Distribuire e configurare Firewall di Azure in una rete ibrida tramite il portale di Azure

  • Articolo

Quando si connette la rete locale a una rete virtuale di Azure per creare una rete ibrida, la possibilità di controllare l'accesso alle risorse di rete di Azure è una parte importante di un piano di sicurezza complessivo.

È possibile usare Firewall di Azure per controllare l'accesso alla rete in una rete ibrida usando regole che definiscono il traffico di rete consentito e negato.

Per questo articolo vengono create tre reti virtuali:

  • VNet-Hub: il firewall si trova in questa rete virtuale.
  • VNet-Spoke: la rete virtuale spoke rappresenta il carico di lavoro che si trova in Azure.
  • VNet-Onprem: la rete virtuale locale rappresenta una rete locale. In una distribuzione effettiva è possibile connettersi usando una connessione di rete privata virtuale (VPN) o una connessione Azure ExpressRoute. Per semplicità, questo articolo usa una connessione gateway VPN e una rete virtuale situata in Azure rappresenta una rete locale.

Diagramma che mostra un firewall in una rete ibrida.

Se invece si vuole usare Azure PowerShell per completare le procedure descritte in questo articolo, vedere Distribuire e configurare Firewall di Azure in una rete ibrida usando Azure PowerShell.

Nota

Questo articolo usa le regole di Firewall di Azure classiche per gestire il firewall. Il metodo preferito consiste nell'usare un criterio Firewall di Azure Manager. Per completare questa procedura usando un criterio di Firewall di Azure Manager, vedere Esercitazione: Distribuire e configurare Firewall di Azure e criteri in una rete ibrida usando il portale di Azure.

Prerequisiti

Una rete ibrida usa il modello di architettura hub-spoke per instradare il traffico tra reti virtuali di Azure e reti locali. L'architettura hub-spoke presenta i requisiti seguenti:

  • Impostare Usa il gateway o il server di route della rete virtuale quando si esegue il peering di VNet-Hub su VNet-Spoke. Nell'architettura di rete hub-spoke il transito tramite gateway consente alle reti virtuali spoke di condividere il gateway VPN nell'hub invece di distribuire gateway VPN in ogni rete virtuale spoke.

    Inoltre, le route alle reti virtuali connesse al gateway o alle reti locali vengono propagate automaticamente alle tabelle di routing per le reti virtuali con peering tramite il transito del gateway. Per altre informazioni, vedere Configurare il transito tramite gateway VPN per il peering di reti virtuali.

  • Impostare Usa i gateway della rete virtuale remota o il server di route quando si esegue il peering di VNet-Spoke su VNet-Hub. Se si impostaNo i gateway o il server di route della rete virtuale remota e viene impostato anche l'opzione Usa gateway o Server di route della rete virtuale nel peering remoto, la rete virtuale spoke usa i gateway della rete virtuale remota per il transito.

  • Per instradare il traffico della subnet spoke attraverso il firewall hub, è possibile usare una route definita dall'utente (UDR) che punta al firewall con l'opzione propagazione route del gateway di rete virtuale disabilitata. La disabilitazione di questa opzione impedisce la distribuzione delle route alle subnet spoke, quindi le route apprese non possono essere in conflitto con la route definita dall'utente. Se si vuole mantenere abilitata la propagazione della route del gateway di rete virtuale, assicurarsi di definire route specifiche al firewall per eseguire l'override delle route pubblicate dall'ambiente locale tramite BGP (Border Gateway Protocol).

  • Configurare una route definita dall'utente nella subnet del gateway dell'hub che punti all'indirizzo IP del firewall come hop successivo per le reti spoke. Non è richiesta alcuna route definita dall'utente nella subnet Firewall di Azure, perché apprende le route da BGP.

La sezione Creare le route più avanti in questo articolo illustra come creare queste route.

Connettività diretta al Firewall di Azure. Se la subnet AzureFirewallSubnet apprende una route predefinita alla rete locale tramite BGP, è necessario eseguirne l'override usando una route definita dall'utente 0.0.0.0/0 con il NextHopType valore impostato come Internet per mantenere la connettività Internet diretta.

