Nasazení a konfigurace služby Azure Firewall v hybridní síti pomocí webu Azure Portal

Když připojíte místní síť k virtuální síti Azure a vytvoříte hybridní síť, je možnost řídit přístup k vašim síťovým prostředkům Azure důležitou součástí celkového plánu zabezpečení.

S využitím služby Azure Firewall můžete řídit síťový přístup v hybridní síti pomocí pravidel, která definují povolený a zakázaný síťový provoz.

V tomto článku vytvoříte tři virtuální sítě:

  • VNet-Hub – brána firewall je v této virtuální síti.
  • VNet-Spoke – paprsková virtuální síť představuje úlohu umístěnou v Azure.
  • VNet-Onprem – místní virtuální síť představuje místní síť. Ve skutečném nasazení je možné ho připojit buď připojením VPN, nebo ExpressRoute. Pro zjednodušení tento postup používá připojení brány VPN a virtuální síť umístěná v Azure se používá k reprezentaci místní sítě.

Firewall in a hybrid network

V tomto článku získáte informace o těchto tématech:

  • Vytvoření virtuální sítě centra brány firewall
  • Vytvoření paprskové virtuální sítě
  • Vytvoření místní virtuální sítě
  • Konfigurace a nasazení brány firewall
  • Vytvoření a propojení bran VPN
  • Vytvoření partnerského vztahu hvězdicových virtuálních sítí
  • Vytvoření tras
  • Vytvoření virtuálních počítačů
  • Testování brány firewall

Pokud chcete k dokončení tohoto postupu použít Azure PowerShell, přečtěte si téma Nasazení a konfigurace Azure Firewall v hybridní síti pomocí Azure PowerShell.

Poznámka

Tento článek používá ke správě brány firewall klasická pravidla brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, přečtěte si kurz: Nasazení a konfigurace Azure Firewall a zásad v hybridní síti pomocí Azure Portal.

Požadavky

Hybridní síť používá model architektury hvězdicové architektury ke směrování provozu mezi virtuálními sítěmi Azure a místními sítěmi. Hvězdicová architektura má následující požadavky:

  • Nastavení Použít bránu této virtuální sítě nebo směrovací server při partnerském vztahu VNet-Hub k VNet-Spoke. V hvězdicové síťové architektuře přenos brány umožňuje paprskovým virtuálním sítím sdílet bránu VPN v centru místo nasazení bran VPN do každé paprskové virtuální sítě.

    Kromě toho se trasy do virtuálních sítí připojených k bráně nebo místních sítí automaticky rozšíří do směrovacích tabulek pro partnerské virtuální sítě pomocí průchodu bránou. Další informace najdete v tématu Konfigurace průchodu bránou VPN pro partnerský vztah virtuálních sítí.

  • Nastavte možnost Použít brány vzdálené virtuální sítě nebo směrovací server , když partnerský vztah VNet-Spoke k virtuální síti. Pokud je nastavená možnost Použít brány vzdálené virtuální sítě nebo směrovací server a použít bránu této virtuální sítě nebo směrovací server ve vzdáleném partnerském vztahu, používá paprsková virtuální síť brány vzdálené virtuální sítě k přenosu.

  • Ke směrování provozu paprskové podsítě přes bránu firewall centra můžete použít trasu definovanou uživatelem (UDR), která odkazuje na bránu firewall s zakázanou možností šíření trasy brány virtuální sítě . Zakázaná možnost šíření trasy brány virtuální sítě brání distribuci tras do paprskových podsítí. To brání tomu, aby se naučené trasy v konfliktu s vaší trasou definovanou uživatelem. Pokud chcete zachovat šíření tras brány virtuální sítě povolené, nezapomeňte definovat konkrétní trasy brány firewall a přepsat ty, které jsou publikovány z místního prostředí přes protokol BGP.

  • Nakonfigurujte trasu definovanou uživatelem v podsíti brány centra, která odkazuje na IP adresu brány firewall jako další segment směrování do paprskových sítí. V podsíti Azure Firewall se nevyžaduje trasa definovaná uživatelem, protože se učí trasy z protokolu BGP.

V části Vytvořit trasy v tomto článku se dozvíte, jak se tyto trasy vytvářejí.

Poznámka

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud se vaše služba AzureFirewallSubnet naučí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet, aby se zachovalo přímé připojení k internetu .

