Sdílet prostřednictvím

Kurz: Zabezpečení virtuální sítě centra pomocí Azure Firewall Manageru

  • Článek

Pokud připojíte místní síť k virtuální síti Azure a vytvoříte tak hybridní síť, možnost řídit přístup k síťovým prostředkům Azure je důležitou součástí celkového plánu zabezpečení.

Pomocí Azure Firewall Manageru můžete vytvořit virtuální síť centra pro zabezpečení hybridního síťového provozu určeného na privátní IP adresy, Azure PaaS a internet. Pomocí služby Azure Firewall Manager můžete řídit síťový přístup v hybridní síti pomocí zásad, které definují povolené a zakázané síťové přenosy.

Firewall Manager také podporuje zabezpečenou architekturu virtuálního centra. Porovnání typů architektury zabezpečeného virtuálního centra a centrální virtuální sítě najdete v tématu Jaké jsou možnosti architektury Azure Firewall Manageru?

Pro účely tohoto kurzu vytvoříte tři virtuální sítě:

  • VNet-Hub – brána firewall je v této virtuální síti.
  • VNet-Spoke – paprsková virtuální síť představuje úlohu umístěnou v Azure.
  • VNet-Onprem – místní virtuální síť představuje místní síť. Ve skutečném nasazení je možné ho připojit pomocí připojení VPN nebo ExpressRoute. Pro zjednodušení tento kurz používá připojení brány VPN a virtuální síť umístěná v Azure se používá k reprezentaci místní sítě.

Hybrid network

V tomto kurzu se naučíte:

  • Vytvoření zásad brány firewall
  • Vytvoření virtuálních sítí
  • Konfigurace a nasazení brány firewall
  • Vytvoření a propojení bran VPN
  • Vytvoření partnerského vztahu mezi hvězdicovou virtuální sítí
  • Vytvoření tras
  • Vytvoření virtuálních počítačů
  • Testovat bránu firewall

Předpoklady

Hybridní síť používá model architektury hvězdicové architektury ke směrování provozu mezi virtuálními sítěmi Azure a místními sítěmi. Hvězdicová architektura má následující požadavky:

  • Při peeringu VNet-Hubu nastavte AllowGatewayTransit na VNet-Spoke. V hvězdicové síťové architektuře umožňuje průchod bránou paprskové virtuální sítě sdílet bránu VPN v centru místo nasazení bran VPN do každé paprskové virtuální sítě.

    Kromě toho se trasy do virtuálních sítí připojených k bráně nebo místních sítí automaticky rozšíří do směrovacích tabulek pro partnerské virtuální sítě pomocí průchodu bránou. Další informace najdete v tématu Konfigurace průchodu bránou VPN pro partnerský vztah virtuálních sítí.

  • Nastavte UseRemoteGateways při partnerském vztahu VNet-Spoke k VNet-Hubu. Pokud je nastavená možnost UseRemoteGateways a u vzdáleného partnerského vztahu je nastavená také možnost AllowGatewayTransit , paprsková virtuální síť používá pro průchod brány vzdálené virtuální sítě.

  • Pokud chcete směrovat provoz podsítě paprsku přes bránu firewall centra, potřebujete trasu definovanou uživatelem(UDR), která odkazuje na bránu firewall s zakázaným nastavením šíření trasy brány virtuální sítě. Tato možnost zabraňuje distribuci směrování do podsítí paprsků. To brání tomu, aby se naučené trasy v konfliktu s trasou definovanou uživatelem.

  • Nakonfigurujte trasu definovanou uživatelem v podsíti brány centra, která odkazuje na IP adresu brány firewall jako další segment směrování do paprskových sítí. V podsíti služby Azure Firewall se nevyžaduje žádná trasa definovaná uživatelem, protože zjišťuje trasy z protokolu BGP.

Postup vytvoření těchto tras najdete v části Vytvoření pravidel v tomto kurzu.

Poznámka:

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Službu Azure Firewall je možné nakonfigurovat tak, aby podporovala vynucené tunelování. Další informace najdete v tématu Vynucené tunelování ve službě Azure Firewall.

Poznámka:

Provoz mezi přímo partnerskými virtuálními sítěmi se směruje přímo, i když trasa definovaná uživatelem odkazuje na azure Firewall jako výchozí bránu. Pokud chcete odeslat podsíť do provozu podsítě do brány firewall v tomto scénáři, musí trasu definovanou uživatelem obsahovat předponu cílové sítě podsítě explicitně v obou podsítích.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření zásad brány firewall

  1. Přihlaste se k portálu Azure.

  2. Na panelu hledání na webu Azure Portal zadejte Správce brány firewall a stiskněte Enter.

  3. Na stránce Azure Firewall Manager v části Zabezpečení vyberte zásady brány Azure Firewall.

    Screenshot showing Firewall Manager main page.

  4. Vyberte Vytvořit zásadu služby Azure Firewall.

  5. Vyberte své předplatné a pro skupinu prostředků vyberte Vytvořit novou a vytvořte skupinu prostředků s názvem FW-Hybrid-Test.

  6. Jako název zásady zadejte Pol-Net01.

  7. Jako oblast vyberte USA – východ.

  8. Vyberte Další: NASTAVENÍ DNS.

  9. Vyberte Další: Kontrola protokolu TLS

  10. Vyberte Další:Pravidla.

  11. Vyberte Přidat kolekci pravidel.

  12. Jako název zadejte RCNet01.

  13. Jako typ kolekce pravidel vyberte Síť.

  14. Jako prioritu zadejte 100.

  15. V části Akce vyberte Povolit.

  16. V části Pravidla pro název zadejte AllowWeb.

  17. Jako zdroj zadejte 192.168.1.0/24.

  18. V části Protokol vyberte TCP.

  19. Jako cílové porty zadejte 80.

  20. Jako typ cíle vyberte IP adresu.

  21. Jako cíl zadejte 10.6.0.0/16.

  22. Na dalším řádku pravidla zadejte následující informace:

    Název: typ AllowRDP
    Zdroj: typ 192.168.1.0/24.
    Protokol, vyberte TCP.
    Cílové porty, typ 3389
    Typ cíle, vyberte IP adresu.
    Jako cíl zadejte 10.6.0.0/16.

  23. Vyberte Přidat.

  24. Vyberte Zkontrolovat a vytvořit.

  25. Zkontrolujte podrobnosti a pak vyberte Vytvořit.

Vytvoření virtuální sítě centra brány firewall

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte virtuální síť a pak vyberte Virtuální síť.

  3. Vyberte Vytvořit.

  4. V části Předplatné vyberte své předplatné.

  5. Jako skupinu prostředků vyberte FW-Hybrid-Test.

  6. Jako název zadejte VNet-hub.

  7. Jako oblast vyberte USA – východ.

  8. Vyberte Další.

  9. Na kartě Zabezpečení vyberte Další.

  10. Pro adresní prostor IPv4 zadejte 10.5.0.0/16.

  11. V části Podsítě vyberte výchozí.

  12. V šabloně podsítě vyberte Azure Firewall.

  13. Jako počáteční adresu zadejte 10.5.0.0/26.

  14. Přijměte další výchozí nastavení a pak vyberte Uložit.

  15. Vyberte Zkontrolovat a vytvořit.

  16. Vyberte Vytvořit.

Přidejte další podsíť s názvem GatewaySubnet s adresními prostory 10.5.1.0/27. Tato podsíť se používá pro bránu VPN.

Vytvoření paprskové virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Vyhledejte virtuální síť a pak vyberte Virtuální síť.
  3. Vyberte Vytvořit.
  4. V části Předplatné vyberte své předplatné.
  5. Jako skupinu prostředků vyberte FW-Hybrid-Test.
  6. Jako název zadejte VNet-Spoke.
  7. Jako oblast vyberte USA – východ.
  8. Vyberte Další.
  9. Na stránce Zabezpečení vyberte Další.
  10. Vyberte Další: IP adresy.
  11. Pro adresní prostor IPv4 zadejte 10.6.0.0/16.
  12. V části Podsítě vyberte výchozí.
  13. Změňte název na SN-Workload.
  14. Jako počáteční adresu zadejte 10.6.0.0/24.
  15. Přijměte další výchozí nastavení a pak vyberte Uložit.
  16. Vyberte Zkontrolovat a vytvořit.
  17. Vyberte Vytvořit.

Vytvoření místní virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte virtuální síť a pak vyberte Virtuální síť.

