Zelfstudie: Azure Firewall en beleid implementeren en configureren in een hybride netwerk met behulp van Azure Portal

  • Artikel

Als u het on-premises netwerk verbindt met een virtueel Azure-netwerk om een hybride netwerk te maken, is de mogelijkheid om de toegang tot uw Azure-netwerkresources te beheren een belangrijk onderdeel van een algemeen beveiligingsplan.

U kunt Azure Firewall en Firewall-beleid gebruiken om netwerktoegang in een hybride netwerk te beheren met behulp van regels die toegestaan en geweigerd netwerkverkeer definiëren.

Voor deze zelfstudie maakt u drie virtuele netwerken:

  • VNet-Hub: de firewall bevindt zich in dit virtuele netwerk.
  • VNet-spoke: het virtuele spoke-netwerk vertegenwoordigt de workload die zich bevindt in Azure.
  • VNet-Onprem: het on-premises virtuele netwerk vertegenwoordigt een on-premises netwerk. In een daadwerkelijke implementatie kan het zijn verbonden via een VPN of een ExpressRoute-verbinding. Om het eenvoudig te houden wordt in deze zelfstudie een VPN-gatewayverbinding gebruikt en wordt een on-premises netwerk vertegenwoordigd door een virtueel Azure-netwerk.

Firewall in een hybride netwerk

In deze zelfstudie leert u het volgende:

  • Het virtuele hub-netwerk voor de firewall maken
  • Het virtuele spoke-netwerk maken
  • Het on-premises virtuele netwerk maken
  • De firewall en het beleid configureren en implementeren
  • De VPN-gateways maken en verbinden
  • De hub- en virtuele spoke-netwerken koppelen
  • De routes maken
  • De virtuele machines maken
  • De firewall testen

Als u in plaats daarvan Azure PowerShell wilt gebruiken om deze procedure te voltooien, raadpleegt u Azure Firewall implementeren en configureren in een hybride netwerk met Azure PowerShell.

Vereisten

Een hybride netwerk maakt gebruik van het hub-and-spoke-architectuurmodel om verkeer tussen Azure VNets en on-premises netwerken te routeren. De hub-en-spoke-architectuur heeft de volgende vereisten:

  • Stel De gateway of routeserver van dit virtuele netwerk in wanneer u VNet-Hub koppelt aan VNet-Spoke. In een hub en spoke-netwerkarchitectuur zorgt een gatewayovergang dat virtuele spoke-netwerken de VPN-gateway in de hub kunnen delen, in plaats van in elk virtueel spoke-netwerk VPN-gateways te implementeren.

    Routes naar de via de gateway verbonden virtuele netwerken of on-premises netwerken worden bovendien automatisch doorgegeven aan de routeringstabellen voor de als peer ingestelde virtuele netwerken met behulp van de gatewayovergang. Zie VPN-gatewayoverdracht kunt configureren voor peering voor virtuele netwerken voor meer informatie.

  • Stel De gateways of routeserver van het externe virtuele netwerk gebruiken in wanneer u VNet-Spoke koppelt aan VNet-Hub. Als de gateways of routeserver van het externe virtuele netwerk zijn ingesteld en de gateway of routeserver van dit virtuele netwerk op externe peering ook is ingesteld, gebruikt het virtuele spoke-netwerk gateways van het externe virtuele netwerk voor overdracht.

  • Om het verkeer van het spoke-subnet te routeren via de hub-firewall, kunt u een door de gebruiker gedefinieerde route (UDR) gebruiken die naar de firewall wijst en waarvoor de optie Doorgifte van route van virtuele netwerkgateway is uitgeschakeld. De uitgeschakelde optie Doorgifte van route van virtuele netwerkgateway voorkomt routedistributie naar de spoke-subnetten. Hierdoor veroorzaken geleerde routes geen conflicten met uw UDR. Als u routepropagatie van de virtuele netwerkgateway ingeschakeld wilt houden, moet u ervoor zorgen dat specifieke routes naar de firewall worden gedefinieerd om de routes te overschrijven die on-premises zijn gedefinieerd vanuit BGP.

