Öğretici: Karma ağ Azure Güvenlik Duvarı ve ilke dağıtma ve yapılandırma Azure portal

  • Makale
  • Okumak için 14 dakika

Hibrit ağ oluşturmak için şirket içi ağına bir Azure sanal ağına bağsanız, Azure ağ kaynaklarınıza erişimi denetleme özelliği genel bir güvenlik planının önemli bir bölümü olur.

İzin verilen Azure Güvenlik Duvarı reddedilen ağ trafiğini tanımlayan kuralları kullanarak karma bir ağ üzerinde ağ erişimini kontrol etmek için güvenlik duvarı ve Güvenlik Duvarı İlkesi kullanabilirsiniz.

Bu öğretici için üç sanal ağ oluşturabilirsiniz:

  • VNet-Hub - güvenlik duvarı bu sanal ağ içindedir.
  • Sanal Ağ-Bağlı - Bağlı sanal ağ, Azure'da bulunan iş yükünü temsil eder.
  • VNet-Onprem - Şirket içi sanal ağ bir şirket içi ağı temsil eder. Gerçek bir dağıtımda vpn veya ExpressRoute bağlantısıyla bağlanabilir. Kolaylık olması için bu öğreticide VPN ağ geçidi bağlantısı kullanılır ve şirket içi ağı temsil etmek için Azure'da bulunan bir sanal ağ kullanılır.

Hibrit ağda güvenlik duvarı

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Güvenlik duvarı hub'ı sanal ağı oluşturma
  • Bağlı sunucu sanal ağı oluşturma
  • Şirket içi sanal ağı oluşturma
  • Güvenlik duvarını ve ilkeyi yapılandırma ve dağıtma
  • VPN ağ geçitlerini oluşturma ve bağlama
  • Merkez-bağlı sunucu sanal ağlarını eşleme
  • Yolları oluşturma
  • Sanal makineleri oluşturma
  • Güvenlik duvarını test etme

Bu yordamı tamamlamak için Azure PowerShell kullanmak için bkz. Azure Güvenlik Duvarı kullanarak karma bir ağ içinde Azure PowerShell.

Önkoşullar

Hibrit ağ, Azure sanal ağları ile şirket içi ağlar arasındaki trafiği yönlendirmek için merkez-bağlı mimari modelini kullanır. Merkez-bağlı-bağlı-bağlı mimari aşağıdaki gereksinimlere sahiptir:

  • VNet-Spoke ile eşleme için Bu sanal ağın ağ geçidini veya VNet-Hub Sunucusunu kullan'a ayarlayın. Merkez-bağlı ağ mimarisinde ağ geçidi geçişleri, her bir bağlı sunucu sanal ağına VPN ağ geçitleri dağıtmak yerine, bağlı olan sanal ağların VPN ağ geçidini hub'da paylaşmasını sağlar.

    Ayrıca, ağ geçidine bağlı sanal ağlara veya şirket içi ağlara giden yollar, ağ geçidi geçişi kullanılarak eşli sanal ağların yönlendirme tablolarına otomatik olarak yayılır. Daha fazla bilgi için bkz. Sanal ağ eşlemesi için VPN ağ geçidi geçişlerini yapılandırma.

  • Sanal ağı VNet-Hub ile eşlerken uzak sanal ağın ağ geçitlerini veya VNet-Spoke Sunucusunu kullan'ı ayarlayın. Uzak sanal ağın ağ geçitlerini kullan veya Yönlendirme Sunucusu ayarlanmışsa ve Bu sanal ağın ağ geçidini veya Yönlendirme Sunucusunu uzak eşlemede kullan da ayarlanırsa, bağlı sanal ağ geçiş için uzak sanal ağın ağ geçitlerini kullanır.

