Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu witryny Azure Portal

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Aby kontrolować dostęp do sieci hybrydowej korzystającej z reguł, które definiują dozwolony i zabroniony ruch sieciowy, możesz użyć usługi Azure Firewall.

W tym artykule utworzysz trzy sieci wirtualne:

  • VNet-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VNet-Spoke — sieć wirtualna będąca szprychą reprezentuje pakiet roboczy na platformie Azure.
  • VNet-Onprem — lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można je połączyć za pośrednictwem sieci VPN lub połączenia usługi ExpressRoute. Dla uproszczenia ta procedura korzysta z połączenia bramy sieci VPN, a sieć wirtualna zlokalizowana na platformie Azure jest używana do reprezentowania sieci lokalnej.

Zapora w sieci hybrydowej

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Tworzenie sieci wirtualnej koncentratora zapory
  • Tworzenie sieci wirtualnej będącej szprychą
  • Tworzenie lokalnej sieci wirtualnej
  • Konfigurowanie i wdrażanie zapory
  • Tworzenie i łączenie bram sieci VPN
  • Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy
  • Tworzenie tras
  • Tworzenie maszyn wirtualnych
  • Testowanie zapory

Jeśli chcesz użyć usługi Azure PowerShell, aby wykonać tę procedurę, zobacz Deploy and configure Azure Firewall in a hybrid network using Azure PowerShell(Wdrażanie i konfigurowanie usługi Azure Firewall sieci hybrydowej przy użyciu Azure PowerShell ).

Uwaga

W tym artykule do zarządzania zaporą są używane klasyczne reguły zapory. Preferowaną metodą jest użycie zasad zapory. Aby wykonać tę procedurę przy użyciu zasad zapory, zobacz Samouczek:wdrażanie i konfigurowanie Azure Firewall i zasad w sieci hybrydowej przy użyciu Azure Portal .

Wymagania wstępne

Sieć hybrydowa używa modelu architektury piasty i szprych do rozsyłania ruchu między sieciami wirtualnymi platformy Azure i sieciami lokalnymi. Architektura piasty i szprych ma następujące wymagania:

  • Ustaw ustawienie Użyj bramy tej sieci wirtualnej lub serwera tras podczas komunikacji równorzędnej VNet-Hub sieci wirtualnej i szprychy. W architekturze sieci piasty i szprych tranzyt bramy umożliwia sieciom wirtualnym szprych współużytkowanie bramy sieci VPN w koncentratorze zamiast wdrażania bram sieci VPN w każdej sieci wirtualnej szprychy.

    Ponadto trasy do sieci wirtualnych połączonych z bramą lub sieci lokalnych będą automatycznie propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu tranzytu bramy. Aby uzyskać więcej informacji, zobacz Configure VPN gateway transit for virtual network peering (Konfigurowanie tranzytu bramy sieci VPN dla komunikacji równorzędnej sieci wirtualnych).

  • Ustaw ustawienie Użyj bram zdalnej sieci wirtualnej lub serwera tras podczas komunikacji równorzędnej VNet-Spoke sieci wirtualnej z usługą VNet-Hub. Jeśli ustawiono ustawienie Użyj bram zdalnej sieci wirtualnej lub serwera tras i ustawiono również ustawienie Użyj bramy tej sieci wirtualnej lub serwera tras w zdalnej komunikacji równorzędnej, sieć wirtualna szprychy używa bram zdalnej sieci wirtualnej do przesyłania.

  • Aby rozsyłać ruch podsieci szprychy przez zaporę koncentratora, można użyć trasy zdefiniowanej przez użytkownika (UDR), która wskazuje zaporę z wyłączoną opcją propagacji trasy bramy sieci wirtualnej. Opcja propagacji trasy bramy sieci wirtualnej jest wyłączona, co uniemożliwia dystrybucję tras do podsieci szprych. Zapobiega to konfliktom tras uczonych z trasą UDR. Jeśli chcesz zachować włączoną propagację tras bramy sieci wirtualnej, pamiętaj o zdefiniowaniu określonych tras do zapory w celu zastąpienia tych, które są publikowane ze środowiska lokalnego za pośrednictwem protokołu BGP.