  • Configureer een UDR in het subnet van de hubgateway die verwijst naar het IP-adres van de firewall als de volgende hop naar de spoke-netwerken. Er is geen door de gebruiker gedefinieerde route (UDR) nodig in het Azure Firewall-subnet, omdat het de routes overneemt van BGP.

Zie het gedeelte Routes maken in deze zelfstudie voor informatie over hoe deze routes worden gemaakt.

Notitie

Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.

Azure Firewall kan worden geconfigureerd voor ondersteuning van geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Notitie

Verkeer tussen rechtstreeks gepeerde VNets wordt rechtstreeks gerouteerd, zelfs als de UDR naar Azure Firewall als standaardgateway wijst. Als u in dit scenario subnet-naar-subnet-verkeer wilt verzenden, moet een UDR het voorvoegsel van het doelsubnetwerk expliciet op beide subnetten bevatten.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Het virtuele hub-netwerk voor de firewall maken

Maak eerst de resourcegroep voor de resources in deze zelfstudie:

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Op de startpagina van Azure Portal de optie Resourcegroepen>maken.
  3. Selecteer uw abonnement bij Abonnement.
  4. Geef voor Resourcegroep de naam FW-Hybrid-Test op.
  5. Selecteer bij Regio(VS) VS - oost. Alle resources die u later maakt, moeten zich op dezelfde locatie bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

Maak nu het VNet:

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Selecteer Virtueel netwerk onder Netwerken.
  3. Selecteer Maken.
  4. Geef voor Resourcegroep de naam FW-Hybrid-Test op.
  5. Geef bij NaamVNet-hub op.
  6. Selecteer Volgende: IP-adressen.
  7. Verwijder bij IPv4-adresruimte het standaardadres en typ 10.5.0.0/16.
  8. Selecteer bij Subnetnaam de optie Subnet toevoegen.
  9. Bij Subnetnaam typt u AzureFirewallSubnet. De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.
  10. Typ 10.5.0.0/26 bij Subnetadresbereik.
  11. Selecteer Toevoegen.
  12. Selecteer Controleren + maken.
  13. Selecteer Maken.

Het virtuele spoke-netwerk maken

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Selecteer Virtueel netwerk bij Netwerken.
  3. Selecteer Maken.
  4. Geef voor Resourcegroep de naam FW-Hybrid-Test op.
  5. Bij Naam typt u VNet-Spoke.
  6. Selecteer bij Regio(VS) VS - oost.
  7. Selecteer Volgende: IP-adressen.
  8. Verwijder bij IPv4-adresruimte het standaardadres en typ 10.6.0.0/16.
  9. Selecteer bij Subnetnaam de optie Subnet toevoegen.
  10. Typ SN-Workload bij Subnetnaam.
  11. Typ 10.6.0.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Selecteer Controleren + maken.
  14. Selecteer Maken.

Het on-premises virtuele netwerk maken

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Selecteer Virtueel netwerk bij Netwerken.
  3. Geef voor Resourcegroep de naam FW-Hybrid-Test op.
  4. Bij Naam typt u VNet-OnPrem.
  5. Selecteer bij Regio(VS) VS - oost.
  6. Selecteer Volgende: IP-adressen
  7. Verwijder bij IPv4-adresruimte het standaardadres en typ 192.168.0.0/16.
  8. Selecteer bij Subnetnaam de optie Subnet toevoegen.
  9. Typ SN-Corp bij Subnetnaam.
  10. Typ 192.168.1.0/24 bij Subnetadresbereik.
  11. Selecteer Toevoegen.
  12. Selecteer Controleren + maken.
  13. Selecteer Maken.

Maak nu een tweede subnet voor de gateway.

  1. Selecteer op de pagina VNet-OnpremSubnetten.
  2. Selecteer +Subnet.
  3. Typ GatewaySubnet bij Naam.
  4. Bij Subnetadresbereik typt u 192.168.2.0/24.
  5. Selecteer Opslaan.

De firewall configureren en implementeren

Implementeer de firewall nu in het virtuele hub-netwerk voor de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Selecteer Netwerken in de linkerkolom en zoek en selecteer vervolgens Firewall en selecteer Vervolgens Maken.

