Поделиться через

Руководство. Защита виртуальной сети концентратора с помощью диспетчера Брандмауэр Azure

  • Статья

Возможность контролировать доступ к сетевым ресурсам Azure при подключении локальной сети к виртуальной сети Azure для создания гибридной сети является важной частью общего плана безопасности.

С помощью Диспетчера брандмауэра Azure можно создать центральную виртуальную сеть для защиты трафика гибридной сети, направляемого на частные IP-адреса, в Azure PaaS и Интернет. Диспетчер брандмауэра Azure позволяет контролировать доступ к гибридной сети с помощью политик, которые определяют разрешенный и запрещенный сетевой трафик.

Диспетчер брандмауэра также поддерживает архитектуру защищенных виртуальных концентраторов. Сравнение таких типов архитектуры, как защищенный виртуальный концентратор и центр виртуальной сети, см. в этой статье.

В этом руководстве описано, как создать три виртуальные сети:

  • VNet-Hub — виртуальная сеть, в которой размещен брандмауэр;
  • VNet-Spoke — периферийная виртуальная сеть, которая представляет рабочую нагрузку, размещенную в Azure;
  • VNet-Onprem — локальная виртуальная сеть, которая представляет локальную среду. В фактическом развертывании его можно подключить с помощью VPN-подключения или ExpressRoute. Для простоты в этом руководстве используется подключение к шлюзу VPN, а виртуальная сеть, размещенная в Azure, представляет локальную сеть.

Hybrid network

В этом руководстве описано следующее:

  • Создание политики брандмауэра.
  • Создание виртуальных сетей
  • Настройка и развертывание брандмауэра
  • Создание и подключение шлюзов VPN
  • Настройка пиринга между центральной и периферийной виртуальными сетями
  • Создание маршрутов.
  • Создание виртуальных машин
  • тестирование брандмауэра.

Необходимые компоненты

Гибридная сеть использует "звездообразную" модель архитектуры для маршрутизации трафика между виртуальными и локальными сетями Azure. "Звездообразная" архитектура имеет указанные далее требования.

  • Настройте AllowGatewayTransit во время пиринга из концентратора виртуальной сети в периферийную виртуальную сеть. В сетевой "звездообразной" архитектуре транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети.

    Кроме того, маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям автоматически распространяются в таблицы маршрутизации для одноранговых виртуальных сетей с помощью транзита шлюза. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

  • Задайте UseRemoteGateways при пиринге из концентратора виртуальной сети в периферийную виртуальную сеть. Если задано UseRemoteGateways и на удаленном пиринге установлено AllowGatewayTransit, то для передачи данных в периферийную виртуальную сеть будут использоваться шлюзы удаленной виртуальной сети.

  • Чтобы направить трафик периферийной подсети через брандмауэр концентратора, требуется определяемый пользователем маршрут (UDR), указывающий на брандмауэр с отключенным параметром Распространение маршрутов шлюза виртуальной сети. Этот параметр запрещает распределение маршрутов между периферийными подсетями. Это предотвращает конфликт полученных маршрутов с UDR.

  • Настройте маршрут UDR в подсети шлюза центра, который должен указывать на IP-адрес брандмауэра в качестве следующего прыжка к периферийным сетям. В подсети Брандмауэра Azure не требуется указывать UDR, так как он узнает о маршрутах из BGP.

См. раздел Создание маршрутов в этом руководстве, чтобы узнать, как создаются эти маршруты.

Примечание.

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.

Брандмауэр Azure можно настроить для поддержки принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Примечание.

Трафик между виртуальными сетями с прямым пирингом передается напрямую, даже если маршрут UDR указывает на Брандмауэр Azure как шлюз по умолчанию. Чтобы маршрутизировать трафик между подсетями к брандмауэру в этом сценарии, в UDR для обеих подсетей нужно явно указать префикс целевой подсети.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание политики брандмауэра

  1. Войдите на портал Azure.

  2. На портале Azure в строке поиска введите Диспетчер брандмауэра и нажмите клавишу ВВОД.

  3. На странице диспетчера Брандмауэр Azure в разделе "Безопасность" выберите политики брандмауэра Azure.

    Screenshot showing Firewall Manager main page.

  4. Щелкните Создание политики Брандмауэра Azure.

  5. Выберите подписку, а для группы ресурсов щелкните Create new (Создать) и создайте ее с именем FW-Hybrid-Test.

  6. Введите имя политики Pol-Net01.

  7. В поле "Регион" выберите Восточная часть США.

  8. Выберите Далее: Параметры DNS.

  9. Выберите Далее : Проверка TLS

  10. Выберите Далее: Правила.

  11. Щелкните Добавить коллекцию правил.

  12. В поле Имя введите RCNet01.

  13. В поле Тип коллекции правил выберите значение Сеть.

  14. В поле Приоритет введите 100.

  15. В поле Действие выберите Разрешить.

  16. В разделе Правила в поле Имя введите AllowWeb.

  17. В поле Источник введите 192.168.1.0/24.

  18. В поле Протокол выберите TCP.

  19. В поле Порты назначения введите 80.

  20. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.

  21. В поле Пункт назначения введите 10.6.0.0/16.

  22. В следующей строке правила введите следующие сведения.

    "Имя": введите AllowRDP.
    Источник: введите 192.168.1.0/24.
    "Протокол": выберите значение TCP.
    "Порты назначения": введите 3389.
    "Тип назначения": выберите Адрес IP.
    "Пункт назначения": ведите 10.6.0.0/16.

  23. Выберите Добавить.

  24. Выберите Review + Create (Просмотреть и создать).

  25. Проверьте параметры, а затем нажмите кнопку Создать.

Создание центральной виртуальной сети с брандмауэром

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.

  3. Выберите Создать.

  4. В качестве подписки выберите свою подписку.

  5. В поле Группа ресурсов выберите FW-Hybrid-Test.

  6. В поле Имя введите VNet-Hub.

  7. В поле Страна или регион выберите Восточная часть США.

  8. Выберите Далее.

  9. В поле "Безопасность" нажмите кнопку "Далее".

  10. В поле Диапазон IPv4-адресов введите 10.5.0.0/16.

  11. В подсетях выберите значение по умолчанию.

  12. Для шаблона подсети выберите Брандмауэр Azure.

  13. Для начального адреса введите 10.5.0.0/26.

  14. Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.

  15. Выберите Review + create (Просмотреть и создать).

  16. Выберите Создать.

Добавьте другую подсеть с именем GatewaySubnet с адресным пространством 10.5.1.0/27. Эта подсеть используется для VPN-шлюза.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.
  3. Выберите Создать.
  4. В качестве подписки выберите свою подписку.
  5. В поле Группа ресурсов выберите FW-Hybrid-Test.
  6. В поле Имя введите VNet-Spoke.
  7. В поле Страна или регион выберите Восточная часть США.
  8. Выберите Далее.
  9. На странице "Безопасность" нажмите кнопку "Далее".
  10. Выберите Далее: IP-адреса.
  11. В поле Диапазон IPv4-адресов введите 10.6.0.0/16.
  12. В подсетях выберите значение по умолчанию.
  13. Измените имя на SN-Workload.
  14. Для начального адреса введите 10.6.0.0/24.
  15. Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.
  16. Выберите Review + create (Просмотреть и создать).
  17. Выберите Создать.

Создание локальной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите пункт Виртуальная сеть, а затем выберите соответствующую виртуальную сеть.

  3. Выберите Создать.

  4. В качестве подписки выберите свою подписку.

  5. В поле Группа ресурсов выберите FW-Hybrid-Test.

  6. Для имени виртуальной сети введите VNet-OnPrem.

  7. В поле Страна или регион выберите Восточная часть США.

  8. Выберите Далее.

  9. На странице "Безопасность" нажмите кнопку "Далее".

