Distribuera och konfigurera Azure Firewall i ett hybridnätverk med hjälp av Azure-portalen

  • Artikel

När du ansluter ditt lokala nätverk till ett virtuellt Azure-nätverk för att skapa ett hybridnätverk är förmågan att styra åtkomst till dina Azure-nätverksresurser en viktig del av den övergripande säkerhetsplanen.

Du kan använda Azure Firewall för att styra nätverksåtkomsten i ett hybridnätverk med hjälp av regler som definierar tillåten och nekad nätverkstrafik.

I den här artikeln skapar du tre virtuella nätverk:

  • VNet-Hub: Brandväggen finns i det här virtuella nätverket.
  • VNet-Spoke: Det virtuella ekernätverket representerar arbetsbelastningen som finns i Azure.
  • VNet-Onprem: Det lokala virtuella nätverket representerar ett lokalt nätverk. I en faktisk distribution kan du ansluta till den med hjälp av antingen en vpn-anslutning (virtuellt privat nätverk) eller en Azure ExpressRoute-anslutning. För enkelhetens skull använder den här artikeln en VPN-gatewayanslutning, och ett Azure-lokaliserat virtuellt nätverk representerar ett lokalt nätverk.

Diagram som visar en brandvägg i ett hybridnätverk.

Om du vill använda Azure PowerShell i stället för att slutföra procedurerna i den här artikeln kan du läsa Distribuera och konfigurera Azure Firewall i ett hybridnätverk med hjälp av Azure PowerShell.

Kommentar

Den här artikeln använder klassiska Azure Firewall-regler för att hantera brandväggen. Den bästa metoden är att använda en Azure Firewall Manager-princip. Om du vill slutföra den här proceduren med hjälp av en Azure Firewall Manager-princip kan du läsa Självstudie: Distribuera och konfigurera Azure Firewall och princip i ett hybridnätverk med hjälp av Azure-portalen.

Förutsättningar

Ett hybridnätverk använder arkitekturmodellen hub-and-spoke för att dirigera trafik mellan virtuella Azure-nätverk och lokala nätverk. Hub-and-spoke-arkitekturen har följande krav:

  • Ange Använd det här virtuella nätverkets gateway eller routningsserver när du peerkopplar VNet-Hub till VNet-Spoke. I en nav-och-eker-nätverksarkitektur gör en gatewayöverföring att de virtuella ekernätverken kan dela VPN-gatewayen i hubben, i stället för att distribuera VPN-gatewayer i varje virtuellt ekernätverk.

    Dessutom sprids vägar till gatewayanslutna virtuella nätverk eller lokala nätverk automatiskt till routningstabellerna för de peerkopplade virtuella nätverken via gatewayöverföringen. Mer information finns i Konfigurera VPN-gatewayöverföring för peering för virtuella nätverk.

  • Ange Använd det fjärranslutna virtuella nätverkets gatewayer eller routningsserver när du peerar VNet-Spoke till VNet-Hub. Om Använd det virtuella fjärrnätverkets gatewayer eller routningsserver har angetts och Använda det här virtuella nätverkets gateway eller routningsserver på fjärrpeering har också angetts använder det virtuella ekernätverket gatewayer i det fjärranslutna virtuella nätverket för överföring.

  • Om du vill dirigera ekerundernätstrafiken via hubbens brandvägg kan du använda en användardefinierad väg (UDR) som pekar på brandväggen med alternativet Spridning av routning för virtuell nätverksgateway inaktiverad. Om du inaktiverar det här alternativet förhindras routningsdistribution till ekerundernäten, så inlärda vägar kan inte komma i konflikt med din UDR. Om du vill ha routningsspridningen för virtuell nätverksgateway aktiverad kontrollerar du att du definierar specifika vägar till brandväggen för att åsidosätta vägar som publiceras lokalt via Border Gateway Protocol (BGP).

  • Konfigurera en UDR på hubbgatewayens undernät som pekar på brandväggens IP-adress som nästa hopp till ekernätverken. Ingen UDR krävs i Azure Firewall-undernätet eftersom det lär sig vägar från BGP.

Avsnittet Skapa vägar senare i den här artikeln visar hur du skapar dessa vägar.

Azure Firewall måste ha direkt Internetanslutning. Om ditt AzureFirewallSubnet-undernät lär sig en standardväg till ditt lokala nätverk via BGP måste du åsidosätta den med hjälp av en 0.0.0.0/0 UDR med NextHopType värdet inställt på Internet att upprätthålla direkt internetanslutning.

Kommentar

Du kan konfigurera Azure Firewall för att stödja tvingad tunneltrafik. Mer information finns i Tvingad tunneltrafik i Azure Firewall.

Trafik mellan direkt peer-kopplade virtuella nätverk dirigeras direkt, även om en UDR pekar på Azure Firewall som standardgateway. Om du vill skicka trafik från undernät till undernät till brandväggen i det här scenariot måste en UDR innehålla målundernätsprefixet explicit i båda undernäten.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa brandväggens virtuella hubbnätverk

Skapa först resursgruppen som ska innehålla resurserna:

  1. Logga in på Azure-portalen.
  2. På startsidan för Azure-portalen väljer du Resursgrupper>Skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. För Resursgrupp anger du RG-fw-hybrid-test.
  5. För Region väljer du en region. Alla resurser som du skapar senare måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skapa nu det virtuella nätverket.

Kommentar

Storleken på AzureFirewallSubnet-undernätet är /26. Mer information om undernätets storlek finns i Vanliga frågor och svar om Azure Firewall.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du virtuellt nätverk.
  3. Välj Virtuellt nätverk och välj sedan Skapa.
  4. För Resursgrupp väljer du RG-fw-hybrid-test.
  5. Som Virtuellt nätverksnamn anger du VNet-Hub.
  6. För Region väljer du den region som du använde tidigare.
  7. Välj Nästa.
  8. På fliken Säkerhet väljer du Nästa.
  9. För IPv4-adressutrymme tar du bort standardadressen och anger 10.5.0.0/16.
  10. Under Undernät tar du bort standardundernätet.
  11. Välj Lägg till ett undernät.
  12. På sidan Lägg till ett undernät för undernätsmall väljer du Azure Firewall.
  13. Markera Lägga till.

Skapa ett andra undernät för gatewayen:

  1. Välj Lägg till ett undernät.
  2. Som undernätsmall väljer du Virtuell nätverksgateway.
  3. För Startadress accepterar du standardvärdet 10.5.1.0.
  4. För Undernätsstorlek accepterar du standardvärdet /27.
  5. Markera Lägga till.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skapa det virtuella ekernätverket

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du virtuellt nätverk.
  3. Välj Virtuellt nätverk och välj sedan Skapa.
  4. För Resursgrupp väljer du RG-fw-hybrid-test.
  5. Som Namn anger du VNet-Spoke.
  6. För Region väljer du den region som du använde tidigare.
  7. Välj Nästa.
  8. På fliken Säkerhet väljer du Nästa.
  9. För IPv4-adressutrymme tar du bort standardadressen och anger 10.6.0.0/16.
  10. Under Undernät tar du bort standardundernätet.
  11. Välj Lägg till ett undernät.
  12. Som Namn anger du SN-Workload.
  13. För Startadress accepterar du standardvärdet 10.6.0.0.
  14. För Undernätsstorlek accepterar du standardvärdet /24.
  15. Markera Lägga till.
  16. Välj Granska + skapa.
  17. Välj Skapa.

Skapa det lokala virtuella nätverket

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du virtuellt nätverk.
  3. Välj Virtuellt nätverk och välj sedan Skapa.
  4. För Resursgrupp väljer du RG-fw-hybrid-test.
  5. Som Namn anger du VNet-Onprem.
  6. För Region väljer du den region som du använde tidigare.
  7. Välj Nästa.
  8. På fliken Säkerhet väljer du Nästa.
  9. För IPv4-adressutrymme tar du bort standardadressen och anger 192.168.0.0/16.
  10. Under Undernät tar du bort standardundernätet.
  11. Välj Lägg till ett undernät.
  12. Som Namn anger du SN-Corp.
  13. För Startadress accepterar du standardvärdet 192.168.0.0.
  14. För Undernätsstorlek accepterar du standardvärdet /24.
  15. Markera Lägga till.