  • Skonfiguruj w podsieci bramy koncentratora punkt UDR, który wskazuje adres IP zapory jako następny przeskok do sieci szprych. W podsieci usługi Azure Firewall nie jest wymagana trasa zdefiniowana przez użytkownika, ponieważ uzyskuje ona informacje o trasach na podstawie protokołu BGP.

Zobacz sekcję Tworzenie tras w tym artykule, aby zobaczyć, jak te trasy są tworzone.

Uwaga

Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja podsieć AzureFirewallSubnet uczy się trasy domyślnej do sieci lokalnej za pośrednictwem protokołu BGP, musisz zastąpić tę trasę trasą UDR 0.0.0.0/0 z wartością NextHopType ustawioną jako Internet, aby zachować bezpośrednią łączność z Internetem.

Azure Firewall można skonfigurować do obsługi wymuszonego tunelowania. Aby uzyskać więcej informacji, zobacz Azure Firewall wymuszonego tunelowania.

Uwaga

Ruch między wirtualnymi sieciami równorzędnymi połączonymi bezpośrednio jest kierowany bezpośrednio nawet wtedy, gdy trasa zdefiniowana przez użytkownika wskazuje usługę Azure Firewall jako bramę domyślną. Aby w tym scenariuszu wysyłać ruch między podsieciami do zapory, trasa zdefiniowana przez użytkownika musi jawnie zawierać prefiks podsieci docelowej w obu podsieciach.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie sieci wirtualnej koncentratora zapory

Najpierw utwórz grupę zasobów, która będzie zawierać zasoby:

  1. Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com.
  2. Na stronie Azure Portal głównej wybierz pozycję Grupy zasobów > Dodaj.
  3. W polu Subskrypcja wybierz subskrypcję.
  4. W przypadku nazwy grupy zasobów wpisz FW-Hybrid-Test.
  5. W obszarze Region wybierz pozycję (USA) Wschodnie usa. Wszystkie zasoby, które utworzysz później, muszą znajdować się w tej samej lokalizacji.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz przycisk Utwórz.

Teraz utwórz sieć wirtualną:

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz często zadawane pytania dotyczące Azure Firewall podsieci.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W obszarze Sieć wybierz pozycję Sieć wirtualna.
  3. Wybierz przycisk Utwórz.
  4. W przypadku grupy zasobów wybierz pozycję FW-Hybrid-Test.
  5. W nazwa, wpisz VNet-hub.
  6. Wybierz pozycję Dalej: Adresy IP.
  7. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 10.5.0.0/16.
  8. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  9. W przypadku nazwy podsieci wpisz AzureFirewallSubnet. Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.
  10. W przypadku zakresu adresów podsieci wpisz 10.5.0.0/26.
  11. Wybierz pozycję Dodaj.
  12. Wybierz pozycję Przejrzyj i utwórz.
  13. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. Na stronie Sieć wybierz pozycję Sieć wirtualna.
  3. W przypadku grupy zasobów wybierz pozycję FW-Hybrid-Test.
  4. W nazwa, wpisz VNet-Spoke.
  5. W obszarze Region wybierz pozycję (USA) Wschodnie usa.
  6. Wybierz pozycję Dalej: Adresy IP.
  7. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 10.6.0.0/16.
  8. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  9. W przypadku nazwy podsieci wpisz SN-Workload.
  10. W przypadku zakresu adresów podsieci wpisz 10.6.0.0/24.
  11. Wybierz pozycję Dodaj.
  12. Wybierz pozycję Przejrzyj i utwórz.
  13. Wybierz pozycję Utwórz.

