Tutorial: Implementar e configurar a Firewall Azure numa rede híbrida utilizando o portal AzureTutorial: Deploy and configure Azure Firewall in a hybrid network using the Azure portal

Quando liga a sua rede no local a uma rede virtual Azure para criar uma rede híbrida, a capacidade de controlar o acesso aos recursos da rede Azure é uma parte importante de um plano de segurança global.When you connect your on-premises network to an Azure virtual network to create a hybrid network, the ability to control access to your Azure network resources is an important part of an overall security plan.

Pode utilizar o Azure Firewall para controlar o acesso à rede numa rede híbrida ao utilizar regras que definem o tráfego de rede permitido e negado.You can use Azure Firewall to control network access in a hybrid network using rules that define allowed and denied network traffic.

Para este tutorial, cria três redes virtuais:For this tutorial, you create three virtual networks:

  • VNet-Hub - a firewall está nesta rede virtual.VNet-Hub - the firewall is in this virtual network.
  • VNet-Spoke - a rede virtual falada representa a carga de trabalho localizada no Azure.VNet-Spoke - the spoke virtual network represents the workload located on Azure.
  • VNet-Onprem - A rede virtual no local representa uma rede no local.VNet-Onprem - The on-premises virtual network represents an on-premises network. Numa implementação real, pode ser ligada por uma ligação VPN ou ExpressRoute.In an actual deployment, it can be connected by either a VPN or ExpressRoute connection. Para simplificar, este tutorial utiliza uma ligação de gateway VPN, e uma rede virtual localizada no Azure é usada para representar uma rede no local.For simplicity, this tutorial uses a VPN gateway connection, and an Azure-located virtual network is used to represent an on-premises network.

Firewall numa rede híbrida

Neste tutorial, ficará a saber como:In this tutorial, you learn how to:

  • Declarar as variáveisDeclare the variables
  • Crie a rede virtual do hub de firewallCreate the firewall hub virtual network
  • Criar a rede virtual faladaCreate the spoke virtual network
  • Criar a rede virtual no localCreate the on-premises virtual network
  • Configurar e implementar a firewallConfigure and deploy the firewall
  • Criar e ligar os gateways de VPNCreate and connect the VPN gateways
  • Peer the hub e falou redes virtuaisPeer the hub and spoke virtual networks
  • Criar as rotasCreate the routes
  • Criar as máquinas virtuaisCreate the virtual machines
  • Testar a firewallTest the firewall

Se pretender utilizar o Azure PowerShell para completar este procedimento, consulte implementar e configurar a Azure Firewall numa rede híbrida utilizando o Azure PowerShell.If you want to use Azure PowerShell instead to complete this procedure, see Deploy and configure Azure Firewall in a hybrid network using Azure PowerShell.

Pré-requisitosPrerequisites

Uma rede híbrida utiliza o modelo de arquitetura hub-and-spoke para encaminhar o tráfego entre a Azure VNets e as redes no local.A hybrid network uses the hub-and-spoke architecture model to route traffic between Azure VNets and on-premise networks. A arquitetura hub-and-spoke tem os seguintes requisitos:The hub-and-spoke architecture has the following requirements:

  • Deite AllowGatewayTransit ao espreitar VNet-Hub para VNet-Spoke.Set AllowGatewayTransit when peering VNet-Hub to VNet-Spoke. Numa arquitetura de rede de hub-and-spoke, um trânsito de gateway permite que as redes virtuais falada partilhem a porta de entrada VPN no centro, em vez de implantar gateways VPN em todas as redes virtuais faladas.In a hub-and-spoke network architecture, a gateway transit allows the spoke virtual networks to share the VPN gateway in the hub, instead of deploying VPN gateways in every spoke virtual network.

    Além disso, as rotas para as redes virtuais ligadas à porta de entrada ou redes no local propagar-se-ão automaticamente para as tabelas de encaminhamento para as redes virtuais espreitadas utilizando o trânsito de gateway.Additionally, routes to the gateway-connected virtual networks or on-premises networks will automatically propagate to the routing tables for the peered virtual networks using the gateway transit. Para obter mais informações, consulte o trânsito de gateway VPN VPN para espreitar a rede virtual.For more information, see Configure VPN gateway transit for virtual network peering.

  • Descreva as Vias De Utilização Quando espreitar VNet-Spoke ao VNet-Hub.Set UseRemoteGateways when you peer VNet-Spoke to VNet-Hub. Se o UseRemoteGateways estiver definido e o AllowGatewayTransit no estofo remoto também estiver definido, a rede virtual falada utiliza portais da rede virtual remota para trânsito.If UseRemoteGateways is set and AllowGatewayTransit on remote peering is also set, the spoke virtual network uses gateways of the remote virtual network for transit.