  3. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Abonnement <uw abonnement>
    Resourcegroep FW-Hybrid-Test
    Naam AzFW01
    Regio VS - oost
    Firewalllaag Standaard
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Nieuwe toevoegen:
    hybrid-test-pol
    VS - oost
    Een virtueel netwerk kiezen Bestaande gebruiken:
    VNet-hub
    Openbaar IP-adres Nieuwe toevoegen:
    fw-pip

  4. Selecteer Controleren + maken.

  5. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het implementeren duurt een paar minuten.

  6. Als de implementatie is voltooid, gaat u naar de resourcegroep FW-Hybrid-Test en selecteert u de firewall AzFW01.

  7. Noteer het privé-IP-adres. U zult het later gebruiken wanneer u de standaardroute maakt.

Netwerkregels configureren

Voeg eerst een netwerkregel toe om webverkeer toe te staan.

  1. Selecteer in de resourcegroep FW-Hybrid-Test het firewallbeleid hybrid-test-pol .
  2. Selecteer Netwerkregels.
  3. Selecteer Een regelverzameling toevoegen toevoegen.
  4. Bij Naam typt u RCNet01.
  5. Bij Prioriteit typt u 100.
  6. Selecteer Toestaan voor de actie Regelverzameling.
  7. Onder Regels typt u bij Naam de naam AllowWeb.
  8. Selecteer IP-adres bij Brontype.
  9. Typ bij Bron192.168.1.0/24.
  10. Bij Protocol selecteert u TCP.
  11. Typ bij Doelpoorten80.
  12. Bij Doeltype selecteert u IP-adres.
  13. Bij Doel typt u 10.6.0.0/16.

Voeg nu een regel toe om RDP-verkeer toe te staan.

Typ op de rij van de tweede regel de volgende informatie:

  1. Typ bij NaamAllowRDP.
  2. Selecteer IP-adres bij Brontype.
  3. Typ bij Bron192.168.1.0/24.
  4. Bij Protocol selecteert u TCP.
  5. Typ bij Doelpoorten3389.
  6. Bij Doeltype selecteert u IP-adres.
  7. Voor Bestemming typt u 10.6.0.0/16
  8. Selecteer Toevoegen.

De VPN-gateways maken en verbinden

Het virtuele hub-netwerk en het on-premises virtuele netwerk zijn verbonden via VPN-gateways.

Een VPN-gateway maken voor het virtuele hub-netwerk

Maak nu een VPN-gateway voor het virtuele hub-netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ virtuele netwerkgateway in het zoekvak.
  3. Selecteer Virtuele netwerkgateway en vervolgens Maken.
  4. Bij Naam typt u GW-hub.
  5. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Bij SKU selecteert u Basis.
  9. Bij Virtueel netwerk selecteert u VNet-hub.
  10. Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-hub-GW-pip als de naam.
  11. Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
  12. Controleer de configuratie en selecteer vervolgens Maken.

Een VPN-gateway maken voor het on-premises virtuele netwerk

Maak nu de VPN-gateway voor het on-premises virtuele netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
  3. Selecteer Virtuele netwerkgateway en vervolgens Maken.
  4. Bij Naam typt u GW-Onprem.
  5. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Bij SKU selecteert u Basis.
  9. Bij Virtueel netwerk selecteert u VNet-Onprem.
  10. Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-Onprem-GW-pip als de naam.
  11. Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
  12. Controleer de configuratie en selecteer vervolgens Maken.

De VPN-verbindingen maken

U kunt nu de VPN-verbindingen maken tussen de hub-gateway en de on-premises gateway.

In deze stap maakt u de verbinding van het virtuele hub-netwerk naar het on-premises virtuele netwerk. Hier ziet u een gedeelde sleutel waarnaar wordt verwezen in de voorbeelden. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het kan even duren voordat de verbinding is gemaakt.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-hub.
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Typ Hub-to-Onprem als de naam van de verbinding.
  5. Bij Verbindingstype selecteert u VNet-naar-VNet.
  6. Bij Tweede virtuele netwerkgateway selecteert u GW-Onprem.
  7. Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
  8. Selecteer OK.