Tworzenie lokalnej sieci wirtualnej

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. Na stronie Sieć wybierz pozycję Sieć wirtualna.
  3. W przypadku grupy zasobów wybierz pozycję FW-Hybrid-Test.
  4. W nazwa, wpisz VNet-OnPrem.
  5. W obszarze Region wybierz pozycję (USA) Wschodnie usa.
  6. Wybierz pozycję Dalej: Adresy IP
  7. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 192.168.0.0/16.
  8. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  9. W przypadku nazwy podsieci wpisz SN-Corp.
  10. W przypadku zakresu adresów podsieci wpisz 192.168.1.0/24.
  11. Wybierz pozycję Dodaj.
  12. Wybierz pozycję Przejrzyj i utwórz.
  13. Wybierz pozycję Utwórz.

Teraz utwórz drugą podsieć dla bramy.

  1. Na stronie VNet-Onprem wybierz pozycję Podsieci.
  2. Wybierz pozycję +Podsieć.
  3. W nazwie wpisz GatewaySubnet.
  4. W przypadku zakresu adresów podsieci wpisz 192.168.2.0/24.
  5. Wybierz przycisk OK.

Konfigurowanie i wdrażanie zapory

Teraz wd wdrażają zaporę w sieci wirtualnej koncentratora zapory.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.

  2. W lewej kolumnie wybierz pozycję Sieć i wyszukaj, a następnie wybierz pozycję Zapora.

  3. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <your subscription>
    Grupa zasobów FW-Hybrid-Test
    Nazwa AzFW01
    Region (Region) East US
    Zarządzanie zaporą Zarządzanie tą zaporą przy użyciu reguł zapory (klasycznej)
    Wybieranie sieci wirtualnej Użyj istniejącej:
    VNet-hub
    Publiczny adres IP Dodaj nową:
    fw-pip.
  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz, aby utworzyć zaporę.

    Wdrożenie potrwa kilka minut.

  6. Po zakończeniu wdrażania przejdź do grupy zasobów FW-Hybrid-Test i wybierz zaporę AzFW01.

  7. Zanotuj prywatny adres IP. Użyjesz go później podczas tworzenia trasy domyślnej.

Konfigurowanie reguł sieci

Najpierw dodaj regułę sieci, aby zezwolić na ruch internetowy.

  1. Na stronie AzFW01 wybierz pozycję Reguły.
  2. Wybierz kartę Kolekcja reguł sieci.
  3. Wybierz pozycję Dodaj kolekcję reguł sieci.
  4. W nazwie wpisz RCNet01.
  5. W przypadku priorytetu wpisz 100.
  6. W przypadku akcji zbierania reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w obszarze Nazwa wpisz AllowWeb.
  8. W przypadku opcji Typ źródła wybierz pozycję Adres IP.
  9. W przypadku źródła wpisz 192.168.1.0/24.
  10. W polu Protokół wybierz TCP.
  11. W przypadku portów docelowych wpisz 80.
  12. W przypadku opcji Typ docelowy wybierz pozycję Adres IP.
  13. W przypadku lokalizacji docelowej wpisz 10.6.0.0/16.

Teraz dodaj regułę zezwalania na ruch RDP.

W drugim wierszu reguły wpisz następujące informacje:

  1. Nazwa, wpisz AllowRDP.
  2. W opcji Typ źródła wybierz pozycję Adres IP.
  3. W przypadku źródła wpisz 192.168.1.0/24.
  4. W polu Protokół wybierz TCP.
  5. W przypadku portów docelowych wpisz 3389.
  6. W przypadku opcji Typ docelowy wybierz pozycję Adres IP.
  7. W przypadku lokalizacji docelowej wpisz 10.6.0.0/16
  8. Wybierz pozycję Dodaj.

Tworzenie i łączenie bram sieci VPN

Sieć wirtualna koncentratora i lokalna sieć wirtualna są połączone za pośrednictwem bram sieci VPN.