Skapa nu ett andra undernät för gatewayen:

  1. Välj Lägg till ett undernät.
  2. Som undernätsmall väljer du Virtuell nätverksgateway.
  3. För Startadress accepterar du standardvärdet 192.168.1.0.
  4. För Undernätsstorlek accepterar du standardvärdet /27.
  5. Markera Lägga till.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Konfigurera och distribuera brandväggen

Distribuera brandväggen till brandväggshubbens virtuella nätverk:

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. I sökrutan anger du brandvägg.

  3. Välj Brandvägg och välj sedan Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Abonnemang Välj din prenumeration.
    Resursgrupp Ange RG-fw-hybrid-test.
    Namn Ange AzFW01.
    Region Välj den region som du använde tidigare.
    Brandväggs-SKU Välj Standard.
    Brandväggshantering Välj Använd brandväggsregler (klassisk) för att hantera den här brandväggen.
    Välj ett virtuellt nätverk Välj Använd befintlig>VNet-Hub.
    Offentlig IP-adress Välj Lägg till ny>fw-pip.

  5. Välj Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Det tar några minuter att distribuera brandväggen.

  7. När distributionen är klar går du till resursgruppen RG-fw-hybrid-test och väljer AzFW01-brandväggen.

  8. Skriv ned den privata IP-adressen. Du använder den senare när du skapar standardvägen.

konfigurera nätverksregler

Lägg först till en nätverksregel för att tillåta webbtrafik:

  1. På sidan AzFW01 väljer du Regler (klassisk).
  2. Välj fliken Nätverksregelsamling .
  3. Välj Lägg till nätverksregelsamling.
  4. Som Namn anger du RCNet01.
  5. Ange 100 som Prioritet.
  6. Som Regelsamlingsåtgärd väljer du Tillåt.
  7. Under Regler IP-adresser, för Namn, anger du AllowWeb.
  8. I fältet Protokoll väljer du TCP.
  9. Som Källtyp väljer du IP-adress.
  10. För Källa anger du 192.168.0.0/24.
  11. Som Måltyp väljer du IP-adress.
  12. För Måladress anger du 10.6.0.0/16.
  13. För Målportar anger du 80.

Lägg nu till en regel för att tillåta RDP-trafik. Ange följande information på den andra regelraden:

  1. Som Namn anger du AllowRDP.
  2. I fältet Protokoll väljer du TCP.
  3. Som Källtyp väljer du IP-adress.
  4. För Källa anger du 192.168.0.0/24.
  5. Som Måltyp väljer du IP-adress.
  6. För Måladress anger du 10.6.0.0/16.
  7. För Målportar anger du 3389.
  8. Markera Lägga till.

Skapa och ansluta VPN-gatewayer

De virtuella hubbnätverken och de lokala virtuella nätverken ansluts via VPN-gatewayer.

Skapa en VPN-gateway för det virtuella hubbnätverket

Skapa VPN-gatewayen för det virtuella hubbnätverket. Nätverks-till-nätverk-konfigurationer kräver en routningsbaserad VPN-typ. Det kan ofta ta 45 minuter eller mer att skapa en VPN-gateway, beroende på vilken SKU du väljer.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du virtuell nätverksgateway.
  3. Välj Virtuell nätverksgateway och välj sedan Skapa.
  4. Som Namn anger du GW-hubb.
  5. För Region väljer du samma region som du använde tidigare.
  6. Som Gateway-typ väljer du VPN.
  7. För VPN-typ väljer du Routningsbaserad.
  8. För SKU väljer du Grundläggande.
  9. För Virtuellt nätverk väljer du VNet-Hub.
  10. För Offentlig IP-adress väljer du Skapa ny och anger VNet-Hub-GW-pip som namn.
  11. För Aktivera aktivt-aktivt läge väljer du Inaktiverad.
  12. Acceptera de återstående standardvärdena och välj sedan Granska + skapa.
  13. Granska konfigurationen och välj sedan Skapa.

