Delen via

Zelfstudie: Uw virtuele hubnetwerk beveiligen met Behulp van Azure Firewall Manager

  • Artikel

Als u het on-premises netwerk verbindt met een virtueel Azure-netwerk om een hybride netwerk te maken, is de mogelijkheid om de toegang tot uw Azure-netwerkresources te beheren een belangrijk onderdeel van een algemeen beveiligingsplan.

Met behulp van Azure Firewall Manager kunt u een virtueel hubnetwerk maken om het hybride netwerkverkeer te beveiligen dat bestemd is voor privé-IP-adressen, Azure PaaS en internet. U kunt Azure Firewall Manager gebruiken om de netwerktoegang in een hybride netwerk te beheren met behulp van beleid dat toegestaan en geweigerd netwerkverkeer definieert.

Firewall Manager biedt ook ondersteuning voor een beveiligde virtuele architectuur met hubs. Zie Wat zijn de opties voor de Azure Firewall Manager-architectuur? voor een vergelijking van de architectuurtypen voor beveiligde virtuele hubs en virtuele hubnetwerken.

Voor deze zelfstudie maakt u drie virtuele netwerken:

  • VNet-Hub: de firewall bevindt zich in dit virtuele netwerk.
  • VNet-spoke: het virtuele spoke-netwerk vertegenwoordigt de workload die zich bevindt in Azure.
  • VNet-Onprem: het on-premises virtuele netwerk vertegenwoordigt een on-premises netwerk. In een werkelijke implementatie kan deze worden verbonden met behulp van een VPN- of ExpressRoute-verbinding. Om het eenvoudig te houden wordt in deze zelfstudie een VPN-gatewayverbinding gebruikt en wordt een on-premises netwerk vertegenwoordigd door een virtueel Azure-netwerk.

Hybrid network

In deze zelfstudie leert u het volgende:

  • Een firewallbeleid maken
  • De virtuele netwerken maken
  • De firewall configureren en implementeren
  • De VPN-gateways maken en verbinden
  • De hub- en virtuele spoke-netwerken koppelen
  • De routes maken
  • De virtuele machines maken
  • De firewall testen

Vereisten

Een hybride netwerk maakt gebruik van het hub-and-spoke-architectuurmodel om verkeer tussen Azure VNets en on-premises netwerken te routeren. De hub-en-spoke-architectuur heeft de volgende vereisten:

  • Stel AllowGatewayTransit in bij peering tussen VNet-hub en VNet-spoke. In een hub en spoke-netwerkarchitectuur zorgt een gatewayovergang dat virtuele spoke-netwerken de VPN-gateway in de hub kunnen delen, in plaats van in elk virtueel spoke-netwerk VPN-gateways te implementeren.

    Bovendien worden routes naar de virtuele netwerken die zijn verbonden met de gateway of on-premises netwerken automatisch doorgegeven aan de routeringstabellen voor de gekoppelde virtuele netwerken met behulp van de gatewaydoorvoer. Zie VPN-gatewayoverdracht kunt configureren voor peering voor virtuele netwerken voor meer informatie.

  • Stel UseRemoteGateways bij peering tussen VNet-spoke en VNet-hub. Als UseRemoteGateways is ingesteld en AllowGatewayTransit ook is ingesteld voor externe peering, gebruikt het virtuele spoke-netwerk gateways van het externe virtuele netwerk voor overdracht.

  • Om het verkeer van het spoke-subnet te routeren via de hub-firewall, hebt u een door de gebruiker gedefinieerde route (UDR) nodig die naar de firewall wijst en waarvoor de instelling Doorgifte van route van virtuele netwerkgateway is uitgeschakeld. Deze optie voorkomt routedistributie naar de spoke-subnetten. Hierdoor veroorzaken geleerde routes geen conflicten met uw UDR.

  • Configureer een UDR in het subnet van de hubgateway die verwijst naar het IP-adres van de firewall als de volgende hop naar de spoke-netwerken. Er is geen door de gebruiker gedefinieerde route (UDR) nodig in het Azure Firewall-subnet, omdat het de routes overneemt van BGP.

Zie het gedeelte Routes maken in deze zelfstudie voor informatie over hoe deze routes worden gemaakt.

Notitie

Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.

