Menyebarkan dan mengonfigurasi Azure Firewall di jaringan hibrid dengan menggunakan portal Azure

  • Artikel

Saat Anda menyambungkan jaringan lokal Anda ke jaringan virtual Azure untuk membuat jaringan hibrid, kemampuan untuk mengontrol akses ke sumber daya jaringan Azure adalah bagian penting dari rencana keamanan keseluruhan.

Anda dapat menggunakan Azure Firewall untuk mengontrol akses jaringan di jaringan hibrid dengan menggunakan aturan yang menentukan lalu lintas jaringan yang diizinkan dan ditolak.

Untuk tutorial ini, Anda membuat tiga jaringan virtual:

  • VNet-Hub: Firewall berada di jaringan virtual ini.
  • VNet-Spoke: Jaringan virtual spoke mewakili beban kerja yang terletak di Azure.
  • VNet-Onprem: Jaringan virtual lokal mewakili jaringan lokal. Dalam penyebaran aktual, Anda dapat menyambungkannya dengan menggunakan koneksi jaringan privat virtual (VPN) atau koneksi Azure ExpressRoute. Untuk kesederhanaan, artikel ini menggunakan koneksi gateway VPN, dan jaringan virtual yang terletak di Azure mewakili jaringan lokal.

Diagram yang memperlihatkan firewall dalam jaringan hibrid.

Jika Anda ingin menggunakan Azure PowerShell sebagai gantinya untuk menyelesaikan prosedur dalam artikel ini, lihat Menyebarkan dan mengonfigurasi Azure Firewall dalam jaringan hibrid dengan menggunakan Azure PowerShell.

Catatan

Artikel ini menggunakan aturan Azure Firewall klasik untuk mengelola firewall. Metode yang disukai adalah menggunakan kebijakan Azure Firewall Manager. Untuk menyelesaikan prosedur ini dengan menggunakan kebijakan Azure Firewall Manager, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan dalam jaringan hibrid menggunakan portal Azure.

Prasyarat

Jaringan hibrid menggunakan model arsitektur hub-and-spoke untuk merutekan lalu lintas antara jaringan virtual Azure dan jaringan lokal. Arsitektur hub-dan-spoke memiliki persyaratan berikut:

  • Atur Gunakan gateway jaringan virtual ini atau Route Server saat Anda melakukan peering VNet-Hub ke VNet-Spoke. Dalam arsitektur jaringan hub-and-spoke, transit gateway memungkinkan jaringan virtual spoke untuk berbagi VPN gateway di hub, alih-alih menyebarkan VPN gateway di setiap jaringan virtual spoke.

    Selain itu, rute ke jaringan virtual atau jaringan lokal yang terhubung gateway secara otomatis disebarkan ke tabel perutean untuk jaringan virtual yang di-peering melalui transit gateway. Untuk informasi selengkapnya, lihat Mengonfigurasi transit gateway VPN untuk menyerekkan jaringan virtual.

  • Atur Gunakan gateway jaringan virtual jarak jauh atau Route Server saat Anda melakukan peering VNet-Spoke ke VNet-Hub. Jika Gunakan gateway jaringan virtual jarak jauh atau Azure Route Server diatur dan Gunakan gateway jaringan virtual ini atau Azure Route Server pada serekan jarak jauh juga diatur, jaringan virtual spoke menggunakan gateway dari jaringan virtual jarak jauh untuk transit.

  • Untuk merutekan lalu lintas subnet spoke melalui firewall hub, Anda dapat menggunakan rute yang ditentukan pengguna (UDR) yang menunjuk ke firewall dengan opsi Penyebaran rute gateway jaringan virtual dinonaktifkan. Menonaktifkan opsi ini mencegah distribusi rute ke subnet spoke, sehingga rute yang dipelajari tidak dapat bertentangan dengan UDR Anda. Jika Anda ingin mengaktifkan propagasi rute gateway jaringan virtual, pastikan Anda menentukan rute tertentu ke firewall untuk mengambil alih rute yang diterbitkan dari lokal melalui Border Gateway Protocol (BGP).

  • Mengonfigurasi UDR pada subnet gateway hub yang menunjuk ke alamat IP firewall sebagai lompatan berikutnya ke jaringan spoke. Tidak ada UDR yang diperlukan pada subnet Azure Firewall, karena mempelajari rute dari BGP.

Bagian Buat rute nanti dalam artikel ini memperlihatkan cara membuat rute ini.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika subnet AzureFirewallSubnet Anda mempelajari rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alihnya dengan menggunakan UDR 0.0.0.0/0 dengan NextHopType nilai yang ditetapkan sebagai Internet untuk mempertahankan konektivitas internet langsung.

Catatan

Anda dapat mengonfigurasi Azure Firewall untuk mendukung penerowongan paksa. Untuk informasi selengkapnya, lihat Azure Firewall memaksa penerowongan.

Lalu lintas antara jaringan virtual yang di-peering langsung dirutekan secara langsung, bahkan jika UDR menunjuk ke Azure Firewall sebagai gateway default. Untuk mengirim lalu lintas subnet-ke-subnet ke firewall dalam skenario ini, UDR harus berisi awalan jaringan subnet target secara eksplisit pada kedua subnet.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat jaringan virtual hub firewall

Pertama, buat grup sumber daya untuk memuat semua sumber daya untuk tutorial ini:

  1. Masuk ke portal Azure.
  2. Di beranda portal Azure, pilih Grup sumber daya>Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup sumber daya, masukkan RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya yang Anda buat nanti harus berada di wilayah yang sama.
  6. Pilih Tinjau + Buat.
  7. Pilih Buat.

Sekarang, buat jaringan virtual.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama jaringan virtual, masukkan VNet-Hub.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 10.5.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Pada halaman Tambahkan subnet , untuk templat Subnet, pilih Azure Firewall.
  13. Pilih Tambahkan.

Buat subnet kedua untuk gateway:

  1. Pilih Tambahkan subnet.
  2. Untuk Templat subnet, pilih Gateway Virtual Network.
  3. Untuk Alamat awal, terima nilai default 10.5.1.0.
  4. Untuk Ukuran subnet, terima nilai default /27.
  5. Pilih Tambahkan.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Membuat jaringan virtual spoke

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama, masukkan VNet-Spoke.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 10.6.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Untuk Nama, masukkan SN-Workload.
  13. Untuk Alamat awal, terima nilai default 10.6.0.0.
  14. Untuk Ukuran subnet, terima nilai default /24.
  15. Pilih Tambahkan.
  16. Pilih Tinjau + buat.
  17. Pilih Buat.

Membuat jaringan virtual lokal

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan jaringan virtual.
  3. Pilih Jaringan virtual, lalu pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Nama, masukkan VNet-Onprem.
  6. Untuk Wilayah, pilih wilayah yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk ruang Alamat IPv4, hapus alamat default dan masukkan 192.168.0.0/16.
  10. Di bawah Subnet, hapus subnet default.
  11. Pilih Tambahkan subnet.
  12. Untuk Nama, masukkan SN-Corp.
  13. Untuk Alamat awal, terima nilai default 192.168.0.0.
  14. Untuk Ukuran subnet, terima nilai default /24.
  15. Pilih Tambahkan.

Sekarang, buat subnet kedua untuk gateway:

  1. Pilih Tambahkan subnet.
  2. Untuk Templat subnet, pilih Gateway Virtual Network.
  3. Untuk Alamat awal, terima nilai default 192.168.1.0.
  4. Untuk Ukuran subnet, terima nilai default /27.
  5. Pilih Tambahkan.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Mengonfigurasi dan menyebarkan firewall

Sebarkan firewall ke jaringan virtual hub firewall:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.

  2. Dalam kotak pencarian, masukkan firewall.

  3. Pilih Firewall, lalu pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan Pilih langganan Anda.
    Grup sumber daya Masukkan RG-fw-hybrid-test.
    Nama Masukkan AzFW01.
    Wilayah Pilih wilayah yang Anda gunakan sebelumnya.
    Firewall SKU Pilih Standar.
    Manajemen firewall Pilih Gunakan aturan Firewall (klasik) untuk mengelola firewall ini.
    Pilih jaringan virtual Pilih Gunakan VNet-Hub yang>ada.
    Alamat IP Publik Pilih Tambahkan fw-pip baru>.

  5. Pilih Tinjau + buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Firewall membutuhkan waktu beberapa menit untuk disebarkan.

  7. Setelah penyebaran selesai, buka grup sumber daya RG-fw-hybrid-test dan pilih firewall AzFW01 .

  8. Catat alamat IP privat. Anda menggunakannya nanti saat membuat rute default.

Mengonfigurasi aturan jaringan

Pertama, tambahkan aturan jaringan untuk mengizinkan lalu lintas web:

  1. Pada halaman AzFW01 , pilih Aturan (klasik).
  2. Pilih tab Kumpulan aturan Jaringan.
  3. Pilih Tambahkan kumpulan aturan jaringan.
  4. Untuk Nama, masukkan RCNet01.
  5. Untuk Prioritas, masukkan 100.
  6. Untuk Tindakan kumpulan aturan, pilih Izinkan.
  7. Di bawah Alamat IP Aturan, untuk Nama, masukkan AllowWeb.
  8. Untuk Protokol, pilih TCP.
  9. Untuk Jenis sumber, pilih alamat IP.
  10. Untuk Sumber, masukkan 192.168.0.0/24.
  11. Untuk Jenis tujuan, pilih alamat IP.
  12. Untuk Alamat Tujuan, masukkan 10.6.0.0/16.
  13. Untuk Port Tujuan, masukkan 80.

Sekarang, tambahkan aturan untuk mengizinkan lalu lintas RDP. Pada baris aturan kedua, masukkan informasi berikut:

  1. Untuk Nama, masukkan AllowRDP.
  2. Untuk Protokol, pilih TCP.
  3. Untuk Jenis sumber, pilih alamat IP.
  4. Untuk Sumber, masukkan 192.168.0.0/24.
  5. Untuk Jenis tujuan, pilih alamat IP.
  6. Untuk Alamat Tujuan, masukkan 10.6.0.0/16.
  7. Untuk Port Tujuan, masukkan 3389.
  8. Pilih Tambahkan.