Skapa en VPN-gateway för det lokala virtuella nätverket

Skapa VPN-gatewayen för det lokala virtuella nätverket. Nätverks-till-nätverk-konfigurationer kräver en routningsbaserad VPN-typ. Det kan ofta ta 45 minuter eller mer att skapa en VPN-gateway, beroende på vilken SKU du väljer.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du virtuell nätverksgateway.
  3. Välj Virtuell nätverksgateway och välj sedan Skapa.
  4. Som Namn anger du GW-Onprem.
  5. För Region väljer du samma region som du använde tidigare.
  6. Som Gateway-typ väljer du VPN.
  7. För VPN-typ väljer du Routningsbaserad.
  8. För SKU väljer du Grundläggande.
  9. För Virtuellt nätverk väljer du VNet-Onprem.
  10. För Offentlig IP-adress väljer du Skapa ny och anger VNet-Onprem-GW-pip som namn.
  11. För Aktivera aktivt-aktivt läge väljer du Inaktiverad.
  12. Acceptera de återstående standardvärdena och välj sedan Granska + skapa.
  13. Granska konfigurationen och välj sedan Skapa.

Skapa VPN-anslutningarna

Nu kan du skapa VPN-anslutningarna mellan hubben och lokala gatewayer.

I följande steg skapar du anslutningen från det virtuella hubbnätverket till det lokala virtuella nätverket. Exemplen visar en delad nyckel, men du kan använda ditt eget värde för den delade nyckeln. Det är viktigt att den delade nyckeln matchar båda anslutningarna. Att skapa en anslutning kan ta en stund att slutföra.

  1. Öppna resursgruppen RG-fw-hybrid-test och välj GW-hubb-gatewayen.
  2. Välj Anslut ions i den vänstra kolumnen.
  3. Markera Lägga till.
  4. Som anslutningsnamn anger du Hub-to-Onprem.
  5. För Anslut ionstyp väljer du VNet-till-VNet .
  6. Välj Nästa.
  7. För Första virtuella nätverksgateway väljer du GW-hubb.
  8. För Den andra virtuella nätverksgatewayen väljer du GW-Onprem.
  9. För Delad nyckel (PSK) anger du AzureA1b2C3.
  10. Välj Granska + skapa.
  11. Välj Skapa.

Skapa den virtuella nätverksanslutningen mellan den lokala miljön och hubben. Följande steg liknar de tidigare, förutom att du skapar anslutningen från VNet-Onprem till VNet-Hub. Kontrollera att de delade nycklarna matchar. Anslutningen upprättas efter några minuter.

  1. Öppna resursgruppen RG-fw-hybrid-test och välj GW-Onprem-gatewayen.
  2. Välj Anslut ions i den vänstra kolumnen.
  3. Markera Lägga till.
  4. Som anslutningsnamn anger du Onprem-to-Hub.
  5. För Anslut ionstyp väljer du VNet-till-VNet.
  6. Välj Nästa: Inställningar.
  7. För Första virtuella nätverksgateway väljer du GW-Onprem.
  8. För Den andra virtuella nätverksgatewayen väljer du GW-hubb.
  9. För Delad nyckel (PSK) anger du AzureA1b2C3.
  10. Välj Granska + skapa.
  11. Välj Skapa.

Kontrollera anslutningarna

Efter ungefär fem minuter bör statusen för båda anslutningarna Anslut.

Skärmbild som visar gatewayanslutningar.

Peera de virtuella hubb- och ekernätverken

Peer-koppla de virtuella nätverken hubb och eker:

  1. Öppna resursgruppen RG-fw-hybrid-test och välj det virtuella nätverket VNet-Hub.

  2. I den vänstra kolumnen väljer du Peerings.

  3. Markera Lägga till.

  4. Under Det här virtuella nätverket:

    Inställningsnamn Inställning
    Namn på peeringlänk Ange HubtoSpoke.
    Trafik till fjärranslutet virtuellt nätverk Markera Tillåt.
    Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk Markera Tillåt.
    Virtuell nätverksgateway Välj Använd det här virtuella nätverkets gateway.