Azure Firewall kan worden geconfigureerd voor ondersteuning van geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Notitie

Verkeer tussen rechtstreeks gepeerde VNets wordt rechtstreeks gerouteerd, zelfs als de UDR naar Azure Firewall als standaardgateway wijst. Als u in dit scenario subnet-naar-subnet-verkeer wilt verzenden, moet een UDR het voorvoegsel van het doelsubnetwerk expliciet op beide subnetten bevatten.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een firewallbeleid maken

  1. Meld u aan bij de Azure-portal.

  2. Typ Firewall Manager in de zoekbalk van Azure Portal en druk op Enter.

  3. Selecteer op de pagina Azure Firewall Manager onder Beveiliging de optie Azure-firewallbeleid.

    Screenshot showing Firewall Manager main page.

  4. Selecteer Azure Firewall-beleid maken.

  5. Selecteer uw abonnement, selecteer voor Resourcegroep de optie Nieuwe maken en maak een resourcegroep met de naam FW-Hybrid-Test.

  6. Voor de beleidsnaam typt u Pol-Net01.

  7. Selecteer bij Regio VS - oost.

  8. Selecteer Volgende: DNS-Instellingen.

  9. Selecteer Volgende: TLS-inspectie

  10. Selecteer Volgende:Regels.

  11. Selecteer Een regelverzameling toevoegen.

  12. Bij Naam typt u RCNet01.

  13. Bij Type regelverzameling selecteert u Netwerk.

  14. Bij Prioriteit typt u 100.

  15. Bij Actie selecteert u Toestaan.

  16. Onder Regels typt u bij Naam de naam AllowWeb.

  17. Typ bij Bron192.168.1.0/24.

  18. Bij Protocol selecteert u TCP.

  19. Typ bij Doelpoorten80.

  20. Bij Doeltype selecteert u IP-adres.

  21. Bij Doel typt u 10.6.0.0/16.

  22. Voer op de volgende rij van de regel de volgende informatie in:

    Naam: typ AllowRDP
    Bron: typ 192.168.1.0/24.
    Protocol: selecteer TCP
    Doelpoorten: typ 3389
    Doeltype: selecteer IP-adres
    Bij Doel typt u 10.6.0.0/16

  23. Selecteer Toevoegen.

  24. Selecteer Controleren + maken.

  25. Controleer de gegevens en selecteer vervolgens Maken.

Het virtuele hub-netwerk voor de firewall maken

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.

  3. Selecteer Maken.

  4. Selecteer uw abonnement bij Abonnement.

  5. Geef voor Resourcegroep de naam FW-Hybrid-Test op.

  6. Geef bij NaamVNet-hub op.

  7. Selecteer bij RegioVS - oost.

  8. Selecteer Volgende.

  9. Selecteer Volgende in de beveiliging.

  10. Voor IPv4-adresruimte typt u 10.5.0.0/16.

  11. Selecteer onder Subnetten de standaardwaarde.

  12. Selecteer Azure Firewall voor een subnetsjabloon.

  13. Voor het beginadres typt u 10.5.0.0/26.

  14. Accepteer de overige standaardinstellingen en selecteer Opslaan.

  15. Selecteer Controleren + maken.

  16. Selecteer Maken.

Voeg nog een subnet met de naam GatewaySubnet toe met een adresruimte van 10.5.1.0/27. Dit subnet wordt gebruikt voor de VPN-gateway.

Het virtuele spoke-netwerk maken

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.
  3. Selecteer Maken.
  4. Selecteer uw abonnement bij Abonnement.
  5. Geef voor Resourcegroep de naam FW-Hybrid-Test op.
  6. Bij Naam typt u VNet-Spoke.
  7. Selecteer bij RegioVS - oost.
  8. Selecteer Volgende.
  9. Selecteer Volgende op de pagina Beveiliging.
  10. Selecteer Volgende: IP-adressen.
  11. Bij IPv4-adresruimte typt u 10.6.0.0/16.
  12. Selecteer onder Subnetten de standaardwaarde.
  13. Wijzig de naam in SN-Workload.
  14. Voor het beginadres typt u 10.6.0.0/24.
  15. Accepteer de overige standaardinstellingen en selecteer Opslaan.
  16. Selecteer Controleren + maken.
  17. Selecteer Maken.

Het on-premises virtuele netwerk maken

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Zoek naar virtueel netwerk en selecteer vervolgens Virtueel netwerk.