Nota

È possibile configurare Firewall di Azure per supportare il tunneling forzato. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.

Il traffico tra reti virtuali con peering diretto viene instradato direttamente, anche se una route definita dall'utente punta a Firewall di Azure come gateway predefinito. Per inviare il traffico da subnet a subnet al firewall in questo scenario, una route definita dall'utente deve contenere il prefisso di rete della subnet di destinazione in modo esplicito in entrambe le subnet.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare la rete virtuale dell'hub del firewall

Creare prima di tutto il gruppo di risorse per contenere le risorse:

  1. Accedere al portale di Azure.
  2. Nella home page portale di Azure selezionare Gruppi di risorse>Crea.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. In Gruppo di risorse immettere RG-fw-hybrid-test.
  5. Per Area selezionare la area desiderata. Tutte le risorse create in un secondo momento devono trovarsi nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Creare quindi la rete virtuale.

Nota

Le dimensioni della subnet AzureFirewallSubnet sono /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere rete virtuale.
  3. Selezionare Rete virtuale e quindi Crea.
  4. In Gruppo di risorse selezionare RG-fw-hybrid-test.
  5. In Nome rete virtuale immettere VNet-Hub.
  6. In Area selezionare l'area usata in precedenza.
  7. Selezionare Avanti.
  8. Nella scheda Sicurezza selezionare Avanti.
  9. Per Spazio indirizzi IPv4 eliminare l'indirizzo predefinito e immettere 10.5.0.0/16.
  10. In Subnet eliminare la subnet predefinita.
  11. Selezionare Aggiungi una subnet.
  12. Nella pagina Aggiungi una subnet selezionare Firewall di Azure per Modello subnet.
  13. Selezionare Aggiungi.

Creare una seconda subnet per il gateway:

  1. Selezionare Aggiungi una subnet.
  2. Per Modello subnet selezionare Rete virtuale Gateway.
  3. Per Indirizzo iniziale accettare il valore predefinito 10.5.1.0.
  4. Per Dimensioni subnet accettare il valore predefinito /27.
  5. Selezionare Aggiungi.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Creare la rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere rete virtuale.
  3. Selezionare Rete virtuale e quindi Crea.
  4. In Gruppo di risorse selezionare RG-fw-hybrid-test.
  5. In Nome immettere VNet-Spoke.
  6. In Area selezionare l'area usata in precedenza.
  7. Selezionare Avanti.
  8. Nella scheda Sicurezza selezionare Avanti.
  9. Per Spazio indirizzi IPv4, eliminare l'indirizzo predefinito e immettere 10.6.0.0/16.
  10. In Subnet eliminare la subnet predefinita.
  11. Selezionare Aggiungi una subnet.
  12. In Nome immettere SN-Workload.
  13. Per Indirizzo iniziale accettare il valore predefinito 10.6.0.0.
  14. Per Dimensioni subnet accettare il valore predefinito /24.
  15. Selezionare Aggiungi.
  16. Selezionare Rivedi e crea.
  17. Seleziona Crea.

Creare la rete virtuale locale

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere rete virtuale.
  3. Selezionare Rete virtuale e quindi Crea.
  4. In Gruppo di risorse selezionare RG-fw-hybrid-test.
  5. In Nome immettere VNet-Onprem.
  6. In Area selezionare l'area usata in precedenza.
  7. Selezionare Avanti.
  8. Nella scheda Sicurezza selezionare Avanti.
  9. Per Spazio indirizzi IPv4, eliminare l'indirizzo predefinito e immettere 192.168.0.0/16.
  10. In Subnet eliminare la subnet predefinita.
  11. Selezionare Aggiungi una subnet.
  12. In Nome immettere SN-Corp.
  13. Per Indirizzo iniziale accettare il valore predefinito 192.168.0.0.
  14. Per Dimensioni subnet accettare il valore predefinito /24.
  15. Selezionare Aggiungi.