Tworzenie bramy sieci VPN dla sieci wirtualnej koncentratora

Teraz utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej.
  3. Wybierz pozycję Brama sieci wirtualnej i wybierz pozycję Utwórz.
  4. W przypadku nazwy wpisz GW-hub.
  5. W obszarze Region wybierz ten sam region, który był używany wcześniej.
  6. W przypadku opcji Typ bramy wybierz pozycję VPN.
  7. W przypadku typu sieci VPN wybierz pozycję Oparte na trasach.
  8. W przypadku opcji SKU wybierz pozycję Podstawowa.
  9. W przypadku opcji Sieć wirtualna wybierz pozycję VNet-hub.
  10. W przypadku publicznego adresu IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-hub-GW-pip.
  11. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  12. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Teraz utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij klawisz Enter.
  3. Wybierz pozycję Brama sieci wirtualnej i wybierz pozycję Utwórz.
  4. W nazwa, typ GW-Onprem.
  5. W obszarze Region wybierz ten sam region, który był używany wcześniej.
  6. W przypadku typu bramy wybierz pozycję VPN.
  7. W przypadku typu sieci VPN wybierz pozycję Oparte na trasach.
  8. W przypadku opcji SKU wybierz pozycję Podstawowa.
  9. W przypadku opcji Sieć wirtualna wybierz pozycję VNet-Onprem.
  10. W przypadku publicznego adresu IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-Onprem-GW-pip.
  11. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  12. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie połączeń sieci VPN

Teraz możesz utworzyć połączenia sieci VPN między bramami centrum i bramami lokalnymi.

W tym kroku utworzysz połączenie z sieci wirtualnej koncentratora do lokalnej sieci wirtualnej. W przykładach zastosowano odwołania do klucza współużytkowanego. Możesz wybrać własne wartości dla klucza współużytkowanego. Ważne jest, aby klucz współużytkowany był zgodny z obydwoma połączeniami. Tworzenie połączenia może nieco potrwać.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-hub.
  2. Wybierz pozycję Połączenia w lewej kolumnie.
  3. Wybierz pozycję Dodaj.
  4. Nazwa połączenia, wpisz Hub-to-Onprem.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla opcji Typ połączenia.
  6. W przypadku drugiej bramy sieci wirtualnej wybierz pozycję GW-Onprem.
  7. W przypadku klucza wspólnego (PSK) wpisz AzureA1b2C3.
  8. Wybierz przycisk OK.

Utwórz połączenie z lokalnej sieci wirtualnej do sieci wirtualnej koncentratora. Ten krok jest podobny do poprzedniego, jednak w tym przypadku tworzysz połączenie z sieci VNet-Onprem do sieci VNet-hub. Upewnij się, że klucze współużytkowane są zgodne. Po kilku minutach połączenie zostanie ustanowione.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę GW-Onprem.
  2. Wybierz pozycję Połączenia w lewej kolumnie.
  3. Wybierz pozycję Dodaj.
  4. Jako nazwę połączenia wpisz Onprem-to-Hub.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla opcji Typ połączenia.
  6. W przypadku drugiej bramy sieci wirtualnej wybierz pozycję GW-hub.
  7. W przypadku klucza wspólnego (PSK) wpisz AzureA1b2C3.
  8. Wybierz przycisk OK.

Weryfikowanie połączenia

Po około pięciu minutach stan obu połączeń powinien być taki jak Połączono.

Połączenia bramy

Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy

Teraz nawiąż komunikację równorzędną pomiędzy siecią wirtualną koncentratora i siecią wirtualną będącą szprychą.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz sieć wirtualną VNet-hub.

  2. W lewej kolumnie wybierz pozycję Komunikacja równorzędna.

  3. Wybierz pozycję Dodaj.

  4. W obszarze Ta sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa linku komunikacji równorzędnej HubtoSpoke
    Ruch do zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Ruch przesyłany dalej ze zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Brama sieci wirtualnej Korzystanie z bramy tej sieci wirtualnej
  5. W obszarze Zdalna sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa linku komunikacji równorzędnej SpoketoHub
    Model wdrażania sieci wirtualnej Resource Manager
    Subskrypcja <your subscription>
    Sieć wirtualna VNet-Spoke
    Ruch do zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Ruch przesyłany dalej ze zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Brama sieci wirtualnej Korzystanie z bramy zdalnej sieci wirtualnej
  6. Wybierz pozycję Dodaj.