  3. Selecteer Maken.

  4. Selecteer uw abonnement bij Abonnement.

  5. Geef voor Resourcegroep de naam FW-Hybrid-Test op.

  6. Voor de naam van het virtuele netwerk typt u VNet-OnPrem.

  7. Selecteer bij RegioVS - oost.

  8. Selecteer Volgende.

  9. Selecteer Volgende op de pagina Beveiliging.

  10. Bij IPv4-adresruimte typt u 192.168.0.0/16.

  11. Selecteer onder Subnetten de standaardwaarde.

  12. Wijzig de naam in SN-Corp.

  13. Voor het beginadres typt u 192.168.1.0/24.

  14. Accepteer de overige standaardinstellingen en selecteer Opslaan.

  15. Selecteer Een subnet toevoegen.

  16. Voor subnetsjabloon selecteert u Virtuele netwerkgateway.

  17. Voor beginadrestype 192.168.2.0/27.

  18. Selecteer Toevoegen.

  19. Selecteer Controleren + maken.

  20. Selecteer Maken.

De firewall configureren en implementeren

Wanneer beveiligingsbeleid is gekoppeld aan een hub, wordt dit een virtueel hubnetwerk genoemd.

Converteer het virtuele netwerk VNet-Hub naar een virtueel hubnetwerk en beveilig het met Azure Firewall.

  1. Typ Firewall Manager in de zoekbalk van Azure Portal en druk op Enter.

  2. Selecteer Overzicht in het rechterdeelvenster.

  3. Selecteer op de pagina van Azure Firewall Manager onder Beveiliging toevoegen aan virtuele netwerken de optie Virtuele netwerken van de hub weergeven.

  4. Schakel onder Virtuele netwerken het selectievakje voor VNet-hub in.

  5. Selecteer Beveiliging beheren en selecteer vervolgens Een firewall implementeren met firewallbeleid.

  6. Selecteer Premium op de pagina Virtuele netwerken converteren, onder de Azure Firewall-laag. Schakel onder Firewallbeleid het selectievakje voor Pol-Net01 in.

  7. Volgende selecteren: Controleren en bevestigen

  8. Controleer de gegevens en selecteer vervolgens Bevestigen.

    Het implementeren duurt een paar minuten.

  9. Als de implementatie is voltooid, gaat u naar de resourcegroep FW-Hybrid-Test en selecteert u de firewall.

  10. Noteer het Persoonlijk IP-adres voor firewall op de pagina Overzicht. U gebruikt deze later wanneer u de standaardroute maakt.

De VPN-gateways maken en verbinden

Het virtuele hub-netwerk en het on-premises virtuele netwerk zijn verbonden via VPN-gateways.

Een VPN-gateway maken voor het virtuele hub-netwerk

Maak nu een VPN-gateway voor het virtuele hub-netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
  3. Selecteer Virtuele netwerkgateway en vervolgens Maken.
  4. Bij Naam typt u GW-hub.
  5. Selecteer bij Regio(VS) VS - oost.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Selecteer VpnGw2 voor SKU.
  9. Selecteer Generation2 voor Generatie.
  10. Bij Virtueel netwerk selecteert u VNet-hub.
  11. Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-hub-GW-pip als de naam.
  12. Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
  13. Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
  14. Controleer de configuratie en selecteer vervolgens Maken.

Een VPN-gateway maken voor het on-premises virtuele netwerk

Maak nu de VPN-gateway voor het on-premises virtuele netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
  3. Selecteer Virtuele netwerkgateway en vervolgens Maken.
  4. Bij Naam typt u GW-Onprem.
  5. Selecteer bij Regio(VS) VS - oost.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Selecteer VpnGw2 voor SKU.
  9. Selecteer Generation2 voor Generatie.
  10. Bij Virtueel netwerk selecteert u VNet-Onprem.
  11. Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-Onprem-GW-pip als de naam.
  12. Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
  13. Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
  14. Controleer de configuratie en selecteer vervolgens Maken.

De VPN-verbindingen maken

U kunt nu de VPN-verbindingen maken tussen de hub-gateway en de on-premises gateway.

In deze stap maakt u de verbinding van het virtuele hub-netwerk naar het on-premises virtuele netwerk. In de voorbeelden wordt naar een gedeelde sleutel verwezen. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het duurt enige tijd om de verbinding te maken.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-hub.
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Voor de verbindingsnaam typt u Hub-naar-Onprem.
  5. Bij Verbindingstype selecteert u VNet-naar-VNet.
  6. Selecteer Volgende: Instellingen.
  7. Voor de eerste virtuele netwerkgateway selecteert u GW-hub.
  8. Bij Tweede virtuele netwerkgateway selecteert u GW-Onprem.
  9. Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
  10. Selecteer Controleren + maken.
  11. Selecteer Maken.

