Udostępnij przez

Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu witryny Azure Portal

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Za pomocą usługi Azure Firewall można kontrolować dostęp sieciowy w sieci hybrydowej przy użyciu reguł definiujących dozwolony i blokowany ruch sieciowy.

W tym artykule utworzysz trzy sieci wirtualne:

  • VNet-Hub: zapora znajduje się w tej sieci wirtualnej.
  • VNet-Spoke: Sieć wirtualna typu spoke reprezentuje obciążenie znajdujące się na platformie Azure.
  • VNet-Onprem: lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można nawiązać z nim połączenie przy użyciu połączenia wirtualnej sieci prywatnej (VPN) lub połączenia usługi Azure ExpressRoute. Dla uproszczenia w tym artykule jest używane połączenie bramy sieci VPN, a sieć wirtualna zlokalizowana na platformie Azure reprezentuje sieć lokalną.

Diagram przedstawiający zaporę w sieci hybrydowej.

Jeśli zamiast tego chcesz użyć programu Azure PowerShell do wykonania procedur opisanych w tym artykule, zobacz Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu programu Azure PowerShell.

Note

W tym artykule użyto klasycznych reguł usługi Azure Firewall do zarządzania zaporą. Preferowaną metodą jest użycie zasad usługi Azure Firewall Manager. Aby wykonać tę procedurę przy użyciu zasad usługi Azure Firewall Manager, zobacz Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall oraz zasad w sieci hybrydowej przy użyciu witryny Azure Portal.

Prerequisites

Sieć hybrydowa używa modelu architektury piasty i szprych do kierowania ruchu między sieciami wirtualnymi platformy Azure i sieciami lokalnymi. Architektura piasty i szprych ma następujące wymagania:

  • Ustaw opcję Użyj bramy tej sieci wirtualnej lub serwera tras przy peeringu VNet-Hub z VNet-Spoke. W architekturze sieci w topologii gwiazdy, tranzyt bramy umożliwia sieciom wirtualnym korzystanie z bramy sieci VPN w koncentratorze, zamiast wdrażania bram sieci VPN w każdej sieci wirtualnej.

    Dodatkowo, trasy do sieci wirtualnych połączonych przez bramę lub do lokalnych sieci firmowych są automatycznie propagowane do tabel routingu dla równorzędnych sieci wirtualnych poprzez tranzyt bramowy. Aby uzyskać więcej informacji, zobacz Konfigurowanie przekazywania pakietów bramy VPN dla peeringu sieci wirtualnych.

  • Ustaw opcję Użyj bram zdalnej sieci wirtualnej lub serwera tras przy połączeniu VNet-Spoke z VNet-Hub. Jeśli ustawiono opcję Użyj bram zdalnej sieci wirtualnej lub serwera tras oraz użyj bramy tej sieci wirtualnej lub serwera tras w zdalnym peeringu, sieć wirtualna szprychy wykorzystuje bramy zdalnej sieci wirtualnej do przesyłania.

  • Aby kierować ruch podsieci szprych przez zaporę koncentratora, możesz użyć trasy zdefiniowanej przez użytkownika (UDR), która wskazuje na zaporę, przy wyłączonej opcji propagacji tras przez bramę sieci wirtualnej. Wyłączenie tej opcji uniemożliwia dystrybucję tras do podsieci szprychowych, więc nauczone trasy nie mogą powodować konfliktu z trasą zdefiniowaną przez użytkownika (UDR). Jeśli chcesz zachować włączoną propagację tras bramy sieci wirtualnej, upewnij się, że zdefiniowano określone trasy do zapory, aby zastąpić trasy publikowane ze środowiska lokalnego za pośrednictwem Protokołu Bramy Granicznej (BGP).

  • Skonfiguruj trasę zdefiniowaną przez użytkownika w podsieci bramy piasty, która wskazuje adres IP zapory jako następny przeskok do sieci szprych. W podsieci usługi Azure Firewall nie jest wymagana trasa zdefiniowana przez użytkownika (UDR), ponieważ Firewall sam uczy się tras za pomocą protokołu BGP.

W sekcji Tworzenie tras w dalszej części tego artykułu pokazano, jak utworzyć te trasy.

Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli podsieć AzureFirewallSubnet pozna domyślną trasę do sieci lokalnej za pośrednictwem protokołu BGP, musisz ją zastąpić trasą zdefiniowaną przez użytkownika (UDR) 0.0.0.0/0 i ustawić wartość NextHopType jako Internet, aby utrzymać bezpośrednią łączność z Internetem.

Note

Usługę Azure Firewall można skonfigurować tak, aby obsługiwała wymuszone tunelowanie. Aby uzyskać więcej informacji, zobacz Wymuszone tunelowanie usługi Azure Firewall.

Ruch między bezpośrednio połączonymi sieciami wirtualnymi jest kierowany bezpośrednio, nawet jeśli trasa definiowana przez użytkownika (UDR) wskazuje usługę Azure Firewall jako bramę domyślną. Aby wysłać ruch między podsieciami do zapory w tym scenariuszu, trasa definiowana przez użytkownika (TDZ) musi zawierać prefiks sieciowy docelowej podsieci jawnie dla obu podsieci.

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Tworzenie sieci wirtualnej koncentratora zapory

Najpierw utwórz grupę zasobów, aby zawierała zasoby:

  1. Zaloguj się do witryny Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy>zasobów Utwórz.
  3. W polu Subskrypcja wybierz swoją subskrypcję.
  4. W Grupa zasobów wprowadź RG-fw-hybrid-test.
  5. W obszarze Region wybierz region. Wszystkie utworzone później zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz pozycję Recenzja i Utwórz.
  7. Wybierz Utwórz.

Teraz utwórz sieć wirtualną.

Note

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź wartość sieć wirtualna.
  3. Wybierz pozycję Sieć wirtualna, a następnie wybierz pozycję Utwórz.
  4. W sekcji Grupa zasobów wybierz pozycję RG-fw-hybrid-test.
  5. W polu Nazwa sieci wirtualnej wprowadź wartość VNet-Hub.
  6. W obszarze Region wybierz wcześniej użyty region.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W polu Przestrzeń adresowa IPv4 usuń adres domyślny i wprowadź wartość 10.5.0.0/16.
  10. W obszarze Podsieci usuń domyślną podsieć.
  11. Wybierz pozycję Dodaj podsieć.
  12. Na stronie Dodawanie podsieci w polu Szablon podsieci wybierz pozycję Azure Firewall.
  13. Wybierz Dodaj.

Utwórz drugą podsieć dla bramy:

  1. Wybierz pozycję Dodaj podsieć.
  2. W polu Szablon podsieci wybierz pozycję Brama sieci wirtualnej.
  3. W polu Adres początkowy zaakceptuj wartość domyślną 10.5.1.0.
  4. W polu Rozmiar podsieci zaakceptuj wartość domyślną /27.
  5. Wybierz Dodaj.
  6. Wybierz opcję Recenzja i utwórz.
  7. Wybierz Utwórz.

Utwórz połączoną sieć wirtualną

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź wartość sieć wirtualna.
  3. Wybierz pozycję Sieć wirtualna, a następnie wybierz pozycję Utwórz.
  4. W sekcji Grupa zasobów wybierz pozycję RG-fw-hybrid-test.
  5. W polu Nazwa wprowadź wartość VNet-Spoke.
  6. W obszarze Region wybierz wcześniej użyty region.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W polu Przestrzeń adresowa IPv4 usuń adres domyślny i wprowadź wartość 10.6.0.0/16.
  10. W obszarze Podsieci usuń domyślną podsieć.
  11. Wybierz pozycję Dodaj podsieć.
  12. W polu Nazwa wprowadź SN-Workload.
  13. W polu Adres początkowy zaakceptuj wartość domyślną 10.6.0.0.
  14. W polu Rozmiar podsieci zaakceptuj wartość domyślną /24.
  15. Wybierz Dodaj.
  16. Wybierz opcję Recenzja i utwórz.
  17. Wybierz Utwórz.

Tworzenie lokalnej sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź wartość sieć wirtualna.
  3. Wybierz pozycję Sieć wirtualna, a następnie wybierz pozycję Utwórz.
  4. W sekcji Grupa zasobów wybierz pozycję RG-fw-hybrid-test.
  5. W polu Nazwa wprowadź VNet-Onprem.
  6. W obszarze Region wybierz wcześniej użyty region.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W polu Przestrzeń adresowa IPv4 usuń adres domyślny i wprowadź wartość 192.168.0.0/16.
  10. W obszarze Podsieci usuń domyślną podsieć.
  11. Wybierz pozycję Dodaj podsieć.
  12. W polu Nazwa wprowadź SN-Corp.
  13. W polu Adres początkowy zaakceptuj wartość domyślną 192.168.0.0.
  14. W polu Rozmiar podsieci zaakceptuj wartość domyślną /24.
  15. Wybierz Dodaj.