  3. Vyberte Vytvořit.

  4. V části Předplatné vyberte své předplatné.

  5. Jako skupinu prostředků vyberte FW-Hybrid-Test.

  6. Jako název virtuální sítě zadejte VNet-OnPrem.

  7. Jako oblast vyberte USA – východ.

  8. Vyberte Další.

  9. Na stránce Zabezpečení vyberte Další.

  10. Pro adresní prostor IPv4 zadejte 192.168.0.0/16.

  11. V části Podsítě vyberte výchozí.

  12. Změňte název na SN-Corp.

  13. Jako počáteční adresu zadejte 192.168.1.0/24.

  14. Přijměte další výchozí nastavení a pak vyberte Uložit.

  15. Vyberte Přidat podsíť.

  16. V šabloně podsítě vyberte bránu virtuální sítě.

  17. Jako počáteční adresu zadejte 192.168.2.0/27.

  18. Vyberte Přidat.

  19. Vyberte Zkontrolovat a vytvořit.

  20. Vyberte Vytvořit.

Konfigurace a nasazení brány firewall

Pokud jsou zásady zabezpečení přidružené k centru, označuje se jako virtuální síť centra.

Převeďte virtuální síť VNet-Hub na virtuální síť centra a zabezpečte ji pomocí služby Azure Firewall.

  1. Na panelu hledání na webu Azure Portal zadejte Správce brány firewall a stiskněte Enter.

  2. V pravém podokně vyberte Přehled.

  3. Na stránce Azure Firewall Manager v části Přidat zabezpečení do virtuálních sítí vyberte Zobrazit virtuální sítě centra.

  4. V části Virtuální sítě zaškrtněte políčko pro VNet-Hub.

  5. Vyberte Spravovat zabezpečení a pak vyberte Nasadit bránu firewall se zásadami brány firewall.

  6. Na stránce Převést virtuální sítě v části Úroveň Azure Firewall vyberte Premium. V části Zásady brány firewall zaškrtněte políčko Pol-Net01.

  7. Vybrat Další: Zkontrolovat a potvrdit

  8. Zkontrolujte podrobnosti a pak vyberte Potvrdit.

    Nasazení trvá několik minut.

  9. Po dokončení nasazení přejděte do skupiny prostředků FW-Hybrid-Test a vyberte bránu firewall.

  10. Poznamenejte si privátní IP adresu brány firewall na stránce Přehled. Použijete ho později při vytváření výchozí trasy.

Vytvoření a propojení bran VPN

Rozbočovač a místní virtuální sítě jsou připojené přes brány VPN.

Vytvoření brány VPN pro virtuální síť centra

Teď vytvořte bránu VPN pro virtuální síť rozbočovače. Konfigurace typu network-to-network vyžadují typ sítě VpnType routeBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte bránu virtuální sítě a stiskněte Enter.
  3. Vyberte bránu virtuální sítě a vyberte Vytvořit.
  4. Jako název zadejte GW-hub.
  5. V oblasti vyberte USA – východ.
  6. Jako typ brány vyberte VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na směrování.
  8. V případě skladové položky vyberte VpnGw2.
  9. V případě generování vyberte Generation2 (Generace2).
  10. V případě virtuální sítě vyberte VNet-Hub.
  11. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-hub-GW-pip .
  12. Chcete-li povolit režim aktivní-aktivní, vyberte Zakázáno.
  13. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  14. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření brány VPN pro místní virtuální síť

Teď vytvořte bránu VPN pro místní virtuální síť. Konfigurace typu network-to-network vyžadují typ sítě VpnType routeBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte bránu virtuální sítě a stiskněte Enter.
  3. Vyberte bránu virtuální sítě a vyberte Vytvořit.
  4. Jako název zadejte GW-Onprem.
  5. V oblasti vyberte USA – východ.
  6. Jako typ brány vyberte VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na směrování.
  8. V případě skladové položky vyberte VpnGw2.
  9. V případě generování vyberte Generation2 (Generace2).
  10. V případě virtuální sítě vyberte VNet-Onprem.
  11. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-Onprem-GW-pip .
  12. Chcete-li povolit režim aktivní-aktivní, vyberte Zakázáno.
  13. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  14. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření připojení VPN

Teď můžete vytvořit připojení VPN mezi centrem a místními bránami.