  • Para encaminhar o tráfego de sub-rede falada através da firewall do hub, pode utilizar uma rota definida pelo utilizador (UDR) que aponta para a firewall com a opção de propagação da rota de gateway de rede Virtual desativada.To route the spoke subnet traffic through the hub firewall, you can use a User Defined route (UDR) that points to the firewall with the Virtual network gateway route propagation option disabled. A opção de propagação da rota de gateway de rede virtual impede a distribuição de rotas para as sub-redes faladas.The Virtual network gateway route propagation disabled option prevents route distribution to the spoke subnets. Isto evita que as rotas aprendidas entrem em conflito com a sua UDR.This prevents learned routes from conflicting with your UDR. Se pretender manter a propagação da rota de gateway de rede virtual ativada, certifique-se de definir rotas específicas para a firewall para anular as que são publicadas no local em vez de BGP.If you want to keep Virtual network gateway route propagation enabled, make sure to define specific routes to the firewall to override those that are published from on-premises over BGP.

  • Configure um UDR na sub-rede do gateway do hub que aponta para o endereço IP de firewall como o próximo salto para as redes de raios.Configure a UDR on the hub gateway subnet that points to the firewall IP address as the next hop to the spoke networks. Não é necessária nenhuma UDR na sub-rede Azure Firewall, uma vez que aprende rotas a partir de BGP.No UDR is required on the Azure Firewall subnet, as it learns routes from BGP.

Veja a secção Criar Rotas neste tutorial para perceber como estas rotas são criadas.See the Create Routes section in this tutorial to see how these routes are created.

Nota

O Azure Firewall tem de ter conectividade Internet direta.Azure Firewall must have direct Internet connectivity. Se o seu AzureFirewallSubnet aprender uma rota padrão para a sua rede no local via BGP, deve sobrepor-se a isto com um UDR de 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta na Internet.If your AzureFirewallSubnet learns a default route to your on-premises network via BGP, you must override this with a 0.0.0.0/0 UDR with the NextHopType value set as Internet to maintain direct Internet connectivity.

A Azure Firewall pode ser configurada para suportar túneis forçados.Azure Firewall can be configured to support forced tunneling. Para mais informações, consulte o Azure Firewall forjando túneis.For more information, see Azure Firewall forced tunneling.

Nota

O tráfego entre VNets diretamente espreitados é encaminhado diretamente mesmo que um UDR aponte para Azure Firewall como o gateway padrão.Traffic between directly peered VNets is routed directly even if a UDR points to Azure Firewall as the default gateway. Para enviar o tráfego de sub-rede para a firewall neste cenário, um UDR deve conter explicitamente o prefixo da rede de sub-redes alvo em ambas as sub-redes.To send subnet to subnet traffic to the firewall in this scenario, a UDR must contain the target subnet network prefix explicitly on both subnets.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.If you don't have an Azure subscription, create a free account before you begin.

Crie a rede virtual do hub de firewallCreate the firewall hub virtual network

Em primeiro lugar, crie o grupo de recursos para conter os recursos para este tutorial:First, create the resource group to contain the resources for this tutorial:

  1. Inicie sessão no Portal do Azure em https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.
  2. Na página inicial do portal Azure, selecione Grupos de Recursos > Adicionar.On the Azure portal home page, select Resource groups > Add.
  3. Em Subscrição, selecione a sua subscrição.For Subscription, select your subscription.
  4. Para o nome do grupo de recursos, tipo FW-Hybrid-Test.For Resource group name, type FW-Hybrid-Test.
  5. Para a Região, selecione (EUA) Leste DOS EUA.For Region, select (US) East US. Todos os recursos que criar mais tarde devem estar no mesmo local.All resources that you create later must be in the same location.
  6. Selecione Rever + Criar.Select Review + Create.
  7. Selecione Criar.Select Create.

Agora, crie o VNet:Now, create the VNet:

Nota

O tamanho da sub-rede AzureFirewallSubnet é /26.The size of the AzureFirewallSubnet subnet is /26. Para obter mais informações sobre o tamanho da sub-rede, consulte a Azure Firewall FAQ.For more information about the subnet size, see Azure Firewall FAQ.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Em Rede, selecione Rede Virtual.Under Networking, select Virtual network.
  3. Selecione Criar.Select Create.
  4. Para o grupo de recursos, selecione FW-Hybrid-Test.For Resource group, select FW-Hybrid-Test.
  5. Para nome, tipo VNet-hub.For Name, type VNet-hub.
  6. Selecione Seguinte: Endereços IP.Select Next: IP Addresses.
  7. Para o espaço IPv4 Address, elimine o endereço predefinido e o tipo 10.5.0.0/16.For IPv4 Address space, delete the default address and type 10.5.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.Under Subnet name, select Add subnet.
  9. Para o nome da sub-rede, tipo AzureFirewallSubnet.For Subnet name type AzureFirewallSubnet. A firewall estará nesta sub-rede, e o nome da sub-rede tem de ser AzureFirewallSubnet.The firewall will be in this subnet, and the subnet name must be AzureFirewallSubnet.
  10. Para a gama de endereços sub-rede, tipo 10.5.0.0/26.For Subnet address range, type 10.5.0.0/26.
  11. Selecione Adicionar.Select Add.
  12. Selecione Rever + criar.Select Review + create.
  13. Selecione Criar.Select Create.

Criar a rede virtual faladaCreate the spoke virtual network

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Em Networking, selecione Rede Virtual.In Networking, select Virtual network.
  3. Para o grupo de recursos, selecione FW-Hybrid-Test.For Resource group, select FW-Hybrid-Test.
  4. Para nome, tipo VNet-Spoke.For Name, type VNet-Spoke.
  5. Para a Região, selecione (EUA) Leste DOS EUA.For Region, select (US) East US.
  6. Selecione Seguinte: Endereços IP.Select Next: IP Addresses.
  7. Para o espaço de endereço IPv4, elimine o endereço predefinido e o tipo 10.6.0.0/16.For IPv4 address space, delete the default address and type 10.6.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.Under Subnet name, select Add subnet.
  9. Para o tipo de sub-rede SN-Workload.For Subnet name type SN-Workload.
  10. Para a gama de endereços sub-rede, tipo 10.6.0.0/24.For Subnet address range, type 10.6.0.0/24.
  11. Selecione Adicionar.Select Add.
  12. Selecione Rever + criar.Select Review + create.
  13. Selecione Criar.Select Create.

Criar a rede virtual no localCreate the on-premises virtual network

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Em Networking, selecione Rede Virtual.In Networking, select Virtual network.
  3. Para o grupo de recursos, selecione FW-Hybrid-Test.For Resource group, select FW-Hybrid-Test.
  4. Para nome, tipo VNet-OnPrem.For Name, type VNet-OnPrem.
  5. Para a Região, selecione (EUA) Leste DOS EUA.For Region, select (US) East US.
  6. Selecione Seguinte : Endereços IPSelect Next : IP Addresses
  7. Para o espaço de endereço IPv4, elimine o endereço predefinido e o tipo 192.168.0.0/16.For IPv4 address space, delete the default address and type 192.168.0.0/16.
  8. No nome da sub-rede, selecione Adicionar sub-rede.Under Subnet name, select Add subnet.
  9. Para o nome sub-rede tipo SN-Corp.For Subnet name type SN-Corp.
  10. Para a gama de endereços sub-rede, tipo 192.168.1.0/24.For Subnet address range, type 192.168.1.0/24.
  11. Selecione Adicionar.Select Add.
  12. Selecione Rever + criar.Select Review + create.
  13. Selecione Criar.Select Create.

Agora crie uma segunda sub-rede para o portal.Now create a second subnet for the gateway.

  1. Na página VNet-Onprem, selecione Subnets.On the VNet-Onprem page, select Subnets.
  2. Selecione +Sub-rede.Select +Subnet.
  3. Para nome, escreva GatewaySubnet.For Name, type GatewaySubnet.
  4. Para a gama de endereços sub-rede tipo 192.168.2.0/24.For Subnet address range type 192.168.2.0/24.
  5. Selecione OK.Select OK.

Configurar e implementar a firewallConfigure and deploy the firewall

Agora, insi(implantado a firewall na rede virtual do hub de firewall.Now deploy the firewall into the firewall hub virtual network.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.

  2. Na coluna esquerda, selecione Networking e procure e, em seguida, selecione Firewall.In the left column, select Networking, and search for and then select Firewall.

  3. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:On the Create a Firewall page, use the following table to configure the firewall:

    DefiniçãoSetting ValorValue
    SubscriçãoSubscription <your subscription>
    Grupo de recursosResource group FW-Hybrid-TestFW-Hybrid-Test
    NameName AzFW01AzFW01
    RegionRegion E.U.A. LesteEast US
    Escolher uma rede virtualChoose a virtual network Utilização existente:Use existing:
    VNet-hubVNet-hub
    Endereço IP públicoPublic IP address Adicione novo:Add new:
    fw-pip.fw-pip.
  4. Selecione Rever + criar.Select Review + create.

  5. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.Review the summary, and then select Create to create the firewall.

    Isto leva alguns minutos para ser acionado.This takes a few minutes to deploy.

  6. Após a implementação concluída, vá ao grupo de recursos FW-Hybrid-Test e selecione a firewall AzFW01.After deployment completes, go to the FW-Hybrid-Test resource group, and select the AzFW01 firewall.

  7. Anote o endereço IP privado.Note the private IP address. Vai utilizá-lo mais tarde quando criar a rota predefinida.You'll use it later when you create the default route.

Configurar regras de redeConfigure network rules

Em primeiro lugar, adicione uma regra de rede para permitir o tráfego web.First, add a network rule to allow web traffic.

  1. Na página AzFW01, Selecione Regras.On the AzFW01 page, Select Rules.
  2. Selecione o separador de recolha de regras da Rede.Select the Network rule collection tab.
  3. Selecione Adicionar a recolha de regras de rede.Select Add network rule collection.
  4. Para nome, tipo RCNet01.For Name, type RCNet01.
  5. Para prioridade, tipo 100.For Priority, type 100.
  6. Em Ação, selecione Permitir.For Action, select Allow.
  7. De acordo com as regras, para nome, escreva AllowWeb.Under Rules, for Name, type AllowWeb.
  8. Em Protocolo, selecione TCP.For Protocol, select TCP.
  9. Para o tipo de fonte, selecione endereço IP.For Source type, select IP address.
  10. Para fonte, tipo 192.168.1.0/24.For Source, type 192.168.1.0/24.
  11. Para o tipo destino, selecione endereço IP.For Destination type, select IP address.
  12. Endereço de destino, tipo 10.6.0.0/16For Destination address, type 10.6.0.0/16
  13. Para portos de destino, tipo 80.For Destination Ports, type 80.

Adicione agora uma regra para permitir o tráfego rdp.Now add a rule to allow RDP traffic.

Na segunda linha de regras, digite as seguintes informações:On the second rule row, type the following information:

  1. Nome, tipo AllowRDP.Name, type AllowRDP.
  2. Em Protocolo, selecione TCP.For Protocol, select TCP.
  3. Para o tipo de fonte, selecione endereço IP.For Source type, select IP address.
  4. Para fonte, tipo 192.168.1.0/24.For Source, type 192.168.1.0/24.
  5. Para o tipo destino, selecione endereço IP.For Destination type, select IP address.
  6. Endereço de destino, tipo 10.6.0.0/16For Destination address, type 10.6.0.0/16
  7. Para portos de destino, tipo 3389.For Destination Ports, type 3389.
  8. Selecione Adicionar.Select Add.

Criar e ligar os gateways de VPNCreate and connect the VPN gateways

O hub e as redes virtuais no local estão conectados através de gateways VPN.The hub and on-premises virtual networks are connected via VPN gateways.

Criar uma porta de entrada VPN para a rede virtual do hubCreate a VPN gateway for the hub virtual network

Agora crie a porta de entrada VPN para a rede virtual do hub.Now create the VPN gateway for the hub virtual network. As configurações rede-rede requerem um VpnType de RotaBased.Network-to-network configurations require a RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.Creating a VPN gateway can often take 45 minutes or more, depending on the selected VPN gateway SKU.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Na caixa de texto de pesquisa, escreva gateway de rede virtual.In the search text box, type virtual network gateway.
  3. Selecione o gateway de rede virtual e selecione Criar.Select Virtual network gateway, and select Create.
  4. Para nome, tipo GW-hub.For Name, type GW-hub.
  5. Para a Região, selecione a mesma região que usou anteriormente.For Region, select the same region that you used previously.
  6. Para o tipo Gateway, selecione VPN.For Gateway type, select VPN.
  7. Para o tipo VPN, selecione Route-based.For VPN type, select Route-based.
  8. Para SKU, selecione Basic.For SKU, select Basic.
  9. Para rede virtual, selecione VNet-hub.For Virtual network, select VNet-hub.
  10. Para o endereço IP público, selecione Criar novo, e digite VNet-hub-GW-pip para o nome.For Public IP address, select Create new, and type VNet-hub-GW-pip for the name.
  11. Aceite os predefinidos restantes e, em seguida, selecione Review + create.Accept the remaining defaults and then select Review + create.
  12. Reveja a configuração e, em seguida, selecione Criar.Review the configuration, then select Create.