Teraz utwórz drugą podsieć dla bramy:

  1. Wybierz pozycję Dodaj podsieć.
  2. W polu Szablon podsieci wybierz pozycję Brama sieci wirtualnej.
  3. W polu Adres początkowy zaakceptuj wartość domyślną 192.168.1.0.
  4. W polu Rozmiar podsieci zaakceptuj wartość domyślną /27.
  5. Wybierz Dodaj.
  6. Wybierz opcję Recenzja i utwórz.
  7. Wybierz Utwórz.

Konfigurowanie i wdrażanie zapory

Wdróż zaporę w sieci wirtualnej koncentratora zapory:

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W polu wyszukiwania wprowadź firewall.

  3. Wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory skorzystaj z poniższej tabeli, aby skonfigurować zaporę.

    Setting Value
    Subscription Wybierz swoją subskrypcję.
    Grupa zasobów Wprowadź RG-fw-hybrid-test.
    Name Wprowadź AzFW01.
    Region Wybierz wcześniej użyty region.
    SKU zapory ogniowej Wybierz opcję Standardowa.
    Zarządzanie zaporą Wybierz Użyj reguł zapory (klasycznych), aby zarządzać tą zaporą.
    Wybieranie sieci wirtualnej Wybierz Użyj istniejącej>VNet-Hub.
    Publiczny adres IP Wybierz Dodaj nowy>fw-pip.

  5. Wybierz opcję Recenzja i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie zapory trwa kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-fw-hybrid-test i wybierz zaporę AzFW01 .

  8. Zanotuj prywatny adres IP. Będzie ona używana później podczas tworzenia trasy domyślnej.

Konfigurowanie reguł sieci

Najpierw dodaj regułę sieci, aby zezwolić na ruch internetowy:

  1. Na stronie AzFW01 wybierz pozycję Reguły (klasyczne)..
  2. Wybierz kartę Kolekcja reguł sieciowych.
  3. Wybierz pozycję Dodaj kolekcję reguł sieciowych.
  4. W polu Nazwa wprowadź RCNet01.
  5. W polu Priorytet wprowadź wartość 100.
  6. W obszarze Akcja kolekcji reguł wybierz Zezwalaj.
  7. W obszarze Reguły adresy IP, dla Nazwa, wprowadź AllowWeb.
  8. W polu Protokół wybierz TCP.
  9. W polu Typ źródła wybierz pozycję Adres IP.
  10. W polu Źródło wprowadź adres 192.168.0.0/24.
  11. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  12. W polu Adres docelowy wprowadź wartość 10.6.0.0/16.
  13. W polu Porty docelowe wprowadź wartość 80.

Teraz dodaj regułę, która zezwala na ruch RDP. W drugim wierszu reguły wprowadź następujące informacje:

  1. W polu Nazwa wprowadź AllowRDP.
  2. W polu Protokół wybierz TCP.
  3. W polu Typ źródła wybierz pozycję Adres IP.
  4. W polu Źródło wprowadź adres 192.168.0.0/24.
  5. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  6. W polu Adres docelowy wprowadź wartość 10.6.0.0/16.
  7. W polu Porty docelowe wprowadź wartość 3389.
  8. Wybierz Dodaj.

Tworzenie i łączenie bram sieci VPN

Sieci wirtualne centrum i lokalne sieci są połączone za pośrednictwem bram sieci VPN.

Utwórz bramę sieci VPN dla sieci wirtualnej centrum

Utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje sieć-sieć wymagają typu VPN opartego na trasach. Tworzenie bramy sieci VPN może często potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź bramę sieci wirtualnej.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wprowadź GW-hub.
  5. W polu Region wybierz ten sam region, który był wcześniej używany.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. Dla SKU wybierz Podstawowa.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-Hub.
  10. W polu Publiczny adres IP wybierz Utwórz nowy i wprowadź nazwę VNet-Hub-GW-pip.
  11. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  12. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  13. Przejrzyj konfigurację i wybierz pozycję Utwórz.

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje sieć-sieć wymagają typu VPN opartego na trasach. Tworzenie bramy sieci VPN może często potrwać 45 minut lub więcej, w zależności od wybranej jednostki SKU.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź bramę sieci wirtualnej.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wprowadź GW-Onprem.
  5. W polu Region wybierz ten sam region, który był wcześniej używany.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. Dla SKU wybierz Podstawowa.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-Onprem.
  10. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wprowadź nazwę VNet-Onprem-GW-pip.
  11. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  12. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  13. Przejrzyj konfigurację i wybierz pozycję Utwórz.

Tworzenie połączeń sieci VPN

Teraz możesz utworzyć połączenia sieci VPN między bramami centrum i lokalnymi.

W poniższych krokach utworzysz połączenie z sieci wirtualnej typu hub do sieci wirtualnej działającej lokalnie. W przykładach pokazano klucz współużytkowany, ale możesz użyć własnej wartości dla klucza współużytkowanego. Ważne jest, aby klucz współdzielony był zgodny dla obu połączeń. Tworzenie połączenia może nieco potrwać.

  1. Otwórz grupę zasobów RG-fw-hybrid-test i wybierz bramę gw-hub .
  2. Wybierz pozycję Połączenia w lewej kolumnie.
  3. Wybierz Dodaj.
  4. W polu nazwa połączenia wprowadź wartość Hub-to-Onprem.
  5. W polu Typ połączenia wybierz pozycję Sieć wirtualna-sieć wirtualna .
  6. Wybierz Dalej.
  7. W obszarze Pierwsza brama sieci wirtualnej wybierz GW-hub.
  8. W obszarze Druga brama sieci wirtualnej wybierz pozycję GW-Onprem.
  9. W polu Klucz wspólny (PSK) wprowadź AzureA1b2C3.
  10. Wybierz pozycję Recenzja i Utwórz.
  11. Wybierz Utwórz.

Utwórz połączenie sieci wirtualnej między środowiskiem lokalnym a hubem. Poniższe kroki są podobne do poprzednich, z wyjątkiem tego, że tworzysz połączenie z VNet-Onprem do VNet-Hub. Upewnij się, że klucze udostępnione są zgodne. Połączenie zostanie nawiązane po kilku minutach.

  1. Otwórz grupę zasobów RG-fw-hybrid-test i wybierz bramę GW-Onprem .
  2. Wybierz pozycję Połączenia w lewej kolumnie.
  3. Wybierz Dodaj.
  4. W polu na nazwę połączenia wprowadź Onprem-to-Hub.
  5. W polu Typ połączenia wybierz pozycję VNet-do-VNet.
  6. Wybierz pozycję Dalej: Ustawienia.
  7. W przypadku Pierwszej bramy sieci wirtualnej wybierz GW-Onprem.
  8. W obszarze Druga brama sieci wirtualnej wybierz pozycję GW-hub.
  9. W polu Klucz wspólny (PSK) wprowadź AzureA1b2C3.
  10. Wybierz pozycję Recenzja i Utwórz.
  11. Wybierz Utwórz.

Weryfikowanie połączeń

Po około pięciu minutach stan obu połączeń powinien mieć wartość Połączono.

Połącz sieci wirtualne centralne i peryferyjne

Teraz przyjrzyj się wirtualnym sieciom o architekturze gwiazdy.

  1. Otwórz grupę zasobów RG-fw-hybrid-test i wybierz sieć wirtualną VNet-Hub .

  2. W lewej kolumnie wybierz pozycję Komunikacje równorzędne.

  3. Wybierz Dodaj.

  4. W obszarze Ta sieć wirtualna:

    Nazwa ustawień Setting
    Nazwa łącza komunikacji równorzędnej Wprowadź HubtoSpoke.
    Ruch do zdalnej sieci wirtualnej Zaznacz Zezwól.
    Ruch przekazywany z zdalnej sieci wirtualnej Zaznacz Zezwól.
    Brama sieci wirtualnej Wybierz Użyj bramy tej sieci wirtualnej.

