Nasazení a konfigurace služby Azure Firewall v hybridní síti pomocí webu Azure Portal

  • Článek

Pokud připojíte místní síť k virtuální síti Azure a vytvoříte tak hybridní síť, možnost řídit přístup k síťovým prostředkům Azure je důležitou součástí celkového plánu zabezpečení.

Azure Firewall můžete použít k řízení síťového přístupu v hybridní síti pomocí pravidel, která definují povolený a zakázaný síťový provoz.

V tomto článku vytvoříte tři virtuální sítě:

  • VNet-Hub: Brána firewall je v této virtuální síti.
  • Paprsková virtuální síť: Paprsková virtuální síť představuje úlohu umístěnou v Azure.
  • VNet-Onprem: Místní virtuální síť představuje místní síť. Ve skutečném nasazení se k němu můžete připojit pomocí připojení virtuální privátní sítě (VPN) nebo připojení Azure ExpressRoute. Pro zjednodušení tento článek používá připojení brány VPN a virtuální síť umístěná v Azure představuje místní síť.

Diagram znázorňující bránu firewall v hybridní síti

Pokud místo toho chcete k dokončení postupů v tomto článku použít Azure PowerShell, přečtěte si téma Nasazení a konfigurace služby Azure Firewall v hybridní síti pomocí Azure PowerShellu.

Poznámka:

Tento článek používá ke správě brány firewall klasická pravidla služby Azure Firewall. Upřednostňovanou metodou je použití zásad Azure Firewall Manageru. Pokud chcete tento postup dokončit pomocí zásad Azure Firewall Manageru, přečtěte si kurz : Nasazení a konfigurace služby Azure Firewall a zásad v hybridní síti pomocí webu Azure Portal.

Požadavky

Hybridní síť používá model architektury hvězdicové architektury ke směrování provozu mezi virtuálními sítěmi Azure a místními sítěmi. Hvězdicová architektura má následující požadavky:

  • Nastavte možnost Použít bránu této virtuální sítě nebo směrovací server , když partnerský vztah VNet-Hubu s VNet-Spoke. V hvězdicové síťové architektuře umožňuje průchod bránou paprskové virtuální sítě sdílet bránu VPN v centru místo nasazení bran VPN do každé paprskové virtuální sítě.

    Kromě toho se trasy do virtuálních sítí připojených k bráně nebo místních sítí automaticky rozšíří do směrovacích tabulek pro partnerské virtuální sítě prostřednictvím průchodu bránou. Další informace najdete v tématu Konfigurace průchodu bránou VPN pro partnerský vztah virtuálních sítí.

  • Nastavte možnost Použít brány vzdálené virtuální sítě nebo směrovací server při peeringu VNet-Spoke do VNet-Hubu. Pokud je nastavená možnost Použít brány vzdálené virtuální sítě nebo směrovací server a použijete bránu této virtuální sítě nebo směrovací server ve vzdáleném partnerském vztahu, paprsková virtuální síť používá pro průchod brány vzdálené virtuální sítě.

  • Pokud chcete směrovat provoz podsítě paprsku přes bránu firewall centra, můžete použít trasu definovanou uživatelem, která odkazuje na bránu firewall s vypnutou možností šíření trasy brány virtuální sítě. Zakázáním této možnosti zabráníte distribuci tras do podsítí paprsků, takže naučené trasy nemůžou být v konfliktu s trasou definovanou uživatelem. Pokud chcete zachovat povolenou šíření tras brány virtuální sítě, ujistěte se, že definujete konkrétní trasy brány firewall, které přepíší trasy publikované z místního prostředí přes protokol BGP (Border Gateway Protocol).

  • Nakonfigurujte trasu definovanou uživatelem v podsíti brány centra, která odkazuje na IP adresu brány firewall jako další segment směrování do paprskových sítí. V podsíti služby Azure Firewall se nevyžaduje žádná trasa definovaná uživatelem, protože se učí trasy z protokolu BGP.

Část Vytvořit trasy dále v tomto článku ukazuje, jak tyto trasy vytvořit.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše podsíť AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě přes protokol BGP, musíte ji přepsat pomocí trasy definované uživatelem 0.0.0.0/0 s NextHopType hodnotou nastavenou tak, aby Internet se zachovalo přímé připojení k internetu.

Poznámka:

Azure Firewall můžete nakonfigurovat tak, aby podporovala vynucené tunelování. Další informace najdete v tématu Vynucené tunelování ve službě Azure Firewall.