Maak de verbinding van het on-premises virtuele netwerk naar het virtuele hub-netwerk. Deze stap is vergelijkbaar met de vorige, behalve dat u de verbinding maakt vanuit VNet-Onprem naar VNet-hub. Zorg dat de gedeelde sleutels overeenkomen. De verbinding wordt na enkele minuten tot stand gebracht.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-Onprem.
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Typ Onprem-to-Hub als de naam van de verbinding.
  5. Bij Verbindingstype selecteert u VNet-naar-VNet.
  6. Bij Tweede virtuele netwerkgateway selecteert u GW-hub.
  7. Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
  8. Selecteer OK.

De verbinding controleren

Na ongeveer vijf minuten moeten beide verbindingen de status Verbonden hebben.

Gatewayverbindingen

De hub- en virtuele spoke-netwerken koppelen

Koppel nu de virtuele hub- en spoke-netwerken.

  1. Open de resourcegroep FW-Hybrid-Test en selecteer het virtuele netwerk VNet-hub.

  2. Selecteer in de linkerkolom Peerings.

  3. Selecteer Toevoegen.

  4. Onder Dit virtueel netwerk:

    Naam instelling Weergegeven als
    Naam van peeringkoppeling HubtoSpoke
    Verkeer naar een extern virtueel netwerk Toestaan (standaard)
    Verkeer dat wordt doorgestuurd vanuit een extern virtueel netwerk Toestaan (standaard)
    Gateway voor een virtueel netwerk De gateway van dit virtuele netwerk gebruiken

  5. Onder Extern virtueel netwerk:

    Naam instelling Weergegeven als
    Naam van peeringkoppeling SpoketoHub
    Implementatiemodel voor het virtuele netwerk Resourcebeheerder
    Abonnement <uw abonnement>
    Virtueel netwerk VNet-Spoke
    Verkeer naar een extern virtueel netwerk Toestaan (standaard)
    Verkeer dat wordt doorgestuurd vanuit een extern virtueel netwerk Toestaan (standaard)
    Gateway voor een virtueel netwerk De gateway van het externe virtuele netwerk gebruiken

  6. Selecteer Toevoegen.

    VNet-peering

De routes maken

Maak nu een paar routes:

  • Een route van het subnet van de hub-gateway naar het spoke-subnet via het IP-adres van de firewall
  • Een standaardroute van het spoke-subnet via het IP-adres van de firewall
  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak routeringstabel en druk op Enter.
  3. Selecteer Routeringstabel.
  4. Selecteer Maken.
  5. Selecteer FW-Hybrid-Test als de resourcegroep.
  6. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  7. Voor de naam typt u UDR-Hub-Spoke.
  8. Selecteer Controleren + maken.
  9. Selecteer Maken.
  10. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  11. Selecteer Routes in de linkerkolom.
  12. Selecteer Toevoegen.
  13. Voor de routenaam typt u ToSpoke.
  14. Selecteer IP-adressen voor het doel van het adresvoorvoegsel.
  15. Voor de DOEL-IP-adressen/CIDR-bereiken typt u 10.6.0.0/16.
  16. Voor het volgende hoptype selecteert u Virtueel apparaat.
  17. Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
  18. Selecteer Toevoegen.

Koppel nu de route aan het subnet.

  1. Selecteer op de pagina UDR-Hub-Spoke - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Onder Virtueel netwerk selecteert u VNet-hub.
  4. Onder Subnet selecteert u GatewaySubnet.
  5. Selecteer OK.

Maak nu de standaardroute vanaf het spoke-subnet.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Typ in het zoekvak routeringstabel en druk op Enter.
  3. Selecteer Routeringstabel.
  4. Selecteer Maken.
  5. Selecteer FW-Hybrid-Test als de resourcegroep.
  6. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  7. Voor de naam typt u UDR-DG.
  8. Selecteer Nee bij Gatewayroute doorgeven.
  9. Selecteer Controleren + maken.
  10. Selecteer Maken.
  11. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  12. Selecteer Routes in de linkerkolom.
  13. Selecteer Toevoegen.
  14. Voor de routenaam typt u ToHub.
  15. Selecteer IP-adressen voor het doel van het adresvoorvoegsel.
  16. Voor de DOEL-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.
  17. Voor het volgende hoptype selecteert u Virtueel apparaat.
  18. Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
  19. Selecteer Toevoegen.

Koppel nu de route aan het subnet.