Criar uma porta de entrada VPN para a rede virtual no localCreate a VPN gateway for the on-premises virtual network

Agora crie a porta de entrada VPN para a rede virtual no local.Now create the VPN gateway for the on-premises virtual network. As configurações rede-rede requerem um VpnType de RotaBased.Network-to-network configurations require a RouteBased VpnType. Criar um gateway de VPN, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway de VPN selecionado.Creating a VPN gateway can often take 45 minutes or more, depending on the selected VPN gateway SKU.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Na caixa de texto de pesquisa, digite gateway de rede virtual e prima Enter.In the search text box, type virtual network gateway and press Enter.
  3. Selecione o gateway de rede virtual e selecione Criar.Select Virtual network gateway, and select Create.
  4. Para nome, tipo GW-Onprem.For Name, type GW-Onprem.
  5. Para a Região, selecione a mesma região que usou anteriormente.For Region, select the same region that you used previously.
  6. Para o tipo Gateway, selecione VPN.For Gateway type, select VPN.
  7. Para o tipo VPN, selecione Route-based.For VPN type, select Route-based.
  8. Para SKU, selecione Basic.For SKU, select Basic.
  9. Para rede virtual, selecione VNet-Onprem.For Virtual network, select VNet-Onprem.
  10. Para o endereço IP público, selecione Criar novo, e digite VNet-Onprem-GW-pip para o nome.For Public IP address, select Create new, and type VNet-Onprem-GW-pip for the name.
  11. Aceite os predefinidos restantes e, em seguida, selecione Review + create.Accept the remaining defaults and then select Review + create.
  12. Reveja a configuração e, em seguida, selecione Criar.Review the configuration, then select Create.

Criar as ligações VPNCreate the VPN connections

Agora pode criar as ligações VPN entre o hub e as portas de entrada no local.Now you can create the VPN connections between the hub and on-premises gateways.

Neste passo, cria-se a ligação da rede virtual do hub à rede virtual no local.In this step, you create the connection from the hub virtual network to the on-premises virtual network. Nos exemplos, verá uma chave partilhada referenciada.You'll see a shared key referenced in the examples. Pode utilizar os seus próprios valores para a chave partilhada.You can use your own values for the shared key. Importante: a chave partilhada tem de corresponder a ambas as ligações.The important thing is that the shared key must match for both connections. A criação de uma ligação pode demorar algum tempo.Creating a connection can take a short while to complete.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway gw-hub.Open the FW-Hybrid-Test resource group and select the GW-hub gateway.
  2. Selecione Ligações na coluna esquerda.Select Connections in the left column.
  3. Selecione Adicionar.Select Add.
  4. O nome de ligação, tipo Hub-to-Onprem.The the connection name, type Hub-to-Onprem.
  5. Selecione VNet-para-VNet para o tipo de ligação.Select VNet-to-VNet for Connection type.
  6. Para o segundo gateway de rede virtual, selecione GW-Onprem.For the Second virtual network gateway, select GW-Onprem.
  7. Para tecla partilhada (PSK), escreva AzureA1b2C3.For Shared key (PSK), type AzureA1b2C3.
  8. Selecione OK.Select OK.

Crie as instalações para hub ligação de rede virtual.Create the on-premises to hub virtual network connection. Este passo é semelhante ao anterior, exceto que cria a ligação de VNet-Onprem ao VNet-hub.This step is similar to the previous one, except you create the connection from VNet-Onprem to VNet-hub. Verifique se as chaves partilhadas correspondem.Make sure the shared keys match. Após alguns minutos, estará ligado.The connection will be established after a few minutes.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione o gateway GW-Onprem.Open the FW-Hybrid-Test resource group and select the GW-Onprem gateway.
  2. Selecione Ligações na coluna esquerda.Select Connections in the left column.
  3. Selecione Adicionar.Select Add.
  4. Para o nome de ligação, digite Onprem-to-Hub.For the connection name, type Onprem-to-Hub.
  5. Selecione VNet-para-VNet para o tipo de ligação.Select VNet-to-VNet for Connection type.
  6. Para o segundo gateway de rede virtual, selecione GW-hub.For the Second virtual network gateway, select GW-hub.
  7. Para tecla partilhada (PSK), escreva AzureA1b2C3.For Shared key (PSK), type AzureA1b2C3.
  8. Selecione OK.Select OK.

Verificar a ligaçãoVerify the connection

Após cerca de cinco minutos, o estado de ambas as ligações deve ser ligado.After about five minutes or so, the status of both connections should be Connected.