  5. Under Fjärranslutet virtuellt nätverk:

    Inställningsnamn Värde
    Namn på peeringlänk Ange SpoketoHub.
    Distributionsmodell för virtuellt nätverk Välj Resurshanterare.
    Abonnemang Välj din prenumeration.
    Virtuellt nätverk Välj VNet-Spoke.
    Trafik till fjärranslutet virtuellt nätverk Markera Tillåt.
    Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk Markera Tillåt.
    Virtuell nätverksgateway Välj Använd det virtuella fjärrnätverkets gateway.

  6. Markera Lägga till.

Följande skärmbild visar de inställningar som ska användas när du peer-hubb och virtuella ekernätverk:

Skärmbild som visar val för peering-hubb och virtuella ekernätverk.

Skapa vägarna

I följande steg skapar du dessa vägar:

  • En väg från hubbgateway-undernätet till ekerundernätet via brandväggens IP-adress
  • En standardväg från ekerundernätet via brandväggens IP-adress

Så här skapar du vägarna:

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du routningstabell.
  3. Välj Routningstabell och välj sedan Skapa.
  4. För resursgruppen väljer du RG-fw-hybrid-test.
  5. För Region väljer du samma plats som du använde tidigare.
  6. Som namn anger du UDR-Hub-Spoke.
  7. Välj Granska + skapa.
  8. Välj Skapa.
  9. När routningstabellen har skapats väljer du den för att öppna routningstabellsidan.
  10. Välj Vägar i den vänstra kolumnen.
  11. Markera Lägga till.
  12. Ange ToSpoke som routningsnamn.
  13. Som Måltyp väljer du IP-adresser.
  14. För MÅL-IP-adresser/CIDR-intervall anger du 10.6.0.0/16.
  15. För nästa hopptyp väljer du Virtuell installation.
  16. För nästa hoppadress anger du brandväggens privata IP-adress som du antecknade tidigare.
  17. Markera Lägga till.

Associera nu vägen till undernätet:

  1. På sidan UDR-Hub-Spoke – Vägar väljer du Undernät.
  2. Välj Associera.
  3. Under Virtuellt nätverk väljer du VNet-Hub.
  4. Under Undernät väljer du GatewaySubnet.
  5. Välj OK.

Skapa standardvägen från ekerundernätet:

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. I sökrutan anger du routningstabell.
  3. Välj Routningstabell och välj sedan Skapa.
  4. För resursgruppen väljer du RG-fw-hybrid-test.
  5. För Region väljer du samma plats som du använde tidigare.
  6. Ange UDR-DG som namn.
  7. För Sprid gatewayväg väljer du Nej.
  8. Välj Granska + skapa.
  9. Välj Skapa.
  10. När routningstabellen har skapats väljer du den för att öppna routningstabellsidan.
  11. Välj Vägar i den vänstra kolumnen.
  12. Markera Lägga till.
  13. Ange ToHub som routningsnamn.
  14. Som Måltyp väljer du IP-adresser.
  15. För MÅL-IP-adresser/CIDR-intervall anger du 0.0.0.0/0.
  16. För nästa hopptyp väljer du Virtuell installation.
  17. För nästa hoppadress anger du brandväggens privata IP-adress som du antecknade tidigare.
  18. Markera Lägga till.

Associera vägen till undernätet:

  1. På sidan UDR-DG – Vägar väljer du Undernät.
  2. Välj Associera.
  3. Under Virtuellt nätverk väljer du VNet-Spoke.
  4. Under Undernät väljer du SN-Workload.
  5. Välj OK.

Skapa virtuella datorer

Skapa ekerarbetsbelastningen och lokala virtuella datorer och placera dem i lämpliga undernät.