    Komunikacja równorzędna sieci wirtualnych

Tworzenie tras

Następnie należy utworzyć kilka tras:

  • Trasa z podsieci bramy koncentratora do podsieci będącej szprychą za pośrednictwem adresu IP zapory
  • Trasa domyślna z podsieci będącej szprychą za pośrednictwem adresu IP zapory
  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz route table i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz przycisk Utwórz.
  5. Wybierz pozycję FW-Hybrid-Test dla grupy zasobów.
  6. W obszarze Region wybierz tę samą lokalizację, która była używana wcześniej.
  7. Jako nazwę wpisz UDR-Hub-Spoke.
  8. Wybierz pozycję Przejrzyj i utwórz.
  9. Wybierz przycisk Utwórz.
  10. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  11. Wybierz pozycję Trasy w lewej kolumnie.
  12. Wybierz pozycję Dodaj.
  13. Jako nazwę trasy wpisz ToSpoke.
  14. Jako prefiks adresu wpisz 10.6.0.0/16.
  15. Jako typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  16. W przypadku adresu następnego przeskoku wpisz zanotowyny wcześniej prywatny adres IP zapory.
  17. Wybierz przycisk OK.

Teraz skojarz trasę z podsiecią.

  1. Na stronie Trasa UDR-Piasta-szprycha — trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  4. W obszarze Podsieć wybierz pozycję BramaPodsieć.
  5. Wybierz przycisk OK.

Teraz utwórz trasę domyślną z podsieci szprych.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz route table i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz przycisk Utwórz.
  5. Wybierz pozycję FW-Hybrid-Test dla grupy zasobów.
  6. W obszarze Region wybierz tę samą lokalizację, która była używana wcześniej.
  7. Jako nazwę wpisz UDR-DG.
  8. W przypadku opcji Propagacja trasy bramy wybierz pozycję Nie.
  9. Wybierz pozycję Przejrzyj i utwórz.
  10. Wybierz przycisk Utwórz.
  11. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  12. Wybierz pozycję Trasy w lewej kolumnie.
  13. Wybierz pozycję Dodaj.
  14. Jako nazwę trasy wpisz ToHub.
  15. Jako prefiks adresu wpisz 0.0.0.0/0.
  16. Jako typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  17. W przypadku adresu następnego przeskoku wpisz zanotowyny wcześniej prywatny adres IP zapory.
  18. Wybierz przycisk OK.

Teraz skojarz trasę z podsiecią.

  1. Na stronie UDR-DG — Trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-spoke.
  4. W obszarze Podsieć wybierz pozycję SN-Workload.
  5. Wybierz przycisk OK.

Tworzenie maszyn wirtualnych

Teraz utwórz maszyny wirtualne pakietu roboczego szprychy i sieci lokalnej, a następnie umieść je w odpowiednich podsieciach.

Tworzenie maszyny wirtualnej pakietu roboczego

Utwórz maszynę wirtualną w sieci wirtualnej szprychy z uruchomionymi usługami IIS bez publicznego adresu IP.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2016 Datacenter.
  3. Wprowadź poniższe wartości dla maszyny wirtualnej:
    • Grupa zasobów — wybierz pozycję FW-Hybrid-Test.
    • Nazwa maszyny wirtualnej: VM-Spoke-01.
    • Region — ten sam region, który był używany wcześniej.
    • Nazwa użytkownika: <type a user name> .
    • Hasło:<type a password>
  4. W przypadku publicznych portów przychodzących wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję HTTP (80) i RDP (3389)
  5. Wybierz pozycję Dalej: Dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.
  7. Wybierz pozycję VNet-Spoke dla sieci wirtualnej, a podsieć to SN-Workload.
  8. W przypadku publicznego adresu IP wybierz pozycję Brak.
  9. Wybierz pozycję Dalej:Zarządzanie.
  10. W przypadku diagnostyki rozruchu wybierz pozycję Wyłącz.
  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Instalowanie usług IIS

  1. W Azure Portal otwórz Cloud Shell i upewnij się, że jest on ustawiony na program PowerShell.

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej i w razie potrzeby zmienić lokalizację:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Tworzenie maszyny wirtualnej w środowisku lokalnym

Jest to maszyna wirtualna, która umożliwia nawiązywanie połączenia przy użyciu Pulpit zdalny z publicznym adresem IP. Z tego miejsca nawiążesz następnie połączenie z serwerem lokalnym za pośrednictwem zapory.