  10. В поле Диапазон IPv4-адресов введите 192.168.0.0/16.

  11. В подсетях выберите значение по умолчанию.

  12. Измените имя на SN-Corp.

  13. Для начального адреса введите 192.168.1.0/24.

  14. Оставьте значения по умолчанию для других параметров и нажмите кнопку Сохранить.

  15. Выберите " Добавить подсеть".

  16. Для шаблона подсети выберите шлюз виртуальная сеть.

  17. Для начального типа адреса 192.168.2.0/27.

  18. Выберите Добавить.

  19. Выберите Review + create (Просмотреть и создать).

  20. Выберите Создать.

Настройка и развертывание брандмауэра

Если с концентратором связаны политики безопасности, он называется центральной виртуальной сетью.

Преобразуйте виртуальную сеть VNet-Hub в центральную виртуальную сеть и защитите ее с помощью Брандмауэра Azure.

  1. На портале Azure в строке поиска введите Диспетчер брандмауэра и нажмите клавишу ВВОД.

  2. В правой области выберите "Обзор".

  3. На странице Диспетчер брандмауэра Azure в разделе Add security to virtual networks (Усиление безопасности виртуальных сетей) щелкните View hub virtual networks (Просмотр центральной виртуальной сети).

  4. В разделе Виртуальные сети установите флажок VNet-hub.

  5. Выберите Управление безопасностью, а затем Deploy a Firewall with Firewall Policy (Развернуть брандмауэр с политикой брандмауэра).

  6. На странице "Преобразование виртуальных сетей" в Брандмауэр Azure уровне выберите "Премиум". В разделе "Политика брандмауэра" выберите поле проверка для Pol-Net01.

  7. Выберите Далее: Проверить и подтвердить

  8. Проверьте параметры, а затем нажмите кнопку Подтвердить.

    Развертывание занимает несколько минут.

  9. По завершении развертывания перейдите в группу ресурсов FW-Hybrid-Test и выберите брандмауэр.

  10. Запишите частный IP-адрес брандмауэра на странице Обзор. Вы используете его позже при создании маршрута по умолчанию.

Создание и подключение шлюзов VPN

Центральная и локальная виртуальные сети подключены друг к другу с помощью VPN-шлюзов.

Создание VPN-шлюза в центральной виртуальной сети

Теперь создайте VPN-шлюз в центральной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-hub.
  5. В поле Регион выберите значение (США) Восточная часть США.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. Для SKU выберите VpnGw2.
  9. Для создания выберите "Поколение2".
  10. В поле Виртуальная сеть выберите VNet-hub.
  11. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-hub-GW-pip.
  12. Для включения активно-активного режима выберите "Отключено".
  13. Примите другие значения по умолчанию и выберите Просмотр и создание.
  14. Проверьте конфигурацию и щелкните Создать.

Создание VPN-шлюза для локальной виртуальной сети

Теперь создайте VPN-шлюз для локальной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-Onprem.
  5. В поле Регион выберите значение (США) Восточная часть США.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. Для SKU выберите VpnGw2.
  9. Для создания выберите "Поколение2".
  10. В поле Виртуальная сеть выберите VNet-OnPrem.
  11. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-Onprem-GW-pip.
  12. Для включения активно-активного режима выберите "Отключено".
  13. Примите другие значения по умолчанию и выберите Просмотр и создание.
  14. Проверьте конфигурацию и щелкните Создать.

Создание VPN-подключений

Теперь можно создать VPN-подключения между центральным и локальным шлюзами.

На этом этапе вы создадите подключение между центральной и локальной виртуальными сетями. Общий ключ ссылается в примерах. Можно использовать собственные значения для общего ключа. Важно, чтобы общий ключ в обоих подключениях был одинаковым. Создание подключения может занять некоторое время.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-hub.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Hub-to-Onprem.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. Нажмите кнопку "Далее" — Параметры.
  7. Для первого шлюза виртуальной сети выберите GW-hub.
  8. В поле Шлюз второй виртуальной сети выберите GW-Onprem.
  9. В поле Общий ключ (PSK) введите AzureA1b2C3.
  10. Выберите Review + create (Просмотреть и создать).
  11. Выберите Создать.

Создайте подключение между локальной и центральной виртуальными сетями. Этот шаг похож на предыдущий, за исключением того, что вы создаете подключение из VNet-Onprem к VNet-hub. Убедитесь, что общие ключи совпадают. Подключение установится через несколько минут.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-Onprem.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Onprem-to-Hub.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. В поле Шлюз второй виртуальной сети выберите GW-hub.
  7. В поле Общий ключ (PSK) введите AzureA1b2C3.
  8. Нажмите ОК.

Проверка подключения

По истечении примерно пяти минут для обоих подключений должно отобразиться состояние Подключено.

Screenshot showing the vpn gateway connections.

Настройка пиринга между центральной и периферийной виртуальными сетями

Теперь создайте пиринговое подключение между центральной и периферийной виртуальными сетями.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите виртуальную сеть VNet-hub.

  2. В левой колонке щелкните Пиринги.

  3. Выберите Добавить.

  4. В разделе Эта виртуальная сеть:

    Имя настройки Значение
    Имя пиринговой связи HubtoSpoke
    Разрешить трафик удаленной виртуальной сети выбрано
    Разрешить трафик, переадресованный из удаленной виртуальной сети (разрешить транзит шлюза) выбрано
    Использование шлюза удаленной виртуальной сети или сервера маршрутов не выбрано

  5. В разделе Удаленная виртуальная сеть:

    Имя настройки Значение
    Имя пиринговой связи SpoketoHub
    Модель развертывания виртуальной сети Resource Manager
    Подписка <ваша подписка>
    Виртуальная сеть VNet-Spoke
    Разрешить трафик текущей виртуальной сети выбрано
    Разрешить трафик, переадресованный из текущей виртуальной сети (разрешить транзит шлюза) выбрано
    Использование текущего шлюза виртуальной сети или сервера маршрутов выбрано

  6. Выберите Добавить.

    Screenshot showing Vnet peering.

Создание маршрутов.

Создайте несколько маршрутов:

  • Маршрут от подсети шлюза центра до периферийной подсети через IP-адрес брандмауэра.
  • Маршрут по умолчанию из периферийной подсети через IP-адрес брандмауэра.
  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Выберите Создать.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Страна или регион выберите Восточная часть США.
  7. В поле "Имя" введите UDR-Hub-Spoke.
  8. Выберите Review + Create (Просмотреть и создать).
  9. Выберите Создать.
  10. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  11. В левом столбце выберите Маршруты.
  12. Выберите Добавить.
  13. В поле "Имя маршрута" введите ToSpoke.
  14. Для типа назначения выберите IP-адреса.
  15. Для диапазонов IP-адресов назначения или CIDR введите 10.6.0.0/16.
  16. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  17. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  18. Выберите Добавить.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-Hub-Spoke — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-hub.
  4. В разделе Подсеть выберите GatewaySubnet.
  5. Нажмите ОК.

Теперь создайте маршрут по умолчанию из периферийной подсети.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Выберите Создать.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Страна или регион выберите Восточная часть США.
  7. В поле "Имя" введите UDR-DG.
  8. Для параметра распространения маршрутов шлюза выберите вариант Нет.
  9. Выберите Review + create (Просмотреть и создать).
  10. Выберите Создать.
  11. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  12. В левом столбце выберите Маршруты.
  13. Выберите Добавить.
  14. В поле "Имя маршрута" введите ToHub.
  15. Для типа назначения выберите IP-адреса
  16. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.
  17. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  18. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  19. Выберите Добавить.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-DG — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-spoke.
  4. В разделе Подсеть выберите SN-Workload.
  5. Нажмите ОК.