  • Merkez güvenlik duvarı üzerinden bağlı alt ağ trafiğini yönlendirmek için Sanal ağ geçidi yol yayma seçeneği devre dışı bırakılmış şekilde güvenlik duvarına yönlendiren Kullanıcı Tanımlı yol (UDR) kullanabilirsiniz. Sanal ağ geçidi yol yayma devre dışı seçeneği, bağlı alt ağlara yol dağıtımını önler. Bu, öğrenilen yolların UDR'niz ile çakışmasını önler. Sanal ağ geçidi yol yayma etkin tutmak için, BGP üzerinden şirket içinde yayımlananları geçersiz kılmak için güvenlik duvarına belirli yollar tanımladığınızdan emin olun.

  • Merkez ağ geçidi alt ağın üzerinde, güvenlik duvarı IP adresini, bağlı ağlara bir sonraki atlama olarak niteleen bir UDR yapılandırın. BgP'den yolları öğrenen Azure Güvenlik Duvarı alt ağın UDR'sı gerekmez.

Bu yolların nasıl oluşturulduğunu görmek için Yolları Oluşturma bölümüne bakın.

Not

Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz BGP aracılığıyla şirket içi ağınıza yönelik varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için NextHopType değeri İnternet olarak ayarlanmış 0.0.0.0/0 UDR ile bunu geçersiz kılmanız gerekir.

Azure Güvenlik Duvarı zorlamalı tüneli destekleyecek şekilde yalıtıldığında. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı zorlamalı tünel.

Not

UDR varsayılan ağ geçidi olarak sanal ağlara yönlendirse bile doğrudan eş Azure Güvenlik Duvarı sanal ağlara giden trafik yönlendirildi. Bu senaryoda alt ağı güvenlik duvarına alt ağ trafiğine göndermek için UDR'nin hedef alt ağ ağ ön ekini her iki alt ağda da açıkça içermesi gerekir.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Güvenlik duvarı hub'ı sanal ağı oluşturma

İlk olarak, bu öğreticinin kaynaklarını içeren kaynak grubunu oluşturun:

  1. https://portal.azure.com adresinden Azure portalında oturum açın.
  2. Giriş Azure portal Kaynak grupları Ekle'yi > seçin.
  3. Abonelik bölümünde aboneliğinizi seçin.
  4. Kaynak grubu adı için FW-Hybrid-Test yazın.
  5. Bölge için (ABD) seçeneğini Doğu ABD. Daha sonra oluşturacağız tüm kaynakların aynı konumda olması gerekir.
  6. Gözden geçir + Oluştur’u seçin.
  7. Oluştur’u seçin.

Şimdi sanal ağı oluşturun:

Not

AzureFirewallSubnet alt ağının boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.
  2. Ağ'ın altında Sanal ağ'ı seçin.
  3. Oluştur’u seçin.
  4. Kaynak grubu için FW-Hybrid-Test öğesini seçin.
  5. Ad için VNet-hub yazın.
  6. Sonraki: IP Adresleri'ne seçin.
  7. IPv4 Adres alanı için varsayılan adresi silin ve 10.5.0.0/16 yazın.
  8. Alt ağ adı altında Alt ağ ekle'yi seçin.
  9. Alt ağ adı için AzureFirewallSubnet yazın. Güvenlik duvarı bu alt ağda yer alacaktır ve alt ağ adının mutlaka AzureFirewallSubnet olması gerekir.
  10. Alt ağ adres aralığı için 10.5.0.0/26 yazın.
  11. Add (Ekle) seçeneğini belirleyin.
  12. Gözden geçir ve oluştur’u seçin.
  13. Oluştur’u seçin.

Bağlı sunucu sanal ağı oluşturma

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.
  2. Ağ'da Sanal ağ'ı seçin.
  3. Kaynak grubu için FW-Hybrid-Test öğesini seçin.
  4. Ad için VNet-Spoke yazın.
  5. Bölge için (ABD) seçeneğini Doğu ABD.
  6. Sonraki: IP Adresleri'ne seçin.
  7. IPv4 adres alanı için varsayılan adresi silin ve 10.6.0.0/16 yazın.
  8. Alt ağ adı altında Alt ağ ekle'yi seçin.
  9. Alt ağ adı için SN-Workload yazın.
  10. Alt ağ adres aralığı için 10.6.0.0/24 yazın.
  11. Add (Ekle) seçeneğini belirleyin.
  12. Gözden geçir ve oluştur’u seçin.
  13. Oluştur’u seçin.