Provoz mezi přímo partnerskými virtuálními sítěmi se směruje přímo, i když trasa definovaná uživatelem odkazuje na azure Firewall jako výchozí bránu. Pokud chcete v tomto scénáři odesílat provoz mezi podsítě do brány firewall, musí trasy definované uživatelem obsahovat předponu cílové sítě podsítě explicitně v obou podsítích.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření virtuální sítě centra brány firewall

Nejprve vytvořte skupinu prostředků, která bude obsahovat prostředky:

  1. Přihlaste se k portálu Azure.
  2. Na domovské stránce webu Azure Portal vyberte Vytvořit skupiny>prostředků.
  3. V části Předplatné vyberte své předplatné.
  4. Jako skupinu prostředků zadejte RG-fw-hybrid-test.
  5. V části Oblast vyberte oblast. Všechny prostředky, které vytvoříte později, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Teď vytvořte virtuální síť.

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte virtuální síť.
  3. Vyberte Virtuální síť a pak vyberte Vytvořit.
  4. Jako skupinu prostředků vyberte RG-fw-hybrid-test.
  5. Jako název virtuální sítě zadejte VNet-Hub.
  6. V části Oblast vyberte oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 odstraňte výchozí adresu a zadejte 10.5.0.0/16.
  10. V části Podsítě odstraňte výchozí podsíť.
  11. Vyberte Přidat podsíť.
  12. Na stránce Přidat podsíť jako šablonu podsítě vyberte Azure Firewall.
  13. Vyberte Přidat.

Vytvořte druhou podsíť pro bránu:

  1. Vyberte Přidat podsíť.
  2. V šabloně podsítě vyberte bránu virtuální sítě.
  3. Pro počáteční adresu přijměte výchozí hodnotu 10.5.1.0.
  4. U velikosti podsítě přijměte výchozí hodnotu /27.
  5. Vyberte Přidat.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Vytvoření paprskové virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte virtuální síť.
  3. Vyberte Virtuální síť a pak vyberte Vytvořit.
  4. Jako skupinu prostředků vyberte RG-fw-hybrid-test.
  5. Jako název zadejte VNet-Spoke.
  6. V části Oblast vyberte oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 odstraňte výchozí adresu a zadejte 10.6.0.0/16.
  10. V části Podsítě odstraňte výchozí podsíť.
  11. Vyberte Přidat podsíť.
  12. Jako název zadejte SN-Workload.
  13. Pro počáteční adresu přijměte výchozí hodnotu 10.6.0.0.
  14. U velikosti podsítě přijměte výchozí hodnotu /24.
  15. Vyberte Přidat.
  16. Vyberte Zkontrolovat a vytvořit.
  17. Vyberte Vytvořit.

Vytvoření místní virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte virtuální síť.
  3. Vyberte Virtuální síť a pak vyberte Vytvořit.
  4. Jako skupinu prostředků vyberte RG-fw-hybrid-test.
  5. Jako název zadejte VNet-Onprem.
  6. V části Oblast vyberte oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 odstraňte výchozí adresu a zadejte 192.168.0.0/16.
  10. V části Podsítě odstraňte výchozí podsíť.
  11. Vyberte Přidat podsíť.
  12. Jako název zadejte SN-Corp.
  13. Pro počáteční adresu přijměte výchozí hodnotu 192.168.0.0.
  14. U velikosti podsítě přijměte výchozí hodnotu /24.
  15. Vyberte Přidat.

Teď vytvořte druhou podsíť pro bránu:

  1. Vyberte Přidat podsíť.
  2. V šabloně podsítě vyberte bránu virtuální sítě.
  3. Pro počáteční adresu přijměte výchozí hodnotu 192.168.1.0.
  4. U velikosti podsítě přijměte výchozí hodnotu /27.
  5. Vyberte Přidat.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Konfigurace a nasazení brány firewall

Nasaďte bránu firewall do virtuální sítě centra brány firewall:

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte bránu firewall.

  3. Vyberte Bránu firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Zadejte RG-fw-hybrid-test.
    Název Zadejte AzFW01.
    Oblast Vyberte oblast, kterou jste použili dříve.
    Skladová položka brány firewall Vyberte položku Standardní.
    Správa brány firewall Tuto bránu firewall můžete spravovat výběrem možnosti Použít pravidla brány firewall (classic).
    Volba virtuální sítě Vyberte Použít existující>centrum VNet-Hub.
    Veřejná IP adresa Vyberte Přidat nový>fw-pip.

  5. Vyberte Zkontrolovat a vytvořit.

  6. Projděte si souhrn a pak vyberte Vytvořit, abyste vytvořili bránu firewall.

    Nasazení brány firewall trvá několik minut.