  1. Na Azure Portal głównej wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2016 Datacenter.
  3. Wprowadź poniższe wartości dla maszyny wirtualnej:
    • Grupa zasobów — wybierz istniejącą, a następnie wybierz pozycję FW-Hybrid-Test.
    • Nazwa maszyny wirtualnej - VM-Onprem.
    • Region — ten sam region, który był używany wcześniej.
    • Nazwa użytkownika: <type a user name> .
    • Hasło: <type a user password> .
  4. W przypadku publicznych portów przychodzących wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję RDP (3389)
  5. Wybierz pozycję Dalej: Dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej:Sieć.
  7. Wybierz sieć wirtualną VNet-Onprem, a podsieć to SN-Corp.
  8. Wybierz pozycję Dalej:Zarządzanie.
  9. W przypadku diagnostyki rozruchu wybierz pozycję Wyłącz.
  10. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla usługi Azure Virtual Machines, którym nie przypisano publicznego adresu IP lub które znajdują się w puli zaplecza wewnętrznej bazy Azure Load Balancer. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Aby uzyskać więcej informacji na temat domyślnego dostępu wychodzącego, zobacz Domyślny dostęp wychodzący na platformie Azure

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy publiczny adres IP jest przypisany do maszyny wirtualnej lub maszyna wirtualna jest umieszczana w puli zaplecza serwera usługa Load Balancer w warstwie Standardowa z regułami ruchu wychodzącego lub bez nich. Jeśli zasób Translator adresów sieciowych usługi Azure Virtual Network jest przypisany do podsieci maszyny wirtualnej, domyślny adres IP dostępu wychodzącego jest wyłączony.

Maszyny wirtualne utworzone przez zestawy skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Using Source Network Address Translation (SNAT) for outbound connections (Używanie translatora źródłowych adresów sieciowych (SNAT) dla połączeń wychodzących).

Testowanie zapory

  1. Najpierw zanotuj prywatny adres IP maszyny wirtualnej VM-spoke-01.

  2. W witrynie Azure Portal połącz się z maszyną wirtualną VM-Onprem.

  1. Otwórz przeglądarkę internetową na maszynie wirtualnej VM-Onprem i przejdź do http:// <VM-spoke-01 private IP> .

    Powinna zostać wyświetlony strona internetowa VM-spoke-01:  VM-Spoke-01

  2. Z maszyny wirtualnej VM-Onprem otwórz pulpit zdalny dla maszyny wirtualnej VM-spoke-01 pod prywatnym adresem IP.

    Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się.

Teraz już wiesz, że reguły zapory działają:

  • Możesz przeglądać serwer internetowy w sieci wirtualnej będącej szprychą.
  • Możesz nawiązać połączenie z serwerem w sieci wirtualnej będącej szprychą, korzystając z protokołu RDP.

Następnie zmień ustawienie akcji kolekcji reguł sieci zapory na Odmów, aby sprawdzić, czy reguły zapory działają zgodnie z oczekiwaniami.

  1. Wybierz zaporę AzFW01.
  2. Wybierz pozycję Reguły.
  3. Wybierz kartę Kolekcja reguł sieci i wybierz kolekcję reguł RCNet01.
  4. W przypadku akcji wybierz pozycję Odmów.
  5. Wybierz pozycję Zapisz.

Zamknij wszystkie zdalne pulpity, zanim zaczniesz testować zmienione zasady. Teraz ponownie uruchom testy. Tym razem wszystkie powinny zakończyć się niepowodzeniem.

Czyszczenie zasobów

Możesz zachować zasoby zapory do dalszego testowania lub, jeśli nie są już potrzebne, usunąć grupę zasobów FW-Hybrid-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Następnie możesz monitorować dzienniki usługi Azure Firewall.

Samouczek: monitorowanie dzienników usługi Azure Firewall