Azure Firewall lze nakonfigurovat tak, aby podporovala vynucené tunelování. Další informace najdete v tématu Azure Firewall vynucené tunelování.

Poznámka

Provoz mezi přímo partnerskými virtuálními sítěmi se směruje přímo, i když trasa definovaná uživatelem odkazuje na Azure Firewall jako výchozí bránu. Pokud chcete odesílat podsíť do provozu podsítě do brány firewall v tomto scénáři, musí trasy definované uživatelem obsahovat předponu cílové sítě podsítě explicitně v obou podsítích.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření virtuální sítě centra brány firewall

Nejprve vytvořte skupinu prostředků, která bude obsahovat prostředky:

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. Na domovské stránce Azure Portal vyberte Resource GroupsAdd>.
  3. V části Předplatné vyberte své předplatné.
  4. Jako název skupiny prostředků zadejte FW-Hybrid-Test.
  5. V oblasti vyberte USA – východ. Všechny prostředky, které vytvoříte později, musí být ve stejném umístění.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Teď vytvořte virtuální síť:

Poznámka

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v tématu Azure Firewall nejčastější dotazy.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. Vyberte Vytvořit.
  4. Jako skupinu prostředků vyberte FW-Hybrid-Test.
  5. Jako název zadejte VNet-Hub.
  6. Vyberte Další: IP adresy.
  7. V případě adresního prostoru IPv4 odstraňte výchozí adresu a zadejte 10.5.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Jako název podsítě zadejte AzureFirewallSubnet. Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.
  10. Jako rozsah adres podsítě zadejte 10.5.0.0/26.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Vytvoření paprskové virtuální sítě

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. Jako skupinu prostředků vyberte FW-Hybrid-Test.
  4. Jako název zadejte VNet-Spoke.
  5. V oblasti vyberte USA – východ.
  6. Vyberte Další: IP adresy.
  7. V případě adresního prostoru IPv4 odstraňte výchozí adresu a zadejte 10.6.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Jako typ názvu podsítězadejte SN-Workload.
  10. Jako rozsah adres podsítě zadejte 10.6.0.0/24.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Vytvoření místní virtuální sítě

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Virtuální síť.
  3. Jako skupinu prostředků vyberte FW-Hybrid-Test.
  4. Jako název zadejte VNet-OnPrem.
  5. V oblasti vyberte USA – východ.
  6. Vyberte Další: IP adresy
  7. Pro adresní prostor IPv4 odstraňte výchozí adresu a zadejte 192.168.0.0/16.
  8. V části Název podsítě vyberte Přidat podsíť.
  9. Pro název podsítě zadejte SN-Corp.
  10. Jako rozsah adres podsítě zadejte 192.168.1.0/24.
  11. Vyberte Přidat.
  12. Vyberte Zkontrolovat a vytvořit.
  13. Vyberte Vytvořit.

Teď vytvořte druhou podsíť pro bránu.

  1. Na stránce VNet-Onprem vyberte Podsítě.
  2. Vyberte +Podsíť.
  3. Jako název zadejte GatewaySubnet.
  4. Pro rozsah adres podsítě zadejte 192.168.2.0/24.
  5. Vyberte OK.

Konfigurace a nasazení brány firewall

Teď nasaďte bránu firewall do virtuální sítě centra brány firewall.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.

  2. V levém sloupci vyberte Sítě a vyhledejte a pak vyberte Bránu firewall.

  3. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina prostředků FW-Hybrid-Test
    Name AzFW01
    Oblast USA – východ
    Správa brány firewall Použití pravidel brány firewall (classic) ke správě této brány firewall
    Volba virtuální sítě Použít existující:
    VNet-Hub
    Veřejná IP adresa Přidání nových:
    fw-pip.
  4. Vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte souhrn a pak vyberte Vytvořit a vytvořte bránu firewall.

    Nasazení trvá několik minut.

  6. Po dokončení nasazení přejděte do skupiny prostředků FW-Hybrid-Test a vyberte bránu firewall AzFW01 .

  7. Poznamenejte si privátní IP adresu. Budete ji potřebovat později při vytváření výchozí trasy.

Konfigurace pravidel sítě

Nejprve přidejte síťové pravidlo, které povolí webový provoz.

  1. Na stránce AzFW01 vyberte pravidla.
  2. Vyberte kartu Kolekce pravidel sítě .
  3. Vyberte Přidat kolekci pravidel sítě.
  4. Jako název zadejte RCNet01.
  5. Jako prioritu zadejte 100.
  6. V případě akce kolekce pravidel vyberte Povolit.
  7. V části Pravidla pro název zadejte AllowWeb.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte 192.168.1.0/24.
  10. V části Protokol vyberte TCP.
  11. Jako cílové porty zadejte 80.
  12. Jako typ cíle vyberte IP adresu.
  13. Jako cíl zadejte 10.6.0.0/16.

Teď přidejte pravidlo pro povolení provozu protokolu RDP.

Na druhém řádku pravidla zadejte následující informace:

  1. Název, zadejte AllowRDP.
  2. Jako typ zdroje vyberte IP adresu.
  3. Jako zdroj zadejte 192.168.1.0/24.
  4. V části Protokol vyberte TCP.
  5. Jako cílové porty zadejte 3389.
  6. Jako typ cíle vyberte IP adresu.
  7. Jako cíl zadejte 10.6.0.0/16.
  8. Vyberte Přidat.

Vytvoření a propojení bran VPN

Rozbočovač a místní virtuální sítě jsou připojené přes brány VPN.

Vytvoření brány VPN pro virtuální síť centra

Teď vytvořte bránu VPN pro virtuální síť centra. Konfigurace sítě k síti vyžadují typ vpn RouteBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte bránu virtuální sítě.
  3. Vyberte bránu virtuální sítě a vyberte Vytvořit.
  4. Jako název zadejte GW-hub.
  5. V oblasti vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako typ brány vyberte síť VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na trasách.
  8. Jako skladovou položku vyberte Basic.
  9. V případě virtuální sítě vyberte VNet-Hub.
  10. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-hub-GW-pip .
  11. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  12. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření brány VPN pro místní virtuální síť

Teď vytvořte bránu VPN pro místní virtuální síť. Konfigurace sítě k síti vyžadují typ vpn RouteBased. Vytvoření brány VPN může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové položce brány VPN.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte bránu virtuální sítě a stiskněte Enter.
  3. Vyberte bránu virtuální sítě a vyberte Vytvořit.
  4. Jako název zadejte GW-Onprem.
  5. V oblasti vyberte stejnou oblast, kterou jste použili dříve.
  6. Jako typ brány vyberte síť VPN.
  7. Jako typ sítě VPN vyberte trasu založenou na trasách.
  8. Jako skladovou položku vyberte Basic.
  9. V případě virtuální sítě vyberte VNet-Onprem.
  10. Jako veřejnou IP adresu vyberte Vytvořit novou a jako název zadejte VNet-Onprem-GW-pip .
  11. Přijměte zbývající výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
  12. Zkontrolujte konfiguraci a pak vyberte Vytvořit.

Vytvoření připojení VPN

Teď můžete vytvořit připojení VPN mezi centrem a místními bránami.

V tomto kroku vytvoříte připojení z virtuální sítě centra k místní virtuální síti. Zobrazí se sdílený klíč uváděný v příkladech. Pro sdílený klíč můžete použít vlastní hodnoty. Důležité je, že se sdílený klíč pro obě připojení musí shodovat. Vytvoření připojení může nějakou dobu trvat.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte bránu centra GW .
  2. Vyberte Připojení v levém sloupci.
  3. Vyberte Přidat.
  4. Název připojení zadejte Hub-to-Onprem.
  5. Jako typ připojení vyberte VNet-to-VNet.
  6. Jako druhou bránu virtuální sítě vyberte GW-Onprem.
  7. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  8. Vyberte OK.

Vytvořte místní připojení k virtuální síti. Tento krok je podobný předchozímu, s výjimkou vytvoření připojení z VNet-Onprem do centra VNet-Hub. Ověřte, že se sdílené klíče shodují. Připojení se vytvoří během několika minut.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte bránu GW-Onprem .
  2. Vyberte Připojení v levém sloupci.
  3. Vyberte Přidat.
  4. Jako název připojení zadejte Onprem-to-Hub.
  5. Jako typ připojení vyberte VNet-to-VNet.
  6. Jako druhou bránu virtuální sítě vyberte GW-Hub.
  7. Jako sdílený klíč (PSK) zadejte AzureA1b2C3.
  8. Vyberte OK.

Ověření připojení

Po přibližně pěti minutách by měl být stav obou připojení Připojeno.