  7. Po dokončení nasazení přejděte do skupiny prostředků RG-fw-hybrid-test a vyberte bránu firewall AzFW01 .

  8. Poznamenejte si privátní IP adresu. Použijete ho později při vytváření výchozí trasy.

Konfigurovat pravidla sítě

Nejprve přidejte pravidlo sítě, které povolí webový provoz:

  1. Na stránce AzFW01 vyberte Pravidla (classic).
  2. Vyberte kartu kolekce pravidel sítě.
  3. Vyberte Přidat kolekci pravidel sítě.
  4. Jako název zadejte RCNet01.
  5. Jako prioritu zadejte 100.
  6. V případě akce kolekce pravidel vyberte Povolit.
  7. V části Ip adresy pravidel jako název zadejte AllowWeb.
  8. V části Protokol vyberte TCP.
  9. Jako typ zdroje vyberte IP adresu.
  10. Jako zdroj zadejte 192.168.0.0/24.
  11. Jako typ cíle vyberte IP adresu.
  12. Jako cílovou adresu zadejte 10.6.0.0/16.
  13. Jako cílové porty zadejte 80.

Teď přidejte pravidlo, které povolí provoz protokolu RDP. Na druhém řádku pravidla zadejte následující informace:

  1. Jako název zadejte AllowRDP.
  2. V části Protokol vyberte TCP.
  3. Jako typ zdroje vyberte IP adresu.
  4. Jako zdroj zadejte 192.168.0.0/24.
  5. Jako typ cíle vyberte IP adresu.
  6. Jako cílovou adresu zadejte 10.6.0.0/16.
  7. Jako cílové porty zadejte 3389.
  8. Vyberte Přidat.

Vytvoření a propojení bran VPN

Rozbočovač a místní virtuální sítě jsou připojené přes brány VPN.

Vytvoření brány VPN pro virtuální síť centra

Vytvořte bránu VPN pro virtuální síť rozbočovače. Konfigurace sítě k síti vyžadují typ sítě VPN založený na směrování. Vytvoření brány VPN může často trvat 45 minut nebo déle v závislosti na vybrané skladové posílce.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte bránu virtuální sítě.
  3. Vyberte bránu virtuální sítě a pak vyberte Vytvořit.
  4. Jako název zadejte GW-hub.
  5. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako typ brány vyberte VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na směrování.
  8. V případě skladové položky vyberte Basic.
  9. V případě virtuální sítě vyberte VNet-Hub.
  10. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-Hub-GW-pip .
  11. Chcete-li povolit režim aktivní-aktivní, vyberte Zakázáno.
  12. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  13. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření brány VPN pro místní virtuální síť

Vytvořte bránu VPN pro místní virtuální síť. Konfigurace sítě k síti vyžadují typ sítě VPN založený na směrování. Vytvoření brány VPN může často trvat 45 minut nebo déle v závislosti na vybrané skladové posílce.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte bránu virtuální sítě.
  3. Vyberte bránu virtuální sítě a pak vyberte Vytvořit.
  4. Jako název zadejte GW-Onprem.
  5. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako typ brány vyberte VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na směrování.
  8. V případě skladové položky vyberte Basic.
  9. V případě virtuální sítě vyberte VNet-Onprem.
  10. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-Onprem-GW-pip .
  11. Chcete-li povolit režim aktivní-aktivní, vyberte Zakázáno.
  12. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  13. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření připojení VPN

Teď můžete vytvořit připojení VPN mezi centrem a místními bránami.

V následujících krocích vytvoříte připojení z centrální virtuální sítě k místní virtuální síti. Příklady ukazují sdílený klíč, ale pro sdílený klíč můžete použít vlastní hodnotu. Důležité je, že se sdílený klíč pro obě připojení musí shodovat. Vytvoření připojení může nějakou dobu trvat.

  1. Otevřete skupinu prostředků RG-fw-hybrid-test a vyberte bránu centra GW.
  2. V levém sloupci vyberte Připojení iony.
  3. Vyberte Přidat.
  4. Jako název připojení zadejte Hub-to-Onprem.
  5. Jako typ Připojení vyberte VNet-to-VNet .
  6. Vyberte Další.
  7. V části První brána virtuální sítě vyberte GW-Hub.
  8. Jako druhou bránu virtuální sítě vyberte GW-Onprem.
  9. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  10. Vyberte Zkontrolovat a vytvořit.
  11. Vyberte Vytvořit.