Maak de verbinding van het on-premises virtuele netwerk naar het virtuele hub-netwerk. Deze stap is vergelijkbaar met de vorige, behalve dat u de verbinding maakt vanuit VNet-Onprem naar VNet-hub. Zorg dat de gedeelde sleutels overeenkomen. De verbinding wordt na enkele minuten tot stand gebracht.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-Onprem.
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Typ Onprem-to-Hub als de naam van de verbinding.
  5. Bij Verbindingstype selecteert u VNet-naar-VNet.
  6. Bij Tweede virtuele netwerkgateway selecteert u GW-hub.
  7. Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
  8. Selecteer OK.

De verbinding controleren

Na ongeveer vijf minuten moeten beide verbindingen de status Verbonden hebben.

Screenshot showing the vpn gateway connections.

De hub- en virtuele spoke-netwerken koppelen

Koppel nu de virtuele hub- en spoke-netwerken.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer het virtuele netwerk VNet-hub.

  2. Selecteer in de linkerkolom Peerings.

  3. Selecteer Toevoegen.

  4. Onder Dit virtueel netwerk:

    Naam instelling Waarde
    Naam van peeringkoppeling HubtoSpoke
    Verkeer naar extern virtueel netwerk toestaan geselecteerd
    Verkeer dat is doorgestuurd vanuit het externe virtuele netwerk toestaan (gatewayoverdracht toestaan) geselecteerd
    Externe virtuele netwerkgateway of routeserver gebruiken niet geselecteerd

  5. Onder Extern virtueel netwerk:

    Naam instelling Waarde
    Naam van peeringkoppeling SpoketoHub
    Implementatiemodel voor het virtuele netwerk Resourcebeheer
    Abonnement <uw abonnement>
    Virtueel netwerk VNet-Spoke
    Verkeer naar het huidige virtuele netwerk toestaan geselecteerd
    Verkeer dat is doorgestuurd vanuit het huidige virtuele netwerk toestaan (gatewayoverdracht toestaan) geselecteerd
    Huidige virtuele netwerkgateway of routeserver gebruiken geselecteerd

  6. Selecteer Toevoegen.

    Screenshot showing Vnet peering.

De routes maken

Maak nu een paar routes:

  • Een route van het subnet van de hub-gateway naar het spoke-subnet via het IP-adres van de firewall
  • Een standaardroute van het spoke-subnet via het IP-adres van de firewall
  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak routeringstabel en druk op Enter.
  3. Selecteer Routeringstabel.
  4. Selecteer Maken.
  5. Selecteer FW-Hybrid-Test als de resourcegroep.
  6. Selecteer bij RegioVS - oost.
  7. Voor de naam typt u UDR-Hub-Spoke.
  8. Selecteer Controleren + maken.
  9. Selecteer Maken.
  10. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  11. Selecteer Routes in de linkerkolom.
  12. Selecteer Toevoegen.
  13. Voor de routenaam typt u ToSpoke.
  14. Selecteer IP-adressen voor doeltype.
  15. Voor DOEL-IP-adressen/CIDR-bereiken typt u 10.6.0.0/16.
  16. Voor het volgende hoptype selecteert u Virtueel apparaat.
  17. Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
  18. Selecteer Toevoegen.

Koppel nu de route aan het subnet.

  1. Selecteer op de pagina UDR-Hub-Spoke - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Onder Virtueel netwerk selecteert u VNet-hub.
  4. Onder Subnet selecteert u GatewaySubnet.
  5. Selecteer OK.

Maak nu de standaardroute vanaf het spoke-subnet.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak routeringstabel en druk op Enter.
  3. Selecteer Routeringstabel.
  4. Selecteer Maken.
  5. Selecteer FW-Hybrid-Test als de resourcegroep.
  6. Selecteer bij RegioVS - oost.
  7. Voor de naam typt u UDR-DG.
  8. Selecteer Nee als u gatewayroutes wilt doorgeven.
  9. Selecteer Controleren + maken.
  10. Selecteer Maken.
  11. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  12. Selecteer Routes in de linkerkolom.
  13. Selecteer Toevoegen.
  14. Voor de routenaam typt u ToHub.
  15. Selecteer IP-adressen voor doeltype
  16. Voor DOEL-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.
  17. Voor het volgende hoptype selecteert u Virtueel apparaat.
  18. Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
  19. Selecteer Toevoegen.

Koppel nu de route aan het subnet.

  1. Selecteer op de pagina UDR-DG - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Onder Virtueel netwerk selecteert u VNet-spoke.
  4. Onder Subnet selecteert u SN-Workload.
  5. Selecteer OK.