  5. W obszarze Zdalna sieć wirtualna:

    Nazwa ustawień Value
    Nazwa łącza komunikacji równorzędnej Wprowadź SpoketoHub.
    Model wdrażania sieci wirtualnej Wybierz pozycję Resource Manager.
    Subscription Wybierz swoją subskrypcję.
    Sieć wirtualna Wybierz VNet-Spoke.
    Ruch do zdalnej sieci wirtualnej Zaznacz Zezwól.
    Ruch przekazywany z zdalnej sieci wirtualnej Zaznacz Zezwól.
    Brama sieci wirtualnej Wybierz pozycję Użyj bramy zdalnej sieci wirtualnej.

  6. Wybierz Dodaj.

Poniższy zrzut ekranu przedstawia ustawienia używane podczas połączenia równorzędnego wirtualnych sieci typu hub-and-spoke.

Tworzenie tras

W poniższych krokach utworzysz następujące trasy:

  • Trasa z podsieci bramy koncentratora do podsieci klienta przez adres IP zapory
  • Domyślna trasa z podsieci typu 'szprycha' za pośrednictwem adresu IP zapory

Aby utworzyć trasy:

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź tabelę tras.
  3. Wybierz pozycję Tabela tras, a następnie wybierz pozycję Utwórz.
  4. Dla grupy zasobów wybierz pozycję RG-fw-hybrid-test.
  5. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  6. Wprowadź nazwę UDR-Hub-Spoke.
  7. Wybierz pozycję Recenzja i Utwórz.
  8. Wybierz Utwórz.
  9. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  10. Wybierz pozycję Trasy w lewej kolumnie.
  11. Wybierz Dodaj.
  12. W polu nazwa trasy wprowadź ToSpoke.
  13. W polu Typ docelowy wybierz pozycję Adresy IP.
  14. W polu Docelowe adresy IP/zakresy CIDR wprowadź wartość 10.6.0.0/16.
  15. Dla typu następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  16. Dla adresu następnego skoku wprowadź prywatny adres IP firewalla, który zanotowano wcześniej.
  17. Wybierz Dodaj.

Teraz skojarz trasę z podsiecią:

  1. Na stronie Trasa zdefiniowana przez użytkownika-piasta-szprycha — trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-Hub.
  4. W obszarze Podsieć wybierz pozycję GatewaySubnet.
  5. Kliknij przycisk OK.

Utwórz trasę domyślną z podsieci spoke:

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu wyszukiwania wprowadź tabelę tras.
  3. Wybierz pozycję Tabela tras, a następnie wybierz pozycję Utwórz.
  4. Dla grupy zasobów wybierz pozycję RG-fw-hybrid-test.
  5. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  6. W polu nazwy wprowadź UDR-DG.
  7. W obszarze Propagacja trasy bramy wybierz pozycję Nie.
  8. Wybierz pozycję Recenzja i Utwórz.
  9. Wybierz Utwórz.
  10. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  11. Wybierz pozycję Trasy w lewej kolumnie.
  12. Wybierz Dodaj.
  13. W polu nazwa trasy wprowadź ToHub.
  14. W polu Typ docelowy wybierz pozycję Adresy IP.
  15. W polu Docelowe adresy IP/zakresy CIDR wprowadź wartość 0.0.0.0/0.
  16. Dla typu następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  17. Dla adresu następnego skoku wprowadź prywatny adres IP firewalla, który zanotowano wcześniej.
  18. Wybierz Dodaj.

Skojarz trasę z podsiecią:

  1. Na stronie UDR-DG - Routes (Trasy) wybierz pozycję Subnets (Podsieci).
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz VNet-Spoke.
  4. W obszarze Podsieć wybierz pozycję SN-Workload.
  5. Kliknij przycisk OK.

Tworzenie maszyn wirtualnych

Utwórz obciążenie szprychy i lokalne maszyny wirtualne i umieść je w odpowiednich podsieciach.