Şirket içi sanal ağı oluşturma

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.
  2. Ağ'da Sanal ağ'ı seçin.
  3. Kaynak grubu için FW-Hybrid-Test öğesini seçin.
  4. Ad için VNet-OnPrem yazın.
  5. Bölge için (ABD) seçeneğini Doğu ABD.
  6. Sonraki: IP Adresleri'ne seçin
  7. IPv4 adres alanı için varsayılan adresi silin ve 192.168.0.0/16 yazın.
  8. Alt ağ adı altında Alt ağ ekle'yi seçin.
  9. Alt ağ adı için SN-Corp yazın.
  10. Alt ağ adres aralığı için 192.168.1.0/24 yazın.
  11. Add (Ekle) seçeneğini belirleyin.
  12. Gözden geçir ve oluştur’u seçin.
  13. Oluştur’u seçin.

Şimdi ağ geçidi için ikinci bir alt ağ oluşturun.

  1. VNet-Onprem sayfasında Alt ağlar'ı seçin.
  2. +Alt Ağ'ı seçin.
  3. Ad için GatewaySubnet yazın.
  4. Alt ağ adres aralığı için 192.168.2.0/24 yazın.
  5. Tamam’ı seçin.

Güvenlik duvarını yapılandırma ve dağıtma

Şimdi güvenlik duvarını güvenlik duvarı hub'ı sanal ağına dağıtın.

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.

  2. Sol sütunda Ağ İletişimi'ne tıklayın ve ardından Güvenlik Duvarı'nı seçin.

  3. Güvenlik duvarı oluştur sayfasında aşağıdaki ayarları kullanarak güvenlik duvarını yapılandırın:

    Ayar Değer
    Abonelik <your subscription>
    Kaynak grubu FW-Hybrid-Test
    Name AzFW01
    Bölge Doğu ABD
    Güvenlik duvarı yönetimi Bu güvenlik duvarını yönetmek için Güvenlik Duvarı İlkesi kullanma
    Güvenlik duvarı ilkesi Yeni ekle:
    hybrid-test-pol
    Doğu ABD
    Bir sanal ağ seçin Var olanı kullan:
    Sanal ağ hub'ı
    Genel IP adresi Yeni ekle:
    fw-pip.

  4. Gözden geçir ve oluştur’u seçin.

  5. Özeti gözden geçirin ve oluştur'a seçerek güvenlik duvarını oluşturun.

    Bu dağıtımın birkaç dakika sürer.

  6. Dağıtım tamamlandıktan sonra FW-Hybrid-Test kaynak grubuna gidin ve AzFW01 güvenlik duvarını seçin.

  7. Özel IP adresini not edin. Varsayılan rotayı oluştururken bu adresi kullanacaksınız.

Ağ kurallarını yapılandırma

İlk olarak, web trafiğine izin vermek için bir ağ kuralı ekleyin.

  1. FW-Hybrid-Test kaynak grubundan hybrid-test-pol Güvenlik Duvarı İlkesini seçin.
  2. kuralları'ı seçin.
  3. Kural koleksiyonu ekle'yi seçin.
  4. Ad için RCNet01 yazın.
  5. Öncelik için 100 yazın.
  6. Kural toplama eylemi için İzin Ver'i seçin.
  7. Kurallar altında, Ad için AllowWeb yazın.
  8. Kaynak türü olarak IP adresi'yi seçin.
  9. Kaynak için 192.168.1.0/24 yazın.
  10. Protokol alanında TCP'yi seçin.
  11. Hedef Bağlantı Noktaları için 80 yazın.
  12. Hedef türü olarak IP adresi'yi seçin.
  13. Hedef için 10.6.0.0/16 yazın.

Şimdi RDP trafiğine izin vermek için bir kural ekleyin.

İkinci kural satırına aşağıdaki bilgileri yazın:

  1. Ad, AllowRDP yazın.
  2. Kaynak türü olarak IP adresi'yi seçin.
  3. Kaynak için 192.168.1.0/24 yazın.
  4. Protokol alanında TCP'yi seçin.
  5. Hedef Bağlantı Noktaları için 3389 yazın.
  6. Hedef türü olarak IP adresi'yi seçin.
  7. Hedef için 10.6.0.0/16 yazın
  8. Add (Ekle) seçeneğini belirleyin.

VPN ağ geçitlerini oluşturma ve bağlama

Merkez ve şirket içi sanal ağlar VPN ağ geçitleri üzerinden bağlanır.

Merkez sanal ağı için VPN ağ geçidi oluşturma

Şimdi merkez sanal ağı için VPN ağ geçidini oluşturun. Ağdan ağa yapılandırmalar için RouteBased VpnType gerekir. VPN ağ geçidinin oluşturulması, seçili VPN ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.
  2. Arama metin kutusuna sanal ağ geçidi yazın.
  3. Sanal ağ geçidi'ni seçin ve Oluştur'a seçin.
  4. Ad için GW-hub yazın.
  5. Bölge için, daha önce kullanmakta olduğu bölgeyi seçin.
  6. geçidi türü için VPN'yi seçin.
  7. VPN türü olarak Rota tabanlı'ı seçin.
  8. SKU için Temel'i seçin.
  9. Sanal ağ için VNet-hub'ı seçin.
  10. Genel IP adresi için Yeni oluştur'ı seçin ve ad olarak VNet-hub-GW-pip yazın.
  11. Kalan varsayılan değerleri kabul et ve gözden geçir + oluştur'a seçin.
  12. Yapılandırmayı gözden geçirerek Oluştur'a seçin.

Şirket içi sanal ağ için VPN ağ geçidi oluşturma

Şimdi şirket içi sanal ağ için VPN ağ geçidini oluşturun. Ağdan ağa yapılandırmalar için RouteBased VpnType gerekir. VPN ağ geçidinin oluşturulması, seçili VPN ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

  1. Giriş Azure portal Kaynak oluştur'a tıklayın.
  2. Arama metin kutusuna sanal ağ geçidi yazın ve Enter tuşuna basın.
  3. Sanal ağ geçidi'ni seçin ve Oluştur'a seçin.
  4. Ad için GW-Onprem yazın.
  5. Bölge için, daha önce kullanmakta olduğu bölgeyi seçin.
  6. geçidi türü için VPN'yi seçin.
  7. VPN türü olarak Rota tabanlı'ı seçin.
  8. SKU için Temel'i seçin.
  9. Sanal ağ için VNet-Onprem öğesini seçin.
  10. Genel IP adresi için Yeni oluştur'ı seçin ve ad olarak VNet-Onprem-GW-pip yazın.
  11. Kalan varsayılan değerleri kabul et ve gözden geçir + oluştur'a seçin.
  12. Yapılandırmayı gözden geçirerek Oluştur'a seçin.

VPN bağlantılarını oluşturma

Artık merkez ile şirket içi ağ geçitleri arasında VPN bağlantıları oluşturabilirsiniz.

Bu adımda, hub sanal ağından şirket içi sanal ağa bağlantı oluşturursunuz. Örneklerde paylaşılan bir anahtar göreceksiniz. Paylaşılan anahtar için kendi değerlerinizi kullanabilirsiniz. Paylaşılan anahtarın her iki bağlantıyla da eşleşiyor olması önemlidir. Bir bağlantı oluşturmak çok zaman almaz.

  1. İlt-hibrit-test kaynak grubunu açın ve GW-hub ağ geçidini seçin.
  2. Sol sütundaki Bağlantılar ' ı seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Bağlantı adı, hub-Onpree yazın.
  5. Bağlantı türü için VNET-VNET ' i seçin.
  6. İkinci sanal ağ geçidi için GW-onpred öğesini seçin.
  7. Paylaşılan anahtar (PSK) için AzureA1b2C3 yazın.
  8. Tamam’ı seçin.

Şirket içinden hub 'a sanal ağ bağlantısını oluşturun. Bu adım öncekiyle benzerdir, çünkü VNet-Onprem sanal ağdan VNet hub 'ına bağlantı oluşturmanız gerekir. Paylaşılan anahtarların eşleştiğinden emin olun. Bağlantı birkaç dakika içerisinde kurulacaktır.

  1. ILT- hibrit-test kaynak grubunu açın ve GW-onprea Gateway ' i seçin.
  2. Sol sütundaki Bağlantılar ' ı seçin.
  3. Add (Ekle) seçeneğini belirleyin.
  4. Bağlantı adı için Onpree-hub' ı yazın.
  5. Bağlantı türü için VNET-VNET ' i seçin.
  6. İkinci sanal ağ geçidi için GW-hub' ı seçin.
  7. Paylaşılan anahtar (PSK) için AzureA1b2C3 yazın.
  8. Tamam’ı seçin.

Bağlantıyı doğrulama

Yaklaşık beş dakika sonra, her iki bağlantının da durumu bağlanmalıdır.

Ağ geçidi bağlantıları

Hub ve bağlı bileşen sanal ağlarını eşler

Artık hub ve bağlı bileşen sanal ağlarını eşler.

  1. İlt-hibrit-test kaynak grubunu açın ve VNET hub sanal ağını seçin.

  2. Sol sütunda, eşlemeler ' i seçin.

  3. Add (Ekle) seçeneğini belirleyin.

  4. Bu sanal ağ altında:

    Ayar adı Değer
    Eşleme bağlantı adı Hubtoteli
    Uzak sanal ağa trafik İzin ver (varsayılan)
    Uzak sanal ağdan iletilen trafik İzin ver (varsayılan)
    Sanal ağ geçidi Bu sanal ağın ağ geçidini kullan

  5. Uzak sanal ağ altında:

    Ayar adı Değer
    Eşleme bağlantı adı SpoketoHub
    Sanal ağ dağıtım modeli Resource Manager
    Abonelik <your subscription>
    Sanal ağ VNet-Spoke
    Uzak sanal ağa trafik İzin ver (varsayılan)
    Uzak sanal ağdan iletilen trafik İzin ver (varsayılan)
    Sanal ağ geçidi Uzak sanal ağın ağ geçidini kullan

  6. Add (Ekle) seçeneğini belirleyin.

    VNET eşlemesi

Yolları oluşturma

Şimdi birkaç yol oluşturun:

  • Güvenlik duvarı IP adresi üzerinden hub ağ geçidi alt ağından uç alt ağına giden bir yol
  • Güvenlik duvarı IP adresi üzerinden uç alt ağından gelen varsayılan yol
  1. Azure portal giriş sayfasında, kaynak oluştur' u seçin.
  2. Arama metin kutusuna yol tablosu yazın ve ENTER tuşuna basın.
  3. Yol tablosu' nu seçin.
  4. Oluştur’u seçin.
  5. Kaynak grubu için FW-karma-test ' i seçin.
  6. Bölge için, daha önce kullandığınız konumu seçin.
  7. Ad için UDR-hub-kol yazın.
  8. Gözden geçir + Oluştur’u seçin.
  9. Oluştur’u seçin.
  10. Yol tablosu oluşturulduktan sonra, yol tablosu sayfasını açmak için seçin.
  11. Sol sütundaki rotalar ' ı seçin.
  12. Add (Ekle) seçeneğini belirleyin.
  13. Yol adı için, uzak bileşene yazın.
  14. Adres ön eki için 10.6.0.0/16 yazın.
  15. Sonraki atlama türü için Sanal Gereç' ı seçin.
  16. Sonraki atlama adresi için, daha önce not ettiğiniz güvenlik duvarının özel IP adresini yazın.
  17. Tamam’ı seçin.

Şimdi rota alt ağıyla ilişkilendirin.

  1. UDR-hub-bağlı bileşen-yollar sayfasında, alt ağlar' ı seçin.
  2. İlişkilendir' i seçin.
  3. Sanal ağ altında VNET-hub' ı seçin.
  4. Alt ağ altında gatewaysubnet' i seçin.
  5. Tamam’ı seçin.

Şimdi, bağlı olan alt ağdan varsayılan yolu oluşturun.

  1. Azure portal giriş sayfasında, kaynak oluştur' u seçin.
  2. Arama metin kutusuna yol tablosu yazın ve ENTER tuşuna basın.
  3. Yol tablosu' nu seçin.
  4. Oluştur’u seçin.
  5. Kaynak grubu için FW-karma-test ' i seçin.
  6. Bölge için, daha önce kullandığınız konumu seçin.
  7. Ad için UDR-DG yazın.
  8. Ağ geçidi yolunu yayma için Hayır' ı seçin.
  9. Gözden geçir + Oluştur’u seçin.
  10. Oluştur’u seçin.
  11. Yol tablosu oluşturulduktan sonra, yol tablosu sayfasını açmak için seçin.
  12. Sol sütundaki rotalar ' ı seçin.
  13. Add (Ekle) seçeneğini belirleyin.
  14. Yol adı için, Tohub yazın.
  15. Adres ön eki için 0.0.0.0/0 yazın.
  16. Sonraki atlama türü için Sanal Gereç' ı seçin.
  17. Sonraki atlama adresi için, daha önce not ettiğiniz güvenlik duvarının özel IP adresini yazın.
  18. Tamam’ı seçin.

Şimdi rota alt ağıyla ilişkilendirin.

  1. UDR-DG-Routes sayfasında alt ağlar' ı seçin.
  2. İlişkilendir' i seçin.
  3. Sanal ağ altında, VNET-bağlı bileşen' i seçin.
  4. Alt ağ altında sn-iş yükü öğesini seçin.
  5. Tamam’ı seçin.

Sanal makineler oluşturma

Artık bağlı olan iş yükünü ve şirket içi sanal makineleri oluşturun ve uygun alt ağlara yerleştirin.

İş yükü sanal makinesi oluşturma

Genel IP adresi olmadan IIS çalıştıran, bağlı olan sanal ağda bir sanal makine oluşturun.

  1. Azure portal giriş sayfasında, kaynak oluştur' u seçin.
  2. popüler altında Windows Server 2016 veri merkezi' ni seçin.
  3. Sanal makine için şu değerleri girin:
    • Kaynak grubu - ILT-hibrit-test' i seçin.
    • Sanal makine adı: VM-ışınsal-01.
    • Bölge -daha önce kullandığınız bölge.
    • Kullanıcı adı: <type a user name> .
    • Parola: <type a password>
  4. Ortak gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver' i seçin ve ardından http (80) ve RDP (3389) öğesini seçin.
  5. İleri ' yi seçin: diskler.
  6. Varsayılanları kabul edin ve İleri ' yi seçin: ağ.
  7. Sanal ağ için VNET-ışınsal ve alt ağ sn-iş yükü' ı seçin.
  8. Genel IP için hiçbiri' ni seçin.
  9. Ileri 'yi seçin : yönetim.
  10. Önyükleme tanılaması Için devre dışı bırak' ı seçin.
  11. Gözden geçir + oluştur' u seçin, Özet sayfasında ayarları gözden geçirin ve ardından Oluştur' u seçin.

IIS yükleme

  1. Azure portal, Cloud Shell açın ve PowerShell olarak ayarlandığından emin olun.

  2. Sanal makineye IIS yüklemek ve gerekirse konumu değiştirmek için aşağıdaki komutu çalıştırın:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Şirket içi sanal makine oluşturma

Bu, Uzak Masaüstü kullanarak genel IP adresine bağlanmak için kullandığınız bir sanal makinedir. Buradan, daha sonra güvenlik duvarı aracılığıyla şirket içi sunucuya bağlanırsınız.