Creare ora una seconda subnet per il gateway:

  1. Selezionare Aggiungi una subnet.
  2. Per Modello subnet selezionare Rete virtuale Gateway.
  3. Per Indirizzo iniziale accettare il valore predefinito 192.168.1.0.
  4. Per Dimensioni subnet accettare il valore predefinito /27.
  5. Selezionare Aggiungi.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Configurare e distribuire il firewall

Distribuire il firewall nella rete virtuale dell'hub firewall:

  1. Nella home page del portale di Azure selezionare Crea una risorsa.

  2. Nella casella di ricerca immettere firewall.

  3. Selezionare Firewall e quindi Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Abbonamento Selezionare la propria sottoscrizione.
    Gruppo di risorse Immettere RG-fw-hybrid-test.
    Nome Immettere AzFW01.
    Area Selezionare l'area usata in precedenza.
    Firewall SKU Selezionare Standard.
    Gestione del firewall Selezionare Usa regole del firewall (versione classica) per gestire questo firewall.
    Scegliere una rete virtuale Selezionare Usa vNet-Hub esistente>.
    Indirizzo IP pubblico Selezionare Aggiungi nuovo>fw-pip.

  5. Selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione del firewall richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse RG-fw-hybrid-test e selezionare il firewall AzFW01 .

  8. Annotare l'indirizzo IP privato. Verrà usato in un secondo momento quando si crea la route predefinita.

Configurare le regole di rete

Aggiungere prima di tutto una regola di rete per consentire il traffico Web:

  1. Nella pagina AzFW01 selezionare Regole (versione classica).
  2. Selezionare la scheda Raccolta regole di rete.
  3. Selezionare Aggiungi raccolta regole di rete.
  4. In Nome immettere RCNet01.
  5. Per Priorità immettere 100.
  6. Per Azione della raccolta regole selezionare Consenti.
  7. In Regole indirizzi IP immettere AllowWeb in Nome.
  8. In Protocollo selezionare TCP.
  9. In Tipo di origine selezionare Indirizzo IP.
  10. In Origine immettere 192.168.0.0/24.
  11. Per Tipo di destinazione selezionare Indirizzo IP.
  12. Per Indirizzo di destinazione immettere 10.6.0.0/16.
  13. Per Porte di destinazione immettere 80.

Aggiungere ora una regola per consentire il traffico RDP. Nella seconda riga della regola immettere le informazioni seguenti:

  1. In Nome immettere AllowRDP.
  2. In Protocollo selezionare TCP.
  3. In Tipo di origine selezionare Indirizzo IP.
  4. In Origine immettere 192.168.0.0/24.
  5. Per Tipo di destinazione selezionare Indirizzo IP.
  6. Per Indirizzo di destinazione immettere 10.6.0.0/16.
  7. Per Porte di destinazione immettere 3389.
  8. Selezionare Aggiungi.

Creare e connettere i gateway VPN

Le reti virtuali dell'hub e locale sono connesse tramite gateway VPN.

Creare un gateway VPN per la rete virtuale dell'hub

Creare il gateway VPN per la rete virtuale hub. Le configurazioni da rete a rete richiedono un tipo VPN basato su route. La creazione di un gateway VPN può richiedere spesso 45 minuti o più, a seconda dello SKU selezionato.

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere gateway di rete virtuale.
  3. Selezionare Gateway di rete virtuale e quindi Crea.
  4. In Nome immettere GW-hub.
  5. In Area selezionare la stessa area usata in precedenza.
  6. In Tipo di gateway selezionare VPN.
  7. In Tipo VPN selezionare Basato su route.
  8. In SKU selezionare Basic.
  9. Per Rete virtuale selezionare VNet-Hub.
  10. Per Indirizzo IP pubblico selezionare Crea nuovo e immettere VNet-Hub-GW-pip come nome.
  11. Per Abilita modalità attiva-attiva selezionare Disabilitato.
  12. Accettare le impostazioni predefinite rimanenti e quindi selezionare Rivedi e crea.
  13. Controllare la configurazione e quindi selezionare Crea.