  1. Selecteer op de pagina UDR-DG - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Onder Virtueel netwerk selecteert u VNet-spoke.
  4. Onder Subnet selecteert u SN-Workload.
  5. Selecteer OK.

Virtuele machines maken

Maak nu de spoke-workloadmachines en on-premises virtuele machines en plaats ze in de toepasselijke subnetten.

De virtuele workloadmachine maken

Maak in het virtuele spoke-netwerk een virtuele machine waarop IIS wordt uitgevoerd, zonder openbaar IP-adres.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
  3. Voer deze waarden in voor de virtuele machine:
    • Resourcegroep - FW-Hybrid-Test selecteren
    • Naam van virtuele machine: VM-Spoke-01
    • Regio : dezelfde regio die u eerder hebt gebruikt
    • Gebruikersnaam: <typ een gebruikersnaam>
    • Wachtwoord: <typ een wachtwoord>
  4. Voor openbare binnenkomende poorten selecteert u Geselecteerde poorten toestaan en selecteert u vervolgens HTTP (80) en RDP (3389).
  5. Selecteer Volgende: schijven.
  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
  7. Selecteer VNet-Spoke voor het virtuele netwerk en het subnet is SN-Workload.
  8. Selecteer Geen voor Openbaar IP.
  9. Selecteer Volgende: Beheer.
  10. Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
  11. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.

IIS installeren

Nadat de virtuele machine is gemaakt, installeert u IIS.

  1. Open Cloud Shell via de Azure-portal en controleer of deze is ingesteld op PowerShell.

  2. Voer de volgende opdracht uit om IIS op de virtuele machine te installeren en indien nodig de locatie te wijzigen:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

De on-premises virtuele machine maken

Dit is een virtuele machine waarmee u verbinding kunt maken met het openbare IP-adres via Extern bureaublad. Vanaf daar maakt u vervolgens verbinding met de on-premises server via de firewall.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.
  2. Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
  3. Voer deze waarden in voor de virtuele machine:
    • Resourcegroep: selecteer Bestaande gebruiken en selecteer vervolgens FW-Hybrid-Test.
    • Naam virtuele machine - VM-Onprem.
    • Regio: dezelfde regio die u eerder hebt gebruikt.
    • Gebruikersnaam: <typ een gebruikersnaam>.
    • Wachtwoord: <typ een gebruikerswachtwoord>.
  4. Selecteer voor Openbare binnenkomende poortenGeselecteerde poorten toestaan en selecteer vervolgens RDP (3389).
  5. Selecteer Volgende: schijven.
  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
  7. Selecteer VNet-Onprem voor het virtuele netwerk en het subnet is SN-Corp.
  8. Selecteer Volgende: Beheer.
  9. Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
  10. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

De firewall testen

  1. Noteer eerst het privé-IP-adres van de virtuele machine VM-spoke-01.

  2. Maak vanuit de Azure-portal verbinding met de virtuele machine VM-OnPrem.

  3. Open een webbrowser op VM-OnPrem en blader naar http://<privé-IP-adres VM-spoke-01>.

    U ziet nu de webpagina VM-spoke-01 : Webpagina VM-Spoke-01

  4. Maak vanaf de virtuele machine VM-Onprem via Extern bureaublad verbinding met VM-spoke-01 op het privé-IP-adres.

    Deze verbinding moet worden gemaakt en u moet zich kunnen aanmelden.

Nu u hebt geverifieerd dat de firewallregels werken:

  • U kunt de bladeren op de webserver in het virtuele spoke-netwerk.
  • U kunt verbinding maken met de server in het virtuele spoke-netwerk met behulp van RDP.

Wijzig vervolgens de verzameling netwerkregels van de firewall in Weigeren om te controleren of de regels werken zoals verwacht.

  1. Selecteer het firewallbeleid voor hybrid-test-pol .
  2. Selecteer Regelverzamelingen.
  3. Selecteer de RCNet01-regelverzameling .
  4. Selecteer bij Actie regelverzameling de optie Weigeren.
  5. Selecteer Opslaan.

Sluit eventuele externe bureaubladen voordat u de gewijzigde regels test. Voer nu de tests opnieuw uit. Ze moeten deze keer allemaal mislukken.

Resources opschonen

U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep FW-Hybrid-Test om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren