Erőforráscsoport esetén válassza az FW-Hybrid-Test lehetőséget.
  5. A Név mezőbe írja be a VNet-Hub nevet.
  6. Válassza a Tovább: IP-címek lehetőséget.
  7. IPv4-címtartomány esetén törölje az alapértelmezett címet, és írja be a 10.5.0.0/16 értéket.
  8. Az Alhálózat neve területen válassza az Alhálózat hozzáadása lehetőséget.
  9. Alhálózati név esetén írja be az AzureFirewallSubnet nevet. Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.
  10. Alhálózati címtartomány esetén írja be a 10.5.0.0/26-ot.
  11. Válassza a Hozzáadás lehetőséget.
  12. Válassza az Áttekintés + létrehozás lehetőséget.
  13. Válassza a Létrehozás lehetőséget.

Küllős virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózat lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Erőforráscsoport esetén válassza az FW-Hybrid-Test lehetőséget.
  5. A Név mezőbe írja be a VNet küllőt.
  6. Régió esetén válassza az USA keleti régióját.
  7. Válassza a Tovább: IP-címek lehetőséget.
  8. IPv4-címtér esetén törölje az alapértelmezett címet, és írja be a 10.6.0.0/16 értéket.
  9. Az Alhálózat neve területen válassza az Alhálózat hozzáadása lehetőséget.
  10. Alhálózatnévtípusesetén SN-Számítási feladat.
  11. Alhálózati címtartomány esetén írja be a 10.6.0.0/24-es típust.
  12. Válassza a Hozzáadás lehetőséget.
  13. Válassza az Áttekintés + létrehozás lehetőséget.
  14. Válassza a Létrehozás lehetőséget.

A helyszíni virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózat lehetőséget.
  3. Erőforráscsoport esetén válassza az FW-Hybrid-Test lehetőséget.
  4. A Név mezőbe írja be a VNet-OnPrem nevet.
  5. Régió esetén válassza az USA keleti régióját.
  6. Válassza a Tovább elemet: IP-címek
  7. IPv4-címtér esetén törölje az alapértelmezett címet, és írja be a 192.168.0.0/16 értéket.
  8. Az Alhálózat neve területen válassza az Alhálózat hozzáadása lehetőséget.
  9. Alhálózatnévtípusesetén SN-Corp.
  10. Alhálózati címtartomány esetén írja be a 192.168.1.0/24-es típust.
  11. Válassza a Hozzáadás lehetőséget.
  12. Válassza az Áttekintés + létrehozás lehetőséget.
  13. Válassza a Létrehozás lehetőséget.

Most hozzon létre egy második alhálózatot az átjáróhoz.

  1. A VNet-Onprem lapon válassza az Alhálózatok lehetőséget.
  2. Válassza a +Alhálózat lehetőséget.
  3. A Név mezőbe írja be a GatewaySubnet nevet.
  4. Alhálózati címtartomány típusa : 192.168.2.0/24.
  5. Válassza a Mentés lehetőséget.

A tűzfal konfigurálása és üzembe helyezése

Most helyezze üzembe a tűzfalat a tűzfalközpont virtuális hálózatában.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. A bal oldali oszlopban válassza a Hálózatkezelés lehetőséget, keresse meg a tűzfalat, majd válassza a Létrehozás lehetőséget.

  3. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <Az Ön előfizetése>
    Erőforráscsoport FW-Hybrid-Test
    Név AzFW01
    Régió USA keleti régiója
    Tűzfalszint Standard
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Új hozzáadása:
    hybrid-test-pol
    USA keleti régiója
    Válasszon egy virtuális hálózatot Meglévő használata:
    VNet-hub
    Nyilvános IP-cím Új hozzáadása:
    fw-pip

  4. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Ez néhány percet vesz igénybe az üzembe helyezéshez.

  6. Az üzembe helyezés befejezése után lépjen az FW-Hybrid-Test erőforráscsoportra, és válassza ki az AzFW01 tűzfalat.

  7. Jegyezze fel a magánhálózati IP-címet. Később, az alapértelmezett útvonal létrehozásakor szükség lesz rá.

Hálózati szabályok konfigurálása

Először adjon hozzá egy hálózati szabályt a webes forgalom engedélyezéséhez.

  1. Az FW-Hybrid-Test erőforráscsoportban válassza ki a hybrid-test-pol tűzfalszabályzatot.
  2. Válassza a Hálózati szabályok lehetőséget.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be az RCNet01 nevet.
  5. A Prioritás mezőbe írja be a 100-et.
  6. Szabálygyűjtési művelet esetén válassza az Engedélyezés lehetőséget.
  7. A Szabályok területen a Név mezőbe írja be az AllowWeb parancsot.
  8. Forrástípus esetén válassza az IP-címet.
  9. Forrás esetén írja be a 192.168.1.0/24-es típust.
  10. A Protokoll beállításnál válassza a TCP lehetőséget.
  11. Célportok esetén írja be a 80-at.
  12. Céltípus esetén válassza az IP-címet.
  13. Célként írja be a 10.6.0.0/16-ot.

Most adjon hozzá egy szabályt az RDP-forgalom engedélyezéséhez.

A második szabálysorba írja be a következő adatokat:

  1. Név, írja be az AllowRDP nevet.
  2. Forrástípus esetén válassza az IP-címet.
  3. Forrás esetén írja be a 192.168.1.0/24-es típust.
  4. A Protokoll beállításnál válassza a TCP lehetőséget.
  5. Célportok esetén írja be a 3389-es típust.
  6. Céltípus esetén válassza az IP-címet.
  7. Célként írja be a 10.6.0.0/16-ot
  8. Válassza a Hozzáadás lehetőséget.

A VPN-átjárók létrehozása és csatlakoztatása

A központ és a helyszíni virtuális hálózatok VPN-átjárókon keresztül csatlakoznak.

VPN-átjáró létrehozása a központi virtuális hálózathoz

Most hozza létre a VPN-átjárót a központi virtuális hálózathoz. A hálózati konfigurációkhoz RouteBased VpnType szükséges. A VPN-átjáró létrehozása akár 45 percet is igénybe vehet, az átjáró kiválasztott termékváltozatától függően.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A keresőmezőbe írja be a virtuális hálózati átjárót.
  3. Válassza a Virtuális hálózati átjáró, majd a Létrehozás lehetőséget.
  4. A Név mezőbe írja be a GW-hub nevet.
  5. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  6. Átjárótípus esetén válassza a VPN-t.
  7. VPN-típus esetén válassza az Útvonalalapú lehetőséget.
  8. Termékváltozat esetén válassza az Alapszintű lehetőséget.
  9. Virtuális hálózat esetén válassza a VNet-Hub lehetőséget.
  10. Nyilvános IP-cím esetén válassza az Új létrehozása lehetőséget, és írja be a névhez a VNet-hub-GW-pip nevet.
  11. Fogadja el a fennmaradó alapértelmezett értékeket, majd válassza a Véleményezés + létrehozás lehetőséget.
  12. Tekintse át a konfigurációt, majd válassza a Létrehozás lehetőséget.

VPN-átjáró létrehozása a helyszíni virtuális hálózathoz

Most hozza létre a VPN-átjárót a helyszíni virtuális hálózathoz. A hálózati konfigurációkhoz RouteBased VpnType szükséges. A VPN-átjáró létrehozása akár 45 percet is igénybe vehet, az átjáró kiválasztott termékváltozatától függően.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A keresőmezőbe írja be a virtuális hálózati átjárót , és nyomja le az Enter billentyűt.
  3. Válassza a Virtuális hálózati átjáró, majd a Létrehozás lehetőséget.
  4. A Név mezőbe írja be a GW-Onprem nevet.
  5. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  6. Átjárótípus esetén válassza a VPN-t.
  7. VPN-típus esetén válassza az Útvonalalapú lehetőséget.
  8. Termékváltozat esetén válassza az Alapszintű lehetőséget.
  9. Virtuális hálózat esetén válassza a VNet-Onprem lehetőséget.
  10. Nyilvános IP-cím esetén válassza az Új létrehozása lehetőséget, és írja be a névhez a VNet-Onprem-GW-pip nevet.
  11. Fogadja el a fennmaradó alapértelmezett értékeket, majd válassza a Véleményezés + létrehozás lehetőséget.
  12. Tekintse át a konfigurációt, majd válassza a Létrehozás lehetőséget.