Creare un gateway VPN per la rete virtuale locale

Creare il gateway VPN per la rete virtuale locale. Le configurazioni da rete a rete richiedono un tipo VPN basato su route. La creazione di un gateway VPN può richiedere spesso 45 minuti o più, a seconda dello SKU selezionato.

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere gateway di rete virtuale.
  3. Selezionare Gateway di rete virtuale e quindi Crea.
  4. In Nome immettere GW-Onprem.
  5. In Area selezionare la stessa area usata in precedenza.
  6. In Tipo di gateway selezionare VPN.
  7. In Tipo VPN selezionare Basato su route.
  8. In SKU selezionare Basic.
  9. In Rete virtuale, selezionare VNet-Onprem.
  10. Per Indirizzo IP pubblico selezionare Crea nuovo e immettere VNet-Onprem-GW-pip come nome.
  11. Per Abilita modalità attiva-attiva selezionare Disabilitato.
  12. Accettare le impostazioni predefinite rimanenti e quindi selezionare Rivedi e crea.
  13. Controllare la configurazione e quindi selezionare Crea.

Creare le connessioni VPN

A questo punto è possibile creare le connessioni VPN tra gateway locali e hub.

Nei passaggi seguenti si crea la connessione dalla rete virtuale hub alla rete virtuale locale. Gli esempi mostrano una chiave condivisa, ma è possibile usare il proprio valore per la chiave condivisa. L'importante è che la chiave condivisa corrisponda per entrambe le configurazioni. Il completamento della creazione di una connessione può richiedere un po' di tempo.

  1. Aprire il gruppo di risorse RG-fw-hybrid-test e selezionare il gateway GW-hub .
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione immettere Da Hub a Onprem.
  5. Per tipo di Connessione ion selezionare Da rete virtuale a rete virtuale.
  6. Selezionare Avanti.
  7. Per First virtual network gateway (Primo gateway di rete virtuale) selezionare GW-hub.
  8. Per Secondo gateway di rete virtuale selezionare GW-Onprem.
  9. Per Chiave condivisa (PSK) immettere AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Seleziona Crea.

Creare la connessione di rete virtuale tra l'ambiente locale e l'hub. I passaggi seguenti sono simili a quelli precedenti, ad eccezione del fatto che si crea la connessione da VNet-Onprem a VNet-Hub. Assicurarsi che le chiavi condivise corrispondano. La connessione viene stabilita dopo alcuni minuti.

  1. Aprire il gruppo di risorse RG-fw-hybrid-test e selezionare il gateway GW-Onprem .
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione immettere Onprem-to-Hub.
  5. Per Connessione tipo, selezionare Da rete virtuale a rete virtuale.
  6. Selezionare Avanti: Impostazioni.
  7. Per First virtual network gateway (Primo gateway di rete virtuale) selezionare GW-Onprem.
  8. Per Secondo gateway di rete virtuale selezionare GW-hub.
  9. Per Chiave condivisa (PSK) immettere AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Seleziona Crea.

Verificare le connessioni

Dopo circa cinque minuti, lo stato di entrambe le connessioni deve essere Connessione.

Screenshot che mostra le connessioni gateway.

Eseguire il peering tra le reti virtuali dell'hub e spoke

Eseguire ora il peering delle reti virtuali hub-spoke:

  1. Aprire il gruppo di risorse RG-fw-hybrid-test e selezionare la rete virtuale VNet-Hub .

  2. Nella colonna di sinistra selezionare Peering.

  3. Selezionare Aggiungi.

  4. In Questa rete virtuale:

    Nome impostazione Impostazione
    Nome del collegamento di peering Immettere HubtoSpoke.
    Traffico verso la rete virtuale remota Seleziona Consenti.
    Traffico inoltrato dalla rete virtuale remota Seleziona Consenti.
    Gateway di rete virtuale Selezionare Usa il gateway della rete virtuale.

  5. In Rete virtuale remota:

    Nome impostazione Valore
    Nome del collegamento di peering Immettere SpoketoHub.
    Modello di distribuzione di rete virtuale Seleziona Gestione risorse.
    Abbonamento Selezionare la propria sottoscrizione.
    Rete virtuale Selezionare VNet-Spoke.
    Traffico verso la rete virtuale remota Seleziona Consenti.
    Traffico inoltrato dalla rete virtuale remota Seleziona Consenti.
    Gateway di rete virtuale Selezionare Usa il gateway della rete virtuale remota.

  6. Selezionare Aggiungi.

Lo screenshot seguente mostra le impostazioni da usare quando si esegue il peering di reti virtuali hub e spoke:

Screenshot che mostra le selezioni per le reti virtuali hub di peering e spoke.

Creare le route

Nei passaggi seguenti vengono create queste route:

  • Una route dalla subnet del gateway dell'hub alla subnet spoke attraverso l'indirizzo IP del firewall
  • Una route predefinita dalla subnet spoke attraverso l'indirizzo IP del firewall

Per creare le route:

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere la tabella di route.
  3. Selezionare Tabella di route e quindi Crea.
  4. Per il gruppo di risorse selezionare RG-fw-hybrid-test.
  5. In Area selezionare la stessa località usata in precedenza.
  6. Per il nome immettere UDR-Hub-Spoke.
  7. Selezionare Rivedi e crea.
  8. Seleziona Crea.
  9. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  10. Selezionare Route nella colonna di sinistra.
  11. Selezionare Aggiungi.
  12. Per il nome della route immettere ToSpoke.
  13. In Tipo di destinazione selezionare Indirizzi IP.
  14. In Indirizzi IP di destinazione/intervalli CIDR immettere 10.6.0.0/16.
  15. Per il tipo di hop successivo selezionare Appliance virtuale.
  16. Per l'indirizzo hop successivo immettere l'indirizzo IP privato del firewall annotato in precedenza.
  17. Selezionare Aggiungi.

Associare ora la route alla subnet:

  1. Nella pagina UDR-Hub-Spoke - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-Hub.
  4. In Subnet selezionare GatewaySubnet.
  5. Seleziona OK.

Creare la route predefinita dalla subnet spoke:

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di ricerca immettere la tabella di route.
  3. Selezionare Tabella di route e quindi Crea.
  4. Per il gruppo di risorse selezionare RG-fw-hybrid-test.
  5. In Area selezionare la stessa località usata in precedenza.
  6. Per il nome immettere UDR-DG.
  7. Per Propaga route del gateway selezionare No.
  8. Selezionare Rivedi e crea.
  9. Seleziona Crea.
  10. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  11. Selezionare Route nella colonna di sinistra.
  12. Selezionare Aggiungi.
  13. Per il nome della route immettere ToHub.
  14. In Tipo di destinazione selezionare Indirizzi IP.
  15. In Indirizzi IP di destinazione/intervalli CIDR immettere 0.0.0.0/0.
  16. Per il tipo di hop successivo selezionare Appliance virtuale.
  17. Per l'indirizzo hop successivo immettere l'indirizzo IP privato del firewall annotato in precedenza.
  18. Selezionare Aggiungi.

Associare la route alla subnet:

  1. Nella pagina UDR-DG - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-Spoke.
  4. In Subnet selezionare SN-Workload.
  5. Seleziona OK.

Creare macchine virtuali

Creare il carico di lavoro spoke e le macchine virtuali locali e inserirli nelle subnet appropriate.