Utwórz maszynę wirtualną obciążenia

Utwórz maszynę wirtualną w sieci wirtualnej typu spoke, która uruchamia Usługi Informacyjne Internetu (IIS) i nie posiada publicznego adresu IP.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.
  3. Wprowadź następujące wartości dla maszyny wirtualnej:
    • Grupa zasobów: wybierz RG-fw-hybrid-test.
    • Nazwa maszyny wirtualnej: Wprowadź VM-Spoke-01.
    • Region: wybierz ten sam region, który był wcześniej używany.
    • Nazwa użytkownika: wprowadź nazwę użytkownika.
    • Hasło: wprowadź hasło.
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję HTTP (80) i RDP (3389).
  5. Wybierz pozycję Dalej: dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.
  7. W przypadku sieci wirtualnej wybierz VNet-Spoke. Podsieć to SN-Workload.
  8. W obszarze Publiczny adres IP wybierz pozycję Brak.
  9. Wybierz pozycję Dalej: Zarządzanie.
  10. Wybierz pozycję Dalej: Monitorowanie.
  11. Dla Diagnostyki rozruchu wybierz Wyłącz.
  12. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Instalacja usług IIS

  1. Na portalu Azure otwórz Azure Cloud Shell i upewnij się, że jest ustawiony na PowerShell.

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej i w razie potrzeby zmienić lokalizację:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Tworzenie maszyny wirtualnej w środowisku lokalnym

Utwórz maszynę wirtualną używaną do nawiązywania połączenia za pośrednictwem dostępu zdalnego z publicznym adresem IP. Z tego miejsca możesz nawiązać połączenie z serwerem obwodowym za pośrednictwem zapory sieciowej.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2019 Datacenter.
  3. Wprowadź następujące wartości dla maszyny wirtualnej:
    • Grupa zasobów: wybierz pozycję Istniejąca, a następnie wybierz pozycję RG-fw-hybrid-test.
    • Nazwa maszyny wirtualnej: wprowadź VM-Onprem.
    • Region: wybierz ten sam region, który był wcześniej używany.
    • Nazwa użytkownika: wprowadź nazwę użytkownika.
    • Hasło: wprowadź hasło użytkownika.
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję RDP (3389).
  5. Wybierz pozycję Dalej: dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.
  7. W przypadku sieci wirtualnej wybierz pozycję VNet-Onprem. Podsieć to SN-Corp.
  8. Wybierz pozycję Dalej: Zarządzanie.
  9. Wybierz pozycję Dalej: Monitorowanie.
  10. Dla Diagnostyki rozruchu wybierz Wyłącz.
  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Note

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna (VM) jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia, z regułami wychodzącymi lub bez nich.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Testowanie zapory

  1. Zanotuj prywatny adres IP maszyny wirtualnej VM-Spoke-01 .

  2. W witrynie Azure Portal nawiąż połączenie z maszyną wirtualną VM-Onprem .

  3. Otwórz przeglądarkę internetową na VM-Onprem i przejdź do http://<VM-Spoke-01 private IP>.

    Powinna zostać otwarta strona internetowa VM-Spoke-01 .

    Zrzut ekranu przedstawiający stronę internetową dla połączeniowej maszyny wirtualnej.

  4. Z maszyny wirtualnej VM-Onprem otwórz połączenie dostępu zdalnego z maszyną wirtualną VM-Spoke-01 pod prywatnym adresem IP.

    Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się.

Po sprawdzeniu, czy reguły zapory działają, możesz:

  • Przejdź do serwera sieciowego w wirtualnej sieci typu spoke.
  • Nawiąż połączenie z serwerem w sieci wirtualnej zwanej spoke przy użyciu protokołu RDP.

Następnie zmień akcję dla kolekcji reguł sieci zapory na Odmów, aby sprawdzić, czy reguły zapory działają zgodnie z oczekiwaniami:

  1. Wybierz zaporę AzFW01 .
  2. Wybierz pozycję Reguły (klasyczne).
  3. Wybierz kartę Kolekcja reguł sieciowych i wybierz kolekcję reguł RCNet01 .
  4. W polu Akcja wybierz pozycję Odmów.
  5. Wybierz Zapisz.

Zamknij wszystkie istniejące połączenia dostępu zdalnego. Uruchom ponownie testy, aby przetestować zmienione reguły. Tym razem wszystkie powinny zakończyć się niepowodzeniem.

Uprzątnij zasoby

Możesz zachować zasoby zapory na potrzeby dalszego testowania. Jeśli nie są już potrzebne, usuń grupę zasobów RG-fw-hybrid-test , aby usunąć wszystkie zasoby związane z zaporą.

Dalsze kroki

Monitorowanie dzienników usługi Azure Firewall

  • Last updated on