Gateway connections

Partnerský vztah hvězdicových virtuálních sítí

Teď si na partnerském vztahu prosadíte hvězdicové virtuální sítě.

  1. Otevřete skupinu prostředků FW-Hybrid-Test a vyberte virtuální síť VNet-Hub .

  2. V levém sloupci vyberte Partnerské vztahy.

  3. Vyberte Přidat.

  4. V části Tato virtuální síť:

    Název nastavení Hodnota
    Název odkazu peeringu HubtoSpoke
    Provoz do vzdálené virtuální sítě Povolit (výchozí)
    Přenosy přesměrované ze vzdálené virtuální sítě Povolit (výchozí)
    Brána virtuální sítě Použití brány této virtuální sítě
  5. V části Vzdálená virtuální síť:

    Název nastavení Hodnota
    Název odkazu peeringu SpoketoHub
    Model nasazení virtuální sítě Resource Manager
    Předplatné <Vaše předplatné>
    Virtuální síť VNet-Spoke
    Provoz do vzdálené virtuální sítě Povolit (výchozí)
    Přenosy přesměrované ze vzdálené virtuální sítě Povolit (výchozí)
    Brána virtuální sítě Použití brány vzdálené virtuální sítě
  6. Vyberte Přidat.

    Vnet peering

Vytvoření tras

Dále vytvořte několik tras:

  • Trasa z podsítě brány rozbočovače do podsítě paprsku přes IP adresu brány firewall
  • Výchozí trasa z podsítě paprsku přes IP adresu brány firewall
  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte směrovací tabulku a stiskněte Enter.
  3. Vyberte Směrovací tabulka.
  4. Vyberte Vytvořit.
  5. Vyberte FW-Hybrid-Test pro skupinu prostředků.
  6. V oblasti vyberte stejné umístění, které jste použili dříve.
  7. Jako název zadejte UDR-Hub-Spoke.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.
  10. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  11. Vyberte Trasy v levém sloupci.
  12. Vyberte Přidat.
  13. Jako název trasy zadejte ToSpoke.
  14. Jako předponu adresy zadejte 10.6.0.0/16.
  15. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  16. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  17. Vyberte OK.

Teď přidružte trasu k podsíti.

  1. Na stránce UDR-Hub-Hub-Routes – Trasy vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte VNet-Hub.
  4. V podsíti vyberte GatewaySubnet.
  5. Vyberte OK.

Teď vytvořte výchozí trasu z podsítě paprsku.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího textového pole zadejte směrovací tabulku a stiskněte Enter.
  3. Vyberte Směrovací tabulka.
  4. Vyberte Vytvořit.
  5. Vyberte FW-Hybrid-Test pro skupinu prostředků.
  6. V oblasti vyberte stejné umístění, které jste použili dříve.
  7. Jako název zadejte UDR-DG.
  8. Jako trasu rozšířit bránu vyberte Ne.
  9. Vyberte Zkontrolovat a vytvořit.
  10. Vyberte Vytvořit.
  11. Po vytvoření směrovací tabulky ji vyberte a otevřete stránku směrovací tabulky.
  12. Vyberte Trasy v levém sloupci.
  13. Vyberte Přidat.
  14. Jako název trasy zadejte ToHub.
  15. Jako předponu adresy zadejte 0.0.0.0/0.
  16. Jako typ dalšího segmentu směrování vyberte Virtuální zařízení.
  17. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  18. Vyberte OK.

Teď přidružte trasu k podsíti.

  1. Na stránce UDR-DG - Trasy vyberte Podsítě.
  2. Vyberte Přidružit.
  3. V části Virtuální síť vyberte paprsky virtuální sítě.
  4. V podsíti vyberte SN-Workload.
  5. Vyberte OK.

Vytvoření virtuálních počítačů

Teď vytvořte paprskovou úlohu a místní virtuální počítače a umístěte je do příslušných podsítí.