A VPN-kapcsolatok létrehozása

Most már létrehozhatja a VPN-kapcsolatokat a központ és a helyszíni átjárók között.

Ebben a lépésben létrehozza a kapcsolatot a központi virtuális hálózatról a helyszíni virtuális hálózatra. A példák egy megosztott kulcsra is hivatkoznak. A megosztott kulcshoz használhatja a saját értékeit. Fontos, hogy a megosztott kulcs azonos legyen mindkét kapcsolathoz. A kapcsolat létrehozása egy kis időt vehet igénybe.

  1. Nyissa meg az FW-Hybrid-Test erőforráscsoportot, és válassza ki a GW-hub átjárót.
  2. Válassza ki a bal oldali oszlopban lévő Csatlakozás okat.
  3. Válassza a Hozzáadás lehetőséget.
  4. A kapcsolat neve, írja be a Hub-to-Onprem nevet.
  5. Válassza a VNet-to-VNet lehetőséget a Csatlakozás ion típushoz.
  6. A második virtuális hálózati átjárónál válassza a GW-Onprem lehetőséget.
  7. Megosztott kulcs (PSK) esetén írja be az AzureA1b2C3 nevet.
  8. Kattintson az OK gombra.

Hozza létre a helyszíni elemet a virtuális hálózati kapcsolat központosítása érdekében. Ez a lépés hasonló az előzőhöz, kivéve, ha a VNet-Onprem és a VNet-Hub közötti kapcsolatot hozza létre. Ügyeljen arra, hogy a megosztott kulcsok megegyezzenek. A kapcsolat néhány perc alatt létrejön.

  1. Nyissa meg az FW-Hybrid-Test erőforráscsoportot, és válassza ki a GW-Onprem átjárót.
  2. Válassza ki a bal oldali oszlopban lévő Csatlakozás okat.
  3. Válassza a Hozzáadás lehetőséget.
  4. A kapcsolatnévhez írja be az Onprem-to-Hub nevet.
  5. Válassza a VNet-to-VNet lehetőséget a Csatlakozás ion típushoz.
  6. A második virtuális hálózati átjárónál válassza a GW-Hub lehetőséget.
  7. Megosztott kulcs (PSK) esetén írja be az AzureA1b2C3 nevet.
  8. Kattintson az OK gombra.

A kapcsolat ellenőrzése

Körülbelül öt perc múlva mindkét kapcsolat állapotát Csatlakozás kell megadni.

Átjárókapcsolatok

Társviszony a küllős virtuális hálózatokkal

Most társviszonyt létesíthet a küllős virtuális hálózatokkal.

  1. Nyissa meg az FW-Hybrid-Test erőforráscsoportot, és válassza ki a VNet-Hub virtuális hálózatot.

  2. A bal oldali oszlopban válassza a Társviszonyok lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. A virtuális hálózat alatt:

    A beállítás neve Érték
    Társviszony-létesítési hivatkozás neve HubtoSpoke
    Forgalom távoli virtuális hálózatra Engedélyezés (alapértelmezett)
    Távoli virtuális hálózatról továbbított forgalom Engedélyezés (alapértelmezett)
    Virtuális hálózati átjáró A virtuális hálózat átjárójának használata

  5. A Távoli virtuális hálózat alatt:

    A beállítás neve Érték
    Társviszony-létesítési hivatkozás neve SpoketoHub
    Virtuális hálózati üzemi modell Erőforrás-kezelő
    Előfizetés <Az Ön előfizetése>
    Virtuális hálózat Küllős virtuális hálózat
    Forgalom távoli virtuális hálózatra Engedélyezés (alapértelmezett)
    Távoli virtuális hálózatról továbbított forgalom Engedélyezés (alapértelmezett)
    Virtuális hálózati átjáró A távoli virtuális hálózat átjárójának használata

  6. Válassza a Hozzáadás lehetőséget.

    Virtuális hálózatok közötti társviszony-létesítés

Az útvonalak létrehozása

Ezután hozzon létre néhány útvonalat:

  • Egy útvonalat a központi átjáró alhálózatától a küllő alhálózatához a tűzfal IP-címén keresztül
  • Egy alapértelmezett útvonalat a küllő alhálózattól a tűzfal IP-címén keresztül
  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A keresőmezőbe írja be az útvonaltáblát , és nyomja le az Enter billentyűt.
  3. Válassza az Útvonal tábla lehetőséget.
  4. Válassza a Létrehozás lehetőséget.
  5. Válassza ki az erőforráscsoport FW-Hybrid-Test elemét.
  6. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  7. A névhez írja be az UDR-Hub küllőt.
  8. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  9. Válassza a Létrehozás lehetőséget.
  10. Az útvonaltábla létrehozása után jelölje ki az útvonaltábla oldalának megnyitásához.
  11. Válassza az Útvonalak lehetőséget a bal oldali oszlopban.
  12. Válassza a Hozzáadás lehetőséget.
  13. Az útvonalnévhez írja be a ToSpoke nevet.
  14. A Cím előtag célhelyéhez válassza az IP-címek lehetőséget.
  15. A cél IP-címek/CIDR-tartományok esetében írja be a 10.6.0.0/16-ot.
  16. A következő ugrási típushoz válassza a Virtuális berendezés lehetőséget.
  17. A következő ugrási címhez írja be a tűzfal korábban feljegyzett privát IP-címét.
  18. Válassza a Hozzáadás lehetőséget.

Most társítsa az útvonalat az alhálózathoz.

  1. Az UDR-Hub-Küllő – Útvonalak lapon válassza az Alhálózatok lehetőséget.
  2. Válassza a Társítás lehetőséget.
  3. A Virtuális hálózat területen válassza a VNet-Hub lehetőséget.
  4. Az Alhálózat területen válassza a GatewaySubnet lehetőséget.
  5. Kattintson az OK gombra.

Most hozza létre az alapértelmezett útvonalat a küllős alhálózatból.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A keresőmezőbe írja be az útvonaltáblát , és nyomja le az Enter billentyűt.
  3. Válassza az Útvonal tábla lehetőséget.
  4. Válassza a Létrehozás lehetőséget.
  5. Válassza ki az erőforráscsoport FW-Hybrid-Test elemét.
  6. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  7. A névhez írja be az UDR-DG nevet.
  8. Az átjáró útvonalának propagálása esetén válassza a Nem lehetőséget.
  9. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  10. Válassza a Létrehozás lehetőséget.
  11. Az útvonaltábla létrehozása után jelölje ki az útvonaltábla oldalának megnyitásához.
  12. Válassza az Útvonalak lehetőséget a bal oldali oszlopban.
  13. Válassza a Hozzáadás lehetőséget.
  14. Az útvonalnévhez írja be a ToHubot.
  15. A Cím előtag célhelyéhez válassza az IP-címek lehetőséget.
  16. A cél IP-címek/CIDR-tartományok esetében írja be a 0.0.0.0/0 típust.
  17. A következő ugrási típushoz válassza a Virtuális berendezés lehetőséget.
  18. A következő ugrási címhez írja be a tűzfal korábban feljegyzett privát IP-címét.
  19. Válassza a Hozzáadás lehetőséget.

Most társítsa az útvonalat az alhálózathoz.

  1. Az UDR-DG – Útvonalak lapon válassza az Alhálózatok lehetőséget.
  2. Válassza a Társítás lehetőséget.
  3. A Virtuális hálózat területen válassza a virtuális hálózat küllős elemét.
  4. Az alhálózat alatt válassza az SN-Workload lehetőséget.
  5. Kattintson az OK gombra.

Virtuális gépek létrehozása

Most hozza létre a küllős számítási feladatokat és a helyszíni virtuális gépeket, és helyezze őket a megfelelő alhálózatokra.

A számítási feladatot futtató virtuális gép létrehozása

Hozzon létre egy virtuális gépet a küllős virtuális hálózaton, amelyen az IIS fut, nyilvános IP-cím nélkül.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A Népszerű Marketplace-termékek területen válassza a Windows Server 2019 Datacenter lehetőséget.
  3. Adja meg a virtuális gép alábbi értékeit:
    • Erőforráscsoport – Válassza az FW-Hybrid-Test lehetőséget
    • Virtuális gép neve: VM-Spoke-01
    • Régió – Ugyanaz a régió, amelyet korábban használt
    • Felhasználónév: <írja be a felhasználónevet>
    • Jelszó: <jelszó beírása>
  4. Nyilvános bejövő portok esetén válassza a Kijelölt portok engedélyezése, majd a HTTP (80) és az RDP (3389) lehetőséget.
  5. Válassza a Tovább:Lemezek lehetőséget.
  6. Fogadja el az alapértelmezett beállításokat, és válassza a Tovább: Hálózatkezelés lehetőséget.
  7. Válassza ki a virtuális hálózathoz tartozó virtuális hálózat küllőjét, az alhálózat pedig SN-Workload.
  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  9. Válassza a Tovább:Felügyelet lehetőséget.
  10. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  11. Válassza a Véleményezés+Létrehozás lehetőséget, tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