  1. Azure portal giriş sayfasında, kaynak oluştur' u seçin.
  2. popüler altında Windows Server 2016 veri merkezi' ni seçin.
  3. Sanal makine için şu değerleri girin:
    • Kaynak grubu -mevcut ' ı seçin ve ardından FW-karma-test' i seçin.
    • Sanal makine adı - VM-Onpred.
    • Bölge -daha önce kullandığınız bölge.
    • Kullanıcı adı: <type a user name> .
    • Parola: <type a user password> .
  4. Ortak gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver' i seçin ve ardından RDP (3389) öğesini seçin
  5. İleri ' yi seçin: diskler.
  6. Varsayılanları kabul edin ve İleri ' yi seçin: ağ.
  7. Sanal ağ için VNET-Onpred ve alt ağ sn-Corp' ı seçin.
  8. Ileri 'yi seçin : yönetim.
  9. Önyükleme tanılaması Için devre dışı bırak' ı seçin.
  10. Gözden geçir + oluştur' u seçin, Özet sayfasında ayarları gözden geçirin ve ardından Oluştur' u seçin.

Not

Azure, azure sanal makinelerine genel IP adresi atanmamış veya iç Temel sanal makinelerin arka uç havuzunda bulunan varsayılan bir giden erişim IP'Azure Load Balancer. Varsayılan giden erişim IP mekanizması, yapılandırılabilir olmayan bir giden IP adresi sağlar.

Varsayılan giden erişim hakkında daha fazla bilgi için bkz. Azure'da varsayılan giden erişim

Sanal makineye bir genel IP adresi atandığı veya sanal makine giden kuralları olan veya olmayan bir sanal makinenin arka uç havuzuna yerleştiril Standart Load Balancer varsayılan giden erişim IP'sini devre dışı bırakılır. Sanal Azure Sanal Ağ Adres Çevirisi alt ağın alt ağın bir ağ geçidi kaynağı atanırsa, varsayılan giden erişim IP'si devre dışı bırakılır.

Esnek Düzenleme modundaki Sanal Makine Ölçek kümeleri tarafından oluşturulan sanal makinelerin varsayılan giden erişimi yok.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz. Giden bağlantılar için Kaynak Ağ Adresi Çevirisi (SNAT) Kullanma.

Güvenlik duvarını test etme

  1. İlk olarak, VM-ışınsal-01 sanal makinesi IÇIN özel IP adresi ' ni aklınızda yazın.

  2. Azure portalından, VM-Onprem sanal makinesine bağlanın.

  1. VM-Onpred üzerinde bir Web tarayıcısı açın ve http://konumuna gidin <VM-spoke-01 private IP> .

    VM-ışınsal- 01 Web sayfasını görmeniz gerekir: VM-ışınsal-01 Web sayfası

  2. VM-Onpree sanal makinesinden, özel IP adresinde VM-ışınsal-01 arası uzak bir masaüstü açın.

    Bağlantınız başarılı olmalıdır ve oturum açabiliyor olmalısınız.

Artık Güvenlik Duvarı kurallarının çalıştığını doğruladınız:

  • Web sunucusuna bağlı bileşen sanal ağı üzerinde gezinebilirsiniz.
  • RDP kullanarak, bağlı olan sanal ağdaki sunucuya bağlanabilirsiniz.

Ardından, güvenlik duvarı kurallarının beklendiği gibi çalıştığını doğrulamak için güvenlik duvarı ağ kuralı koleksiyonu eylemini Reddet olarak değiştirin.

  1. Karma-test-pol güvenlik duvarı ilkesini seçin.
  2. Kural koleksiyonlarını seçin.
  3. RCNet01 kural koleksiyonunu seçin.
  4. Kural toplama eylemi için Reddet' i seçin.
  5. Kaydet’i seçin.

Değişen kuralları test etmeden önce var olan tüm uzak masaüstlerini kapatın. Şimdi testleri yeniden çalıştırın. Bu kez tümü başarısız olmalıdır.

Kaynakları temizleme

Güvenlik duvarı kaynaklarını bir sonraki öğretici için tutabilirsiniz veya artık gerekli değilse FW-Hybrid-Test kaynak grubunu silerek güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Şimdi Azure Güvenlik Duvarı günlüklerini izleyebilirsiniz.

Azure Güvenlik Duvarı 'Nı dağıtma ve yapılandırma Premium