Virtuele machines maken

Maak nu de spoke-workloadmachines en on-premises virtuele machines en plaats ze in de toepasselijke subnetten.

De virtuele workloadmachine maken

Maak in het virtuele spoke-netwerk een virtuele machine waarop IIS wordt uitgevoerd, zonder openbaar IP-adres.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.

  3. Voer deze waarden in voor de virtuele machine:

    • Resourcegroep - FW-Hybrid-Test selecteren
    • Naam van virtuele machine: VM-Spoke-01
    • Regio - (VS) VS - oost
    • Gebruikersnaam: typ een gebruikersnaam
    • Wachtwoord: typ een wachtwoord

  4. Selecteer voor Openbare binnenkomende poortenGeselecteerde poorten toestaan en selecteer vervolgens HTTP (80)en RDP (3389).

  5. Selecteer Volgende: schijven.

  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.

  7. Selecteer VNet-Spoke voor het virtuele netwerk en het subnet is SN-Workload.

  8. Selecteer Volgende: Beheer.

  9. Selecteer Volgende: Bewaking.

  10. Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.

  11. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer Vervolgens Maken.

IIS installeren

  1. Open Cloud Shell via de Azure-portal en controleer of deze is ingesteld op PowerShell.

  2. Voer de volgende opdracht uit om IIS op de virtuele machine te installeren en indien nodig de locatie te wijzigen:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

De on-premises virtuele machine maken

Dit is een virtuele machine waarmee u verbinding kunt maken met het openbare IP-adres via Extern bureaublad. Vanaf daar maakt u vervolgens verbinding met de on-premises server via de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Selecteer onder Populair Windows Server 2019 Datacenter.

  3. Voer deze waarden in voor de virtuele machine:

    • Resourcegroep - Bestaande selecteren en vervolgens FW-Hybrid-Test selecteren
    • Naam van virtuele machine - VM-Onprem
    • Regio - (VS) VS - oost
    • Gebruikersnaam: typ een gebruikersnaam
    • Wachtwoord: typ uw wachtwoord

  4. Selecteer voor Openbare binnenkomende poortenGeselecteerde poorten toestaan en selecteer vervolgens RDP (3389).

  5. Selecteer Volgende: schijven.

  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.

  7. Selecteer VNet-Onprem voor het virtuele netwerk en controleer of het subnet SN-Corp is.

  8. Selecteer Volgende: Beheer.

  9. Selecteer Volgende: Bewaking.

  10. Selecteer Uitschakelen voor diagnostische gegevens over opstarten.

  11. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer Vervolgens Maken.

De firewall testen

  1. Noteer eerst het privé-IP-adres van de virtuele machine VM-Spoke-01 op de overzichtspagina van VM-Spoke-01.

  2. Maak vanuit de Azure-portal verbinding met de virtuele machine VM-OnPrem.

  1. Open een webbrowser op VM-OnPrem en blader naar http://<privé-IP-adres VM-spoke-01>.

    U ziet nu de webpagina VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. Maak vanaf de virtuele machine VM-Onprem via Extern bureaublad verbinding met VM-spoke-01 op het privé-IP-adres.

    Deze verbinding moet worden gemaakt en u moet zich kunnen aanmelden.

Nu u hebt geverifieerd dat de firewallregels werken:

  • U kunt de bladeren op de webserver in het virtuele spoke-netwerk.
  • U kunt verbinding maken met de server in het virtuele spoke-netwerk met behulp van RDP.

Wijzig vervolgens de verzameling netwerkregels van de firewall in Weigeren om te controleren of de regels werken zoals verwacht.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer het firewallbeleid Pol-Net01 .
  2. Selecteer onder Instellingen regelverzamelingen.
  3. Selecteer de RCNet01-regelverzameling .
  4. Selecteer bij Actie regelverzameling de optie Weigeren.
  5. Selecteer Opslaan.

Sluit eventuele externe bureaubladen en browsers in VM-Onprem voordat u de gewijzigde regels test. Nadat de update van de regelverzameling is voltooid, voert u de tests opnieuw uit. Ze moeten allemaal deze keer geen verbinding maken.

Resources opschonen

U kunt uw firewallresources bewaren voor verder onderzoek of de resourcegroep FW-Hybrid-Test verwijderen om alle firewallresources te verwijderen.

Volgende stappen

Zelfstudie: Uw virtuele WAN beveiligen met Azure Firewall Manager