Vytvoření virtuálního počítače úloh

Vytvořte virtuální počítač v paprskové virtuální síti se spuštěnou službou IIS bez veřejné IP adresy.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené vyberte Windows Server 2016 Datacenter.
  3. Zadejte pro virtuální počítač tyto hodnoty:
    • Skupina prostředků – Vyberte FW-Hybrid-Test.
    • Název virtuálního počítače: VM-Spoke-01.
    • Oblast – Stejná oblast, kterou jste použili dříve.
    • Uživatelské jméno: <zadejte uživatelské jméno>.
    • Heslo: <zadejte heslo.>
  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte HTTP (80) a RDP (3389)
  5. Vyberte Další:Disky.
  6. Přijměte výchozí hodnoty a vyberte Další: Sítě.
  7. Vyberte VNet-Spoke pro virtuální síť a podsíť je SN-Workload.
  8. V případě veřejné IP adresy vyberte Možnost Žádná.
  9. Vyberte Další:Správa.
  10. V případě diagnostiky spouštění vyberte Zakázat.
  11. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Instalace služby IIS

  1. V Azure Portal otevřete Cloud Shell a ujistěte se, že je nastavený na PowerShell.

  2. Spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač a v případě potřeby změňte umístění:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Vytvoření místního virtuálního počítače

Jedná se o virtuální počítač, který používáte k připojení pomocí vzdálené plochy k veřejné IP adrese. Odtud se pak připojíte k místnímu serveru přes bránu firewall.

  1. Na domovské stránce Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené vyberte Windows Server 2016 Datacenter.
  3. Zadejte pro virtuální počítač tyto hodnoty:
    • Skupina prostředků – Vyberte existující a pak vyberte FW-Hybrid-Test.
    • Název - virtuálního počítače VM-Onprem.
    • Oblast – Stejná oblast, kterou jste použili dříve.
    • Uživatelské jméno: <zadejte uživatelské jméno>.
    • Heslo: <Zadejte uživatelské heslo>.
  4. U veřejných příchozích portů vyberte Povolit vybrané porty a pak vyberte RDP (3389)
  5. Vyberte Další:Disky.
  6. Přijměte výchozí hodnoty a vyberte Další:Sítě.
  7. Vyberte VNet-Onprem pro virtuální síť a podsíť je SN-Corp.
  8. Vyberte Další:Správa.
  9. V případě diagnostiky spouštění vyberte Zakázat.
  10. Vyberte Zkontrolovat a vytvořit, zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

Poznámka

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus ip adresy odchozího přístupu poskytuje odchozí IP adresu, která není konfigurovatelná.

Další informace najdete v tématu Výchozí odchozí přístup v Azure.

Výchozí ip adresa odchozího přístupu je zakázaná, pokud je virtuálnímu počítači přiřazená veřejná IP adresa nebo je virtuální počítač umístěný v back-endovém fondu standardního nástroje pro vyrovnávání zatížení s pravidly odchozích přenosů nebo bez něj. Pokud je prostředek brány na překladu síťových adres (NAT) Azure Virtual Network přiřazen k podsíti virtuálního počítače, je výchozí ip adresa odchozího přístupu zakázaná.

Virtuální počítače vytvořené škálovacími sadami virtuálních počítačů v flexibilním režimu orchestrace nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Testování brány firewall

  1. Nejprve si poznamenejte privátní IP adresu virtuálního počítače v paprsku 01 .

  2. Na webu Azure Portal se připojte k virtuálnímu počítači VM-Onprem.

  1. Otevřete webový prohlížeč na virtuálním počítači-Onprem a přejděte na privátní IP> adresu http://< VM-spoke-01.

    Měla by se zobrazit webová stránka VM-spoke-01 : VM-Spoke-01 web page

  2. Z virtuálního počítače VM-Onprem otevřete vzdálenou plochu na virtuální počítač-paprsk-01 na privátní IP adrese.

    Připojení by mělo být úspěšné a měli byste být schopni se přihlásit.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Webový server můžete procházet v paprskové virtuální síti.
  • Pomocí protokolu RDP se můžete připojit k serveru v paprskové virtuální síti.

Dále změňte akci kolekce pravidel sítě brány firewall na Odepřít, abyste ověřili, že pravidla brány firewall fungují podle očekávání.

  1. Vyberte bránu firewall AzFW01 .
  2. Vyberte pravidla.
  3. Vyberte kartu Kolekce pravidel sítě a vyberte kolekci pravidel RCNet01 .
  4. V případě akce vyberte Odepřít.
  5. Vyberte Uložit.

Před testováním změněných pravidel ukončete všechna existující připojení vzdálené plochy. Teď znovu spusťte testy. Tentokrát by všechny měly selhat.

Vyčištění prostředků

Prostředky brány firewall můžete zachovat pro další testování nebo pokud už nepotřebujete, odstraňte skupinu prostředků FW-Hybrid-Test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Kurz: Monitorování protokolů brány Azure Firewall