Creare la macchina virtuale per il carico di lavoro

Creare una macchina virtuale nella rete virtuale spoke che esegue Internet Information Services (IIS) e non dispone di un indirizzo IP pubblico:

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. In Prodotti Marketplace più diffusi selezionare Windows Server 2019 Datacenter.
  3. Immettere i valori seguenti per la macchina virtuale:
    • Gruppo di risorse: selezionare RG-fw-hybrid-test.
    • Nome macchina virtuale: immettere VM-Spoke-01.
    • Area: selezionare la stessa area usata in precedenza.
    • Nome utente: immettere un nome utente.
    • Password: immettere una password.
  4. Per Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi HTTP (80) e RDP (3389).
  5. Selezionare Avanti: dischi.
  6. Accettare le impostazioni predefinite e selezionare Avanti: Rete.
  7. Per la rete virtuale selezionare VNet-Spoke. La subnet è SN-Workload.
  8. In IP pubblico selezionare Nessuno.
  9. Selezionare Avanti: Gestione.
  10. Selezionare Avanti: Monitoraggio.
  11. Per Diagnostica di avvio selezionare Disabilita.
  12. Selezionare Rivedi e crea, esaminare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Installare IIS

  1. Nel portale di Azure aprire Azure Cloud Shell e assicurarsi che sia impostato su PowerShell.

  2. Eseguire il comando seguente per installare IIS nella macchina virtuale e modificare il percorso, se necessario:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Creare la macchina virtuale locale

Creare una macchina virtuale usata per connettersi tramite accesso remoto all'indirizzo IP pubblico. Da qui è possibile connettersi al server spoke tramite il firewall.

  1. Nella home page del portale di Azure selezionare Crea una risorsa.
  2. In Popolare selezionare Windows Server 2019 Datacenter.
  3. Immettere i valori seguenti per la macchina virtuale:
    • Gruppo di risorse: selezionare Esistente e quindi selezionare RG-fw-hybrid-test.
    • Nome macchina virtuale: immettere VM-Onprem.
    • Area: selezionare la stessa area usata in precedenza.
    • Nome utente: immettere un nome utente.
    • Password: immettere una password utente.
  4. Per Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi selezionare RDP (3389).
  5. Selezionare Avanti: dischi.
  6. Accettare le impostazioni predefinite e selezionare Avanti: Rete.
  7. Per la rete virtuale selezionare VNet-Onprem. La subnet è SN-Corp.
  8. Selezionare Avanti: Gestione.
  9. Selezionare Avanti: Monitoraggio.
  10. Per Diagnostica di avvio selezionare Disabilita.
  11. Selezionare Rivedi e crea, esaminare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Nota

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Testare il firewall

  1. Prendere nota dell'indirizzo IP privato per la macchina virtuale VM-Spoke-01 .

  2. Nella portale di Azure connettersi alla macchina virtuale VM-Onprem.

  3. Aprire un Web browser in VM-Onprem e passare a http://<VM-Spoke-01 private IP>.

    Verrà aperta la pagina Web VM-Spoke-01 .

    Screenshot che mostra la pagina Web per la macchina virtuale spoke.

  4. Dalla macchina virtuale VM-Onprem aprire una connessione di accesso remoto a VM-Spoke-01 all'indirizzo IP privato.

    La connessione dovrebbe avere esito positivo e dovrebbe essere possibile eseguire l'accesso.

Dopo aver verificato che le regole del firewall funzionano, è possibile:

  • Passare al server Web nella rete virtuale spoke.
  • Connessione al server nella rete virtuale spoke tramite RDP.

Modificare quindi l'azione per la raccolta di regole di rete del firewall in Nega per verificare che le regole del firewall funzionino come previsto:

  1. Selezionare il firewall AzFW01.
  2. Selezionare Regole (versione classica) .
  3. Selezionare la scheda Raccolta regole di rete e selezionare la raccolta regole RCNet01 .
  4. In Azione selezionare Nega.
  5. Seleziona Salva.

Chiudere tutte le connessioni di accesso remoto esistenti. Eseguire di nuovo i test per testare le regole modificate. che dovrebbero avere tutti esito negativo.

Pulire le risorse

È possibile mantenere le risorse del firewall per ulteriori test. Se non sono più necessari, eliminare il gruppo di risorse RG-fw-hybrid-test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Monitorare i log del firewall di Azure