Vytvořte připojení virtuální sítě mezi místním prostředím a centrem. Následující kroky jsou podobné předchozím krokům, s tím rozdílem, že vytvoříte připojení z VNet-Onprem k VNet-Hubu. Ujistěte se, že se sdílené klíče shodují. Připojení se naváže po několika minutách.

  1. Otevřete skupinu prostředků RG-fw-hybrid-test a vyberte bránu GW-Onprem.
  2. V levém sloupci vyberte Připojení iony.
  3. Vyberte Přidat.
  4. Jako název připojení zadejte Onprem-to-Hub.
  5. Jako typ Připojení vyberte VNet-to-VNet.
  6. Vyberte Další: Nastavení.
  7. Jako první bránu virtuální sítě vyberte GW-Onprem.
  8. Jako druhou bránu virtuální sítě vyberte GW-hub.
  9. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  10. Vyberte Zkontrolovat a vytvořit.
  11. Vyberte Vytvořit.

Ověření stavu připojení

Po přibližně pěti minutách by se měl Připojení stav obou připojení.

Snímek obrazovky znázorňující připojení brány

Vytvoření partnerského vztahu mezi hvězdicovou virtuální sítí

Teď v partnerském vztahu mezi virtuálními sítěmi hvězdicové architektury:

  1. Otevřete skupinu prostředků RG-fw-hybrid-test a vyberte virtuální síť VNet-Hub.

  2. V levém sloupci vyberte Partnerské vztahy.

  3. Vyberte Přidat.

  4. V části Tato virtuální síť:

    Název nastavení Nastavení
    Název odkazu peeringu Zadejte HubtoSpoke.
    Přenosy do vzdálené virtuální sítě Vyberte Povolit.
    Přenosy přesměrované ze vzdálené virtuální sítě Vyberte Povolit.
    Brána virtuální sítě Vyberte Použít bránu této virtuální sítě.

  5. V části Vzdálená virtuální síť:

    Název nastavení Hodnota
    Název odkazu peeringu Zadejte SpoketoHub.
    Model nasazení virtuální sítě Vyberte Resource Manager.
    Předplatné Vyberte své předplatné.
    Virtuální síť Vyberte VNet-Spoke.
    Přenosy do vzdálené virtuální sítě Vyberte Povolit.
    Přenosy přesměrované ze vzdálené virtuální sítě Vyberte Povolit.
    Brána virtuální sítě Vyberte Použít bránu vzdálené virtuální sítě.

  6. Vyberte Přidat.

Následující snímek obrazovky ukazuje nastavení, která se mají použít při partnerském centru a paprskových virtuálních sítích:

Snímek obrazovky znázorňující výběry pro hvězdicové virtuální sítě v partnerském vztahu

Vytvoření tras

V následujících krocích vytvoříte tyto trasy:

  • Trasa z podsítě brány rozbočovače do podsítě paprsku přes IP adresu brány firewall
  • Výchozí trasa z podsítě paprsku přes IP adresu brány firewall

Vytvoření tras:

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte směrovací tabulku.
  3. Vyberte Směrovací tabulka a pak vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-fw-hybrid-test.
  5. V části Oblast vyberte stejné umístění, které jste použili dříve.
  6. Jako název zadejte UDR-Hub-Spoke.
  7. Vyberte Zkontrolovat a vytvořit.
  8. Vyberte Vytvořit.
  9. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  10. V levém sloupci vyberte Trasy .
  11. Vyberte Přidat.
  12. Jako název trasy zadejte ToSpoke.
  13. Jako typ cíle vyberte IP adresy.
  14. Jako cílové IP adresy nebo rozsahy CIDR zadejte 10.6.0.0/16.
  15. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  16. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  17. Vyberte Přidat.

Teď přidružte trasu k podsíti:

  1. Na stránce Trasy definované uživatelem vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte VNet-Hub.
  4. V podsíti vyberte GatewaySubnet.
  5. Vyberte OK.

Vytvořte výchozí trasu z podsítě paprsku:

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte směrovací tabulku.
  3. Vyberte Směrovací tabulka a pak vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-fw-hybrid-test.
  5. V části Oblast vyberte stejné umístění, které jste použili dříve.
  6. Jako název zadejte UDR-DG.
  7. Pro rozšíření trasy brány vyberte Ne.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.
  10. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  11. V levém sloupci vyberte Trasy .
  12. Vyberte Přidat.
  13. Jako název trasy zadejte ToHub.
  14. Jako typ cíle vyberte IP adresy.
  15. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.
  16. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  17. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  18. Vyberte Přidat.

Přidružte trasu k podsíti:

  1. Na stránce UDR-DG - Trasy vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte VNet-Spoke.
  4. V podsíti vyberte SN-Workload.
  5. Vyberte OK.