Ligações de gateway

Peer the hub e falou redes virtuaisPeer the hub and spoke virtual networks

Agora, espreita o centro e fala redes virtuais.Now peer the hub and spoke virtual networks.

  1. Abra o grupo de recursos FW-Hybrid-Test e selecione a rede virtual VNet-hub.Open the FW-Hybrid-Test resource group and select the VNet-hub virtual network.

  2. Na coluna esquerda, selecione Peerings.In the left column, select Peerings.

  3. Selecione Adicionar.Select Add.

  4. Nesta rede virtual:Under This virtual network:

    Nome da definiçãoSetting name ValorValue
    Nome de link de espreitarPeering link name HubtoSpokeHubtoSpoke
    Tráfego para rede virtual remotaTraffic to remote virtual network Permitir (predefinição)Allow (default)
    Tráfego reencaminhado de rede virtual remotaTraffic forwarded from remote virtual network Permitir (predefinição)Allow (default)
    Gateway de rede virtualVirtual network gateway Use o portal desta rede virtualUse this virtual network's gateway
  5. Em rede virtual remota:Under Remote virtual network:

    Nome da definiçãoSetting name ValorValue
    Nome de link de espreitarPeering link name SpoketoHubSpoketoHub
    Modelo de implementação de rede virtualVirtual network deployment model Resource ManagerResource manager
    SubscriçãoSubscription <your subscription>
    Rede virtualVirtual network VNet-SpokeVNet-Spoke
    Tráfego para rede virtual remotaTraffic to remote virtual network Permitir (predefinição)Allow (default)
    Tráfego reencaminhado de rede virtual remotaTraffic forwarded from remote virtual network Permitir (predefinição)Allow (default)
    Gateway de rede virtualVirtual network gateway Use o portal da rede virtual remotaUse the remote virtual network's gateway
  6. Selecione Adicionar.Select Add.

    Vnet olhando

Criar as rotasCreate the routes

Em seguida, crie duas rotas:Next, create a couple routes:

  • Uma rota da sub-rede de gateway do hub para a sub-rede spoke através do endereço IP da firewallA route from the hub gateway subnet to the spoke subnet through the firewall IP address
  • Uma rota predefinida da sub-rede spoke através do endereço IP da firewallA default route from the spoke subnet through the firewall IP address
  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Na caixa de texto de pesquisa, escreva a tabela de rota e prima Enter.In the search text box, type route table and press Enter.
  3. Selecione tabela rota.Select Route table.
  4. Selecione Criar.Select Create.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.Select the FW-Hybrid-Test for the resource group.
  6. Para a Região, selecione o mesmo local que usou anteriormente.For Region, select the same location that you used previously.
  7. Para o nome, escreva UDR-Hub-Spoke.For the name, type UDR-Hub-Spoke.
  8. Selecione Rever + Criar.Select Review + Create.
  9. Selecione Criar.Select Create.
  10. Depois da tabela de rotas ser criada, selecione-a para abrir a página da tabela de rotas.After the route table is created, select it to open the route table page.
  11. Selecione Rotas na coluna esquerda.Select Routes in the left column.
  12. Selecione Adicionar.Select Add.
  13. Para o nome da rota, escreva ToSpoke.For the route name, type ToSpoke.
  14. Para o prefixo do endereço, tipo 10.6.0.0/16.For the address prefix, type 10.6.0.0/16.
  15. Para o próximo tipo de lúpulo, selecione aparelho virtual.For next hop type, select Virtual appliance.
  16. Para o próximo endereço de lúpulo, digite o endereço IP privado da firewall que notou anteriormente.For next hop address, type the firewall's private IP address that you noted earlier.
  17. Selecione OK.Select OK.

Agora associe a rota à sub-rede.Now associate the route to the subnet.

  1. Na página UDR-Hub-Spoke - Rotas, selecione Subnetas.On the UDR-Hub-Spoke - Routes page, select Subnets.
  2. Selecione Associado.Select Associate.
  3. Na rede Virtual, selecione VNet-hub.Under Virtual network, select VNet-hub.
  4. Na sub-rede, selecione GatewaySubnet.Under Subnet, select GatewaySubnet.
  5. Selecione OK.Select OK.