Az IIS telepítése

A virtuális gép létrehozása után telepítse az IIS-t.

  1. Az Azure Portalon nyissa meg a Cloud Shellt, és győződjön meg arról, hogy a Rendszerhéj a PowerShellre van állítva.

  2. Futtassa a következő parancsot az IIS virtuális gépre való telepítéséhez, és szükség esetén módosítsa a helyet:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

A helyszíni virtuális gép létrehozása

Ez egy virtuális gép, amelyet a Távoli asztal használatával a nyilvános IP-címhez való csatlakozáshoz használ. Innen a tűzfalon keresztül csatlakozhat a helyszíni kiszolgálóhoz.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. A Népszerű Marketplace-termékek területen válassza a Windows Server 2019 Datacenter lehetőséget.
  3. Adja meg a virtuális gép alábbi értékeit:
    • Erőforráscsoport – Válassza ki a meglévőt, majd válassza az FW-Hybrid-Test lehetőséget.
    • Virtuális gép neve - VM-Onprem.
    • Régió – Ugyanaz a régió, amelyet korábban használt.
    • Felhasználónév: <írjon be egy felhasználónevet>.
    • Jelszó: <írjon be egy felhasználói jelszót>.
  4. Nyilvános bejövő portok esetén válassza a Kijelölt portok engedélyezése, majd az RDP (3389) lehetőséget
  5. Válassza a Tovább:Lemezek lehetőséget.
  6. Fogadja el az alapértelmezett beállításokat, és válassza a Tovább:Hálózatkezelés lehetőséget.
  7. A virtuális hálózathoz válassza a VNet-Onprem lehetőséget, az alhálózat pedig az SN-Corp.
  8. Válassza a Tovább:Felügyelet lehetőséget.
  9. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  10. Válassza a Véleményezés+Létrehozás lehetőséget, tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

A tűzfal tesztelése

  1. Először jegyezze fel a VM-spoke-01 virtuális gép magánhálózati IP-címét.

  2. Az Azure Portalról csatlakozzon a VM-Onprem virtuális géphez.

  3. Nyisson meg egy webböngészőt a VM-Onprem webhelyen, és keresse meg a http://< VM-spoke-01 privát IP-címet>.

    Meg kell jelennie a virtuális gép küllős-01 weblapjának: VM-Spoke-01 weblap

  4. A VM-Onprem virtuális gépről nyisson meg egy távoli asztalt a VM-spoke-01-hez a privát IP-címen.

    A kapcsolatnak sikeresnek kell lennie, és be kell tudnia jelentkezni.

Így most már ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • A küllős virtuális hálózaton böngészhet a webkiszolgálón.
  • RdP használatával csatlakozhat a küllős virtuális hálózaton lévő kiszolgálóhoz.

Ezután módosítsa a tűzfal hálózati szabálygyűjteményének műveletét Deny (Megtagadás) értékre annak ellenőrzéséhez, hogy a tűzfalszabályok a vártnak megfelelően működnek-e.

  1. Válassza ki a hybrid-test-pol tűzfalszabályzatot.
  2. Válassza a Szabálygyűjtemények lehetőséget.
  3. Válassza ki az RCNet01 szabálygyűjteményt.
  4. Szabálygyűjtési művelet esetén válassza a Megtagadás lehetőséget.
  5. Válassza a Mentés lehetőséget.

A módosított szabályok ellenőrzése előtt zárja be a meglévő távoli asztalokat. Most futtassa újra az ellenőrzéseket. Ezúttal mindegyiknek sikertelennek kell lennie.

Az erőforrások eltávolítása

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rájuk szükség, törölje az FW-Hybrid-Test erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések

Az Azure Firewall Premium üzembe helyezése és konfigurálása