Skapa den virtuella arbetsbelastningsdatorn

Skapa en virtuell dator i det virtuella ekernätverket som kör IIS (Internet Information Services) och inte har någon offentlig IP-adress:

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. Under Populära Marketplace-produkter väljer du Windows Server 2019 Datacenter.
  3. Ange följande värden för den virtuella datorn:
    • Resursgrupp: Välj RG-fw-hybrid-test.
    • Namn på virtuell dator: Ange VM-Spoke-01.
    • Region: Välj samma region som du använde tidigare.
    • Användarnamn: Ange ett användarnamn.
    • Lösenord: Ange ett lösenord.
  4. För Offentliga inkommande portar väljer du Tillåt valda portar och väljer sedan HTTP (80) och RDP (3389).
  5. Välj Nästa: Diskar.
  6. Acceptera standardvärdena och välj Nästa: Nätverk.
  7. För det virtuella nätverket väljer du VNet-Spoke. Undernätet är SN-Workload.
  8. För Offentlig IP väljer du Ingen.
  9. Välj Nästa: Hantering.
  10. Välj Nästa: Övervakning.
  11. För Startdiagnostik väljer du Inaktivera.
  12. Välj Granska+Skapa, granska inställningarna på sammanfattningssidan och välj sedan Skapa.

Installera IIS

  1. Öppna Azure Cloud Shell på Azure-portalen och se till att det är inställt på PowerShell.

  2. Kör följande kommando för att installera IIS på den virtuella datorn och ändra platsen om det behövs:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Skapa den lokala virtuella datorn

Skapa en virtuell dator som du använder för att ansluta via fjärråtkomst till den offentliga IP-adressen. Därifrån kan du ansluta till ekerservern via brandväggen.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.
  2. Under Populärt väljer du Windows Server 2019 Datacenter.
  3. Ange följande värden för den virtuella datorn:
    • Resursgrupp: Välj Befintlig och välj sedan RG-fw-hybrid-test.
    • Namn på virtuell dator: Ange VM-Onprem.
    • Region: Välj samma region som du använde tidigare.
    • Användarnamn: Ange ett användarnamn.
    • Lösenord: Ange ett användarlösenord.
  4. För Offentliga inkommande portar väljer du Tillåt valda portar och väljer sedan RDP (3389).
  5. Välj Nästa: Diskar.
  6. Acceptera standardvärdena och välj Nästa: Nätverk.
  7. För det virtuella nätverket väljer du VNet-Onprem. Undernätet är SN-Corp.
  8. Välj Nästa: Hantering.
  9. Välj Nästa: Övervakning.
  10. För Startdiagnostik väljer du Inaktivera.
  11. Välj Granska+Skapa, granska inställningarna på sammanfattningssidan och välj sedan Skapa.

Kommentar

Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.

Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:

  • En offentlig IP-adress tilldelas till den virtuella datorn.
  • Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
  • En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.

Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.

testa brandväggen.

  1. Observera den privata IP-adressen för den virtuella datorn VM-Spoke-01 .

  2. På Azure-portalen ansluter du till den virtuella datorn VM-Onprem .

  3. Öppna en webbläsare på VM-Onprem och bläddra till http://<VM-Spoke-01 private IP>.

    Webbsidan VM-Spoke-01 bör öppnas.

    Skärmbild som visar webbsidan för den virtuella ekerdatorn.

  4. Från den virtuella datorn VM-Onprem öppnar du en fjärråtkomstanslutning till VM-Spoke-01 på den privata IP-adressen.

    Anslutningen bör lyckas och du bör kunna logga in.

Nu när du har kontrollerat att brandväggsreglerna fungerar kan du:

  • Bläddra till webbservern i det virtuella ekernätverket.
  • Anslut till servern i det virtuella ekernätverket med hjälp av RDP.

Ändra sedan åtgärden för samlingen av brandväggsnätverksregler till Neka för att kontrollera att brandväggsreglerna fungerar som förväntat:

  1. Välj AzFW01-brandväggen.
  2. Välj Regler (klassisk).
  3. Välj fliken Nätverksregelsamling och välj regelsamlingen RCNet01 .
  4. För Åtgärd väljer du Neka.
  5. Välj Spara.

Stäng alla befintliga fjärråtkomstanslutningar. Kör testerna igen för att testa de ändrade reglerna. De bör alla misslyckas den här gången.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare testning. Om du inte längre behöver dem tar du bort resursgruppen RG-fw-hybrid-test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Övervaka Azure Firewall-loggar