Создание виртуальных машин

Теперь создайте виртуальные машины для периферийной рабочей нагрузки и локальной среды и поместите их в соответствующие подсети.

Создание виртуальной машины с рабочей нагрузкой

В периферийной виртуальной сети создайте виртуальную машину со службами IIS без общедоступного IP-адреса.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.

  3. Введите следующие значения для виртуальной машины:

    • В поле Группа ресурсов выберите FW-Hybrid-Test
    • Имя виртуальной машины: VM-Spoke-01
    • Регион - (США) Восточная часть США
    • Имя пользователя: введите имя пользователя
    • Пароль: введите пароль.

  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите варианты HTTP (80) и RDP (3389).

  5. Выберите Next:Disks (Далее: диски).

  6. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.

  7. Выберите виртуальную сеть VNet-Spoke и подсеть SN-Workload.

  8. Щелкните Далее: Управление.

  9. Нажмите кнопку "Далее" — мониторинг.

  10. Для параметра Диагностика загрузки выберите команду Отключить.

  11. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и нажмите кнопку Создать.

Установить IIS

  1. На портале Azure откройте Cloud Shell и убедитесь, что здесь выбран вариант PowerShell.

  2. Чтобы установить службы IIS, выполните на виртуальной машине следующие команды и измените расположение, если это необходимо:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Создание локальной виртуальной машины

Это виртуальная машина, которую вы используете для подключения к общедоступному IP-адресу по протоколу удаленного рабочего стола. Далее можно подключиться к локальному серверу за брандмауэром.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. В разделе Популярные выберите Windows Server 2019 Datacenter.

  3. Введите следующие значения для виртуальной машины:

    • Группа ресурсов. Выберите "Использовать имеющуюся", а затем — FW-Hybrid-Test
    • Имя виртуальной машины - VM-Onprem
    • Регион - (США) Восточная часть США
    • Имя пользователя: введите имя пользователя
    • Пароль: введите пароль.

  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите вариант RDP (3389).

  5. Выберите Next:Disks (Далее: диски).

  6. Примите значения по умолчанию и щелкните Далее: Сеть.

  7. Выберите виртуальную сеть VNet-Onprem и подсеть SN-Corp.

  8. Щелкните Далее: Управление.

  9. Нажмите кнопку "Далее" — мониторинг.

  10. Для параметра Диагностика загрузки выберите Отключить.

  11. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и нажмите кнопку Создать.

тестирование брандмауэра.

  1. Сначала запишите частный IP-адрес для виртуальной машины VM-Spoke-01 с ее страницы обзора.

  2. На портале Azure подключитесь к виртуальной машине VM-Onprem.

  1. Откройте веб-браузер в VM-Onprem и перейдите по адресу http://<частный IP-адрес VM-spoke-01>.

    Вы увидите веб-страницу VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. На виртуальной машине VM-Onprem подключите удаленный рабочий стол к VM-spoke-01 по частному IP-адресу.

    Должно установиться соединение, чтобы вы могли войти в систему.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • При помощи браузера можно подключиться к веб-серверу в периферийной виртуальной сети.
  • К серверу в периферийной виртуальной сети можно подключиться с помощью RDP.

Затем измените действие коллекции сетевых правил брандмауэра на Запретить, чтобы убедиться, что правила брандмауэра работают должным образом.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите политику брандмауэра Pol-Net01.
  2. В разделе Параметры выберите Rule Collections (Коллекции правил).
  3. Выберите коллекцию правил RCNet01.
  4. В поле Действие коллекции правил выберите значение Запретить.
  5. Выберите Сохранить.

Перед тестированием измененных правил в виртуальной машине VM-Onprem закройте имеющиеся удаленные рабочие столы и браузеры. После завершения обновления коллекции правил выполните тесты еще раз. На этот раз все подключения должны завершиться сбоем.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего исследования или, если они больше не нужны, удалить группу ресурсов FW-Hybrid-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Руководство. Защита виртуальной глобальной сети с помощью диспетчера Брандмауэр Azure