Agora crie a rota padrão a partir da sub-rede falada.Now create the default route from the spoke subnet.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Na caixa de texto de pesquisa, escreva a tabela de rota e prima Enter.In the search text box, type route table and press Enter.
  3. Selecione tabela rota.Select Route table.
  4. Selecione Criar.Select Create.
  5. Selecione o FW-Hybrid-Test para o grupo de recursos.Select the FW-Hybrid-Test for the resource group.
  6. Para a Região, selecione o mesmo local que usou anteriormente.For Region, select the same location that you used previously.
  7. Para o nome, escreva UDR-DG.For the name, type UDR-DG.
  8. Para a rota de gateway propagate, selecione .For Propagate gateway route, select No.
  9. Selecione Rever + Criar.Select Review + Create.
  10. Selecione Criar.Select Create.
  11. Depois da tabela de rotas ser criada, selecione-a para abrir a página da tabela de rotas.After the route table is created, select it to open the route table page.
  12. Selecione Rotas na coluna esquerda.Select Routes in the left column.
  13. Selecione Adicionar.Select Add.
  14. Para o nome da rota, escreva ToHub.For the route name, type ToHub.
  15. Para o prefixo do endereço, escreva 0.0.0.0/0.For the address prefix, type 0.0.0.0/0.
  16. Para o próximo tipo de lúpulo, selecione aparelho virtual.For next hop type, select Virtual appliance.
  17. Para o próximo endereço de lúpulo, digite o endereço IP privado da firewall que notou anteriormente.For next hop address, type the firewall's private IP address that you noted earlier.
  18. Selecione OK.Select OK.

Agora associe a rota à sub-rede.Now associate the route to the subnet.

  1. Na página UDR-DG - Rotas, selecione Subnetas.On the UDR-DG - Routes page, select Subnets.
  2. Selecione Associado.Select Associate.
  3. Na rede Virtual, selecione VNet-spoke.Under Virtual network, select VNet-spoke.
  4. Na sub-rede, selecione SN-Workload.Under Subnet, select SN-Workload.
  5. Selecione OK.Select OK.

Criar máquinas virtuaisCreate virtual machines

Agora crie a carga de trabalho falada e as máquinas virtuais no local, e coloque-as nas sub-redes apropriadas.Now create the spoke workload and on-premises virtual machines, and place them in the appropriate subnets.

Criar a máquina virtual de carga de trabalhoCreate the workload virtual machine

Crie uma máquina virtual na rede virtual falada, executando o IIS, sem endereço IP público.Create a virtual machine in the spoke virtual network, running IIS, with no public IP address.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Em Popular, selecione Windows Server 2016 Datacenter.Under Popular, select Windows Server 2016 Datacenter.
  3. Introduza estes valores para a máquina virtual:Enter these values for the virtual machine:
    • Grupo de recursos - Selecione FW-Hybrid-Test.Resource group - Select FW-Hybrid-Test.
    • Nome da máquina virtual: VM-Spoke-01.Virtual machine name: VM-Spoke-01.
    • Região - Mesma região que já foi usado anteriormente.Region - Same region that you're used previously.
    • Nome do utilizador: <type a user name> .User name: <type a user name>.
    • Senha:<type a password>Password: <type a password>
  4. Para portas de entrada pública, selecione Deixe as portas selecionadas e, em seguida, selecione HTTP (80) e RDP (3389)For Public inbound ports, select Allow selected ports, and then select HTTP (80), and RDP (3389)
  5. Selecione Seguinte:Discos.Select Next:Disks.
  6. Aceite as predefinições e selecione Seguinte: Networking.Accept the defaults and select Next: Networking.
  7. Selecione VNet-Spoke para a rede virtual e a sub-rede é SN-Workload.Select VNet-Spoke for the virtual network and the subnet is SN-Workload.
  8. Para IP público, selecione Nenhum.For Public IP, select None.
  9. Selecione Seguinte:Gestão.Select Next:Management.
  10. Para diagnósticos de arranque, Selecione Disable.For Boot diagnostics, Select Disable.
  11. Selecione Review+Create, reveja as definições na página do resumo e, em seguida, selecione Criar.Select Review+Create, review the settings on the summary page, and then select Create.

Instalar o IISInstall IIS

  1. A partir do portal Azure, abra a Cloud Shell e certifique-se de que está definida para PowerShell.From the Azure portal, open the Cloud Shell and make sure that it's set to PowerShell.

  2. Executar o seguinte comando para instalar o IIS na máquina virtual e alterar a localização se necessário:Run the following command to install IIS on the virtual machine and change the location if necessary:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Crie a máquina virtual no localCreate the on-premises virtual machine

Esta é uma máquina virtual que utiliza para ligar utilizando o Ambiente de Trabalho Remoto ao endereço IP público.This is a virtual machine that you use to connect using Remote Desktop to the public IP address. A partir daí, liga-se ao servidor no local através da firewall.From there, you then connect to the on-premises server through the firewall.

  1. A partir da página inicial do portal Azure, selecione Criar um recurso.From the Azure portal home page, select Create a resource.
  2. Em Popular, selecione Windows Server 2016 Datacenter.Under Popular, select Windows Server 2016 Datacenter.
  3. Introduza estes valores para a máquina virtual:Enter these values for the virtual machine:
    • Grupo de recursos - Selecione a existência e, em seguida, selecione FW-Hybrid-Test.Resource group - Select existing, and then select FW-Hybrid-Test.
    • Nome da máquina - virtual VM-Onprem.Virtual machine name - VM-Onprem.
    • Região - Mesma região que já foi usado anteriormente.Region - Same region that you're used previously.
    • Nome do utilizador: <type a user name> .User name: <type a user name>.
    • Senha: <type a user password> .Password: <type a user password>.
  4. Para portas de entrada pública, selecione Deixe as portas selecionadas e, em seguida, selecione RDP (3389)For Public inbound ports, select Allow selected ports, and then select RDP (3389)
  5. Selecione Seguinte:Discos.Select Next:Disks.
  6. Aceite as predefinições e selecione Seguinte:Networking.Accept the defaults and select Next:Networking.
  7. Selecione VNet-Onprem para rede virtual e a sub-rede é SN-Corp.Select VNet-Onprem for virtual network and the subnet is SN-Corp.
  8. Selecione Seguinte:Gestão.Select Next:Management.
  9. Para diagnósticos de arranque, Selecione Disable.For Boot diagnostics, Select Disable.
  10. Selecione Review+Create, reveja as definições na página do resumo e, em seguida, selecione Criar.Select Review+Create, review the settings on the summary page, and then select Create.

Testar a firewallTest the firewall

  1. Em primeiro lugar, note o endereço IP privado para a máquina virtual VM-spoke-01.First, note the private IP address for VM-spoke-01 virtual machine.

  2. No portal do Azure, ligue à máquina virtual VM-Onprem.From the Azure portal, connect to the VM-Onprem virtual machine.

  1. Abra um navegador web em VM-Onprem, e navegue para http:// <VM-spoke-01 private IP> .Open a web browser on VM-Onprem, and browse to http://<VM-spoke-01 private IP>.

    Você deve ver a página web VM-spoke-01:  VM-Spoke-01 página webYou should see the VM-spoke-01 web page: VM-Spoke-01 web page

  2. A partir da máquina virtual VM-Onprem, abra um ambiente de trabalho remoto para o VM-spoke-01 no endereço IP privado.From the VM-Onprem virtual machine, open a remote desktop to VM-spoke-01 at the private IP address.

    A sua ligação deve ter sucesso, e deve ser capaz de assinar.Your connection should succeed, and you should be able to sign in.

Então agora verificaste que as regras da firewall estão a funcionar:So now you've verified that the firewall rules are working:

  • Pode navegar no servidor web na rede virtual falada.You can browse web server on the spoke virtual network.
  • Pode ligar-se ao servidor na rede virtual falada utilizando RDP.You can connect to the server on the spoke virtual network using RDP.

Em seguida, altere a ação das coleções de regras de rede da firewall para Negar, para verificar se as regras de firewall funcionam conforme esperado.Next, change the firewall network rule collection action to Deny to verify that the firewall rules work as expected.

  1. Selecione a firewall AzFW01.Select the AzFW01 firewall.
  2. Selecione Regras.Select Rules.
  3. Selecione o separador de recolha de regras da Rede e selecione a coleção de regras RCNet01.Select the Network rule collection tab and select the RCNet01 rule collection.
  4. For Action, selecione Deny.For Action, select Deny.
  5. Selecione Guardar.Select Save.

Feche quaisquer ambientes de trabalho remotos existentes antes de testar as regras alteradas.Close any existing remote desktops before testing the changed rules. Agora execute os testes novamente.Now run the tests again. Desta vez, devem falhar todos.They should all fail this time.

Limpar os recursosClean up resources

Pode manter os recursos da firewall para o próximo tutorial. Se já não precisar dos mesmos, elimine o grupo de recursos FW-Hybrid-Test para eliminar todos os recursos relacionados com a firewall.You can keep your firewall resources for the next tutorial, or if no longer needed, delete the FW-Hybrid-Test resource group to delete all firewall-related resources.

Passos seguintesNext steps

Em seguida, pode monitorizar os registos do Azure Firewall.Next, you can monitor the Azure Firewall logs.