V tomto kroku vytvoříte připojení z centrální virtuální sítě k místní virtuální síti. V příkladech se odkazuje na sdílený klíč. Pro sdílený klíč můžete použít vlastní hodnoty. Důležité je, že se sdílený klíč pro obě připojení musí shodovat. Vytvoření připojení nějakou dobu trvá.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte bránu centra GW.
  2. V levém sloupci vyberte Připojení iony.
  3. Vyberte Přidat.
  4. Jako název připojení zadejte Hub-to-Onprem.
  5. Jako typ Připojení ion vyberte VNet-to-VNet.
  6. Vyberte Další: Nastavení.
  7. Jako první bránu virtuální sítě vyberte GW-hub.
  8. Jako druhou bránu virtuální sítě vyberte GW-Onprem.
  9. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  10. Vyberte Zkontrolovat a vytvořit.
  11. Vyberte Vytvořit.

Vytvořte místní připojení k virtuální síti. Tento krok je podobný předchozímu, s výjimkou vytvoření připojení z VNet-Onprem k VNet-Hubu. Ověřte, že se sdílené klíče shodují. Připojení se vytvoří během několika minut.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte bránu GW-Onprem.
  2. V levém sloupci vyberte Připojení iony.
  3. Vyberte Přidat.
  4. Jako název připojení zadejte Onprem-to-Hub.
  5. Jako typ Připojení ion vyberte VNet-to-VNet.
  6. Jako druhou bránu virtuální sítě vyberte GW-hub.
  7. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  8. Vyberte OK.

Ověření připojení

Po přibližně pěti minutách by se měl Připojení stav obou připojení.

Screenshot showing the vpn gateway connections.

Vytvoření partnerského vztahu mezi hvězdicovou virtuální sítí

Teď na partnerském vztahu mezi virtuálními sítěmi hvězdicové sítě.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte virtuální síť VNet-Hub.

  2. V levém sloupci vyberte Partnerské vztahy.

  3. Vyberte Přidat.

  4. V části Tato virtuální síť:

    Název nastavení Hodnota
    Název odkazu peeringu HubtoSpoke
    Povolit provoz do vzdálené virtuální sítě vybráno
    Povolit přenosy přesměrované ze vzdálené virtuální sítě (povolit průchod bránou) vybráno
    Použití brány vzdálené virtuální sítě nebo směrovacího serveru nevybráno

  5. V části Vzdálená virtuální síť:

    Název nastavení Hodnota
    Název odkazu peeringu SpoketoHub
    Model nasazení virtuální sítě Správce zdrojů
    Předplatné <Vaše předplatné>
    Virtuální síť VNet-Spoke
    Povolit provoz do aktuální virtuální sítě vybráno
    Povolit přenosy přesměrované z aktuální virtuální sítě (povolit průchod bránou) vybráno
    Použít aktuální bránu virtuální sítě nebo směrovací server vybráno

  6. Vyberte Přidat.

    Screenshot showing Vnet peering.

Vytvoření tras

Dále vytvořte několik tras:

  • Trasa z podsítě brány rozbočovače do podsítě paprsku přes IP adresu brány firewall
  • Výchozí trasa z podsítě paprsku přes IP adresu brány firewall
  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte směrovací tabulku a stiskněte Enter.
  3. Vyberte Směrovací tabulka.
  4. Vyberte Vytvořit.
  5. Vyberte FW-Hybrid-Test pro skupinu prostředků.
  6. Jako oblast vyberte USA – východ.
  7. Jako název zadejte UDR-Hub-Spoke.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.
  10. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  11. V levém sloupci vyberte Trasy .
  12. Vyberte Přidat.
  13. Jako název trasy zadejte ToSpoke.
  14. Jako typ cíle vyberte IP adresy.
  15. Jako cílové IP adresy nebo rozsahy CIDR zadejte 10.6.0.0/16.
  16. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  17. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  18. Vyberte Přidat.

Teď přidružte trasu k podsíti.

  1. Na stránce Trasy definované uživatelem vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte VNet-Hub.
  4. V podsíti vyberte GatewaySubnet.
  5. Vyberte OK.

Teď vytvořte výchozí trasu z podsítě paprsku.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte směrovací tabulku a stiskněte Enter.
  3. Vyberte Směrovací tabulka.
  4. Vyberte Vytvořit.
  5. Vyberte FW-Hybrid-Test pro skupinu prostředků.
  6. Jako oblast vyberte USA – východ.
  7. Jako název zadejte UDR-DG.
  8. V případě rozšíření tras brány vyberte Ne.
  9. Vyberte Zkontrolovat a vytvořit.
  10. Vyberte Vytvořit.
  11. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  12. V levém sloupci vyberte Trasy .
  13. Vyberte Přidat.
  14. Jako název trasy zadejte ToHub.
  15. Jako typ cíle vyberte IP adresy.
  16. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.
  17. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  18. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  19. Vyberte Přidat.