Vytvoření virtuálních počítačů

Vytvořte paprskovou úlohu a místní virtuální počítače a umístěte je do příslušných podsítí.

Vytvoření virtuálního počítače úloh

Vytvořte virtuální počítač v paprskové virtuální síti, na kterém běží Internetová informační služba (IIS) a nemá žádnou veřejnou IP adresu:

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené produkty Marketplace vyberte Windows Server 2019 Datacenter.
  3. Zadejte tyto hodnoty pro virtuální počítač:
    • Skupina prostředků: Vyberte RG-fw-hybrid-test.
    • Název virtuálního počítače: Zadejte VM-Spoke-01.
    • Oblast: Vyberte stejnou oblast, kterou jste použili dříve.
    • Uživatelské jméno: Zadejte uživatelské jméno.
    • Heslo: Zadejte heslo.
  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte HTTP (80) a RDP (3389).
  5. Vyberte Další: Disky.
  6. Přijměte výchozí hodnoty a vyberte Další: Sítě.
  7. Pro virtuální síť vyberte VNet-Spoke. Podsíť je SN-Workload.
  8. Jako veřejnou IP adresu vyberte Žádné.
  9. Vyberte Další: Správa.
  10. Vyberte Další: Monitorování.
  11. V případě diagnostiky spouštění vyberte Zakázat.
  12. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

instalace IIS

  1. Na webu Azure Portal otevřete Azure Cloud Shell a ujistěte se, že je nastavený na PowerShell.

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač a v případě potřeby změňte umístění:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Vytvoření místního virtuálního počítače

Vytvořte virtuální počítač, který použijete pro připojení přes vzdálený přístup k veřejné IP adrese. Odtud se můžete připojit k paprskovém serveru přes bránu firewall.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené vyberte Windows Server 2019 Datacenter.
  3. Zadejte tyto hodnoty pro virtuální počítač:
    • Skupina prostředků: Vyberte Existující a pak vyberte RG-fw-hybrid-test.
    • Název virtuálního počítače: Zadejte VM-Onprem.
    • Oblast: Vyberte stejnou oblast, kterou jste použili dříve.
    • Uživatelské jméno: Zadejte uživatelské jméno.
    • Heslo: Zadejte uživatelské heslo.
  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte RDP (3389).
  5. Vyberte Další: Disky.
  6. Přijměte výchozí hodnoty a vyberte Další: Sítě.
  7. Pro virtuální síť vyberte VNet-Onprem. Podsíť je SN-Corp.
  8. Vyberte Další: Správa.
  9. Vyberte Další: Monitorování.
  10. V případě diagnostiky spouštění vyberte Zakázat.
  11. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Testovat bránu firewall

  1. Poznamenejte si privátní IP adresu pro virtuální počítač VM-Spoke-01 .

  2. Na webu Azure Portal se připojte k virtuálnímu počítači VM-Onprem .

  3. Otevřete webový prohlížeč na virtuálním počítači v místním počítači a přejděte na http://<VM-Spoke-01 private IP>.

    Měla by se otevřít webová stránka VM-Spoke-01 .

    Snímek obrazovky znázorňující webovou stránku paprskového virtuálního počítače

  4. Z virtuálního počítače VM-Onprem otevřete připojení vzdáleného přístupu k virtuálnímu počítači VM-Spoke-01 na privátní IP adrese.

    Připojení by mělo proběhnout úspěšně a měli byste být schopni se přihlásit.

Teď, když jste ověřili, že pravidla brány firewall fungují, můžete:

  • Přejděte na webový server v paprskové virtuální síti.
  • Připojení k serveru v paprskové virtuální síti pomocí protokolu RDP.

Dále změňte akci pro kolekci pravidel sítě brány firewall na Odepřít, abyste ověřili, že pravidla brány firewall fungují podle očekávání:

  1. Vyberte bránu firewall AzFW01 .
  2. Vyberte pravidla (klasická).
  3. Vyberte kartu Kolekce pravidel sítě a vyberte kolekci pravidel RCNet01.
  4. V případě akce vyberte Odepřít.
  5. Zvolte Uložit.

Zavřete všechna existující připojení vzdáleného přístupu. Znovu spusťte testy a otestujte změněná pravidla. Tentokrát by všechny měly selhat.

Vyčištění prostředků

Prostředky brány firewall můžete udržovat pro další testování. Pokud už je nepotřebujete, odstraňte skupinu prostředků RG-fw-hybrid-test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Monitorování protokolů brány Azure Firewall