Teď přidružte trasu k podsíti.

  1. Na stránce UDR-DG - Trasy vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte VNet-spoke.
  4. V podsíti vyberte SN-Workload.
  5. Vyberte OK.

Vytvoření virtuálních počítačů

Teď vytvořte paprskovou úlohu a místní virtuální počítače a umístěte je do příslušných podsítí.

Vytvoření virtuálního počítače úloh

Ve virtuální síti paprsku vytvořte virtuální počítač se spuštěnou službou IIS bez veřejné IP adresy.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. V části Oblíbené produkty Marketplace vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    • Skupina prostředků – Výběr FW-Hybrid-Test
    • Název virtuálního počítače: VM-Spoke-01
    • Region - (USA) – východ USA – východ
    • Uživatelské jméno: zadejte uživatelské jméno.
    • Heslo: zadejte heslo.

  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte HTTP (80) a RDP (3389).

  5. Vyberte Další:Disky.

  6. Přijměte výchozí hodnoty a vyberte Další: Sítě.

  7. Vyberte VNet-Spoke pro virtuální síť a podsíť je SN-Workload.

  8. Vyberte Další:Správa.

  9. Vyberte Další: Monitorování.

  10. V případě diagnostiky spouštění vyberte Zakázat.

  11. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

instalace IIS

  1. Na webu Azure Portal otevřete Cloud Shell a ujistěte se, že je nastavený na PowerShell.

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač a v případě potřeby změňte umístění:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Vytvoření místního virtuálního počítače

Jedná se o virtuální počítač, který používáte pro připojení pomocí vzdálené plochy k veřejné IP adrese. Odtud se pak připojíte k místnímu serveru přes bránu firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. V části Oblíbené vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    • Skupina prostředků – Vyberte existující a pak vyberte FW-Hybrid-Test
    • Název - virtuálního počítače VM-Onprem
    • Region - (USA) – východ USA – východ
    • Uživatelské jméno: zadejte uživatelské jméno.
    • Heslo: zadejte heslo.

  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte protokol RDP (3389).

  5. Vyberte Další:Disky.

  6. Přijměte výchozí hodnoty a vyberte Další:Sítě.

  7. Vyberte VNet-Onprem pro virtuální síť a ověřte, že podsíť je SN-Corp.

  8. Vyberte Další:Správa.

  9. Vyberte Další: Monitorování.

  10. V případě diagnostiky spouštění vyberte Zakázat.

  11. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Testovat bránu firewall

  1. Nejprve si poznamenejte privátní IP adresu virtuálního počítače VM-Spoke-01 na stránce Přehled virtuálního počítače Spoke-01.

  2. Na webu Azure Portal se připojte k virtuálnímu počítači VM-Onprem.

  1. Otevřete webový prohlížeč na virtuálním počítači-Onprem a přejděte na privátní IP> adresu http://< VM-spoke-01.

    Měla by se zobrazit webová stránka VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. Z virtuálního počítače VM-Onprem otevřete vzdálenou plochu na VM-spoke-01 na privátní IP adrese.

    Připojení by mělo proběhnout úspěšně a měli byste být schopni se přihlásit.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Webový server můžete procházet ve virtuální síti paprsku.
  • K serveru v paprskové virtuální síti se můžete připojit pomocí protokolu RDP.

Dále změňte akci kolekce pravidel sítě brány firewall na Odepřít, abyste ověřili, že pravidla brány firewall fungují podle očekávání.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte zásadu brány firewall Pol-Net01.
  2. V části Nastavení vyberte Kolekce pravidel.
  3. Vyberte kolekci pravidel RCNet01 .
  4. V případě akce kolekce pravidel vyberte Odepřít.
  5. Zvolte Uložit.

Před otestováním změněných pravidel zavřete všechny existující vzdálené plochy a prohlížeče na virtuálním počítači. Po dokončení aktualizace kolekce pravidel znovu spusťte testy. Všechny by se tentokrát neměly připojit.

Vyčištění prostředků

Prostředky brány firewall můžete zachovat pro další šetření nebo pokud už je nepotřebujete, odstraňte skupinu prostředků FW-Hybrid-Test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Kurz: Zabezpečení virtuální sítě WAN pomocí Azure Firewall Manageru