Membuat dan menyambungkan gateway VPN

Hub dan jaringan virtual lokal tersambung melalui gateway VPN.

Membuat gateway VPN untuk jaringan virtual hub

Buat gateway VPN untuk jaringan virtual hub. Konfigurasi jaringan ke jaringan memerlukan jenis VPN berbasis rute. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, lalu pilih Buat.
  4. Untuk Nama, masukkan GW-hub.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan virtual, pilih VNet-Hub.
  10. Untuk Alamat IP publik, pilih Buat baru dan masukkan VNet-Hub-GW-pip untuk nama tersebut.
  11. Untuk Aktifkan mode aktif-aktif, pilih Dinonaktifkan.
  12. Terima default yang tersisa, lalu pilih Tinjau + buat.
  13. Tinjau konfigurasi, lalu pilih Buat.

Membuat gateway VPN untuk jaringan virtual lokal

Buat gateway VPN untuk jaringan virtual lokal. Konfigurasi jaringan ke jaringan memerlukan jenis VPN berbasis rute. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, lalu pilih Buat.
  4. Untuk Nama, masukkan GW-Onprem.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan Virtual, pilih VNet-Onprem.
  10. Untuk Alamat IP publik, pilih Buat baru dan masukkan VNet-Onprem-GW-pip untuk nama tersebut.
  11. Untuk Aktifkan mode aktif-aktif, pilih Dinonaktifkan.
  12. Terima default yang tersisa, lalu pilih Tinjau + buat.
  13. Tinjau konfigurasi, lalu pilih Buat.

Membuat sambungan VPN

Sekarang Anda dapat membuat koneksi VPN antara hub dan gateway lokal.

Dalam langkah-langkah berikut, Anda membuat koneksi dari jaringan virtual hub ke jaringan virtual lokal. Contoh menunjukkan kunci bersama, tetapi Anda dapat menggunakan nilai Anda sendiri untuk kunci bersama. Yang penting kunci bersama harus cocok untuk kedua koneksi. Membuat sambungan hanya membutuhkan waktu singkat.

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih gateway GW-hub.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, masukkan Hub-ke-Onprem.
  5. Untuk jenis Koneksi ion, pilih VNet-ke-VNet .
  6. Pilih Selanjutnya.
  7. Untuk Gateway jaringan virtual pertama, pilih GW-hub.
  8. Untuk Gateway jaringan virtual kedua, pilih GW-Onprem.
  9. Untuk Kunci bersama (PSK), masukkan AzureA1b2C3.
  10. Pilih Tinjau + Buat.
  11. Pilih Buat.

Buat koneksi jaringan virtual antara lokal dan hub. Langkah-langkah berikut mirip dengan yang sebelumnya, kecuali Anda membuat koneksi dari VNet-Onprem ke VNet-Hub. Pastikan kunci bersama cocok. Koneksi dibuat setelah beberapa menit.

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih gateway GW-Onprem.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, masukkan Onprem-to-Hub.
  5. Untuk jenis Koneksi ion, pilih VNet-ke-VNet.
  6. Pilih Berikutnya: Pengaturan.
  7. Untuk Gateway jaringan virtual pertama, pilih GW-Onprem.
  8. Untuk Gateway jaringan virtual kedua, pilih GW-hub.
  9. Untuk Kunci bersama (PSK), masukkan AzureA1b2C3.
  10. Pilih Tinjau + Buat.
  11. Pilih Buat.

Memverifikasi koneksi

Setelah sekitar lima menit, status kedua koneksi harus Koneksi.

Cuplikan layar yang memperlihatkan koneksi gateway.

Menyerekkan jaringan virtual hub dan spoke

Sekarang, serekan jaringan virtual hub dan spoke:

  1. Buka grup sumber daya RG-fw-hybrid-test dan pilih jaringan virtual VNet-Hub.

  2. Pada kolom kiri, pilih Peering.

  3. Pilih Tambahkan.

  4. Pada Jaringan virtual ini:

    Nama pengaturan Pengaturan
    Nama tautan peering Masukkan HubtoSpoke.
    Lalu lintas ke jaringan virtual jarak jauh Pilih Izinkan.
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Pilih Izinkan.
    Gateway jaringan virtual Pilih Gunakan gateway jaringan virtual ini.

  5. Di bawah Jaringan virtual jarak jauh:

    Nama pengaturan Nilai
    Nama tautan peering Masukkan SpoketoHub.
    Model penyebaran jaringan virtual Pilih Resource manager.
    Langganan Pilih langganan Anda.
    Jaringan virtual Pilih VNet-Spoke.
    Lalu lintas ke jaringan virtual jarak jauh Pilih Izinkan.
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Pilih Izinkan.
    Gateway jaringan virtual Pilih Gunakan gateway jaringan virtual jarak jauh.

  6. Pilih Tambahkan.

Cuplikan layar berikut menunjukkan pengaturan yang akan digunakan saat Anda melakukan peer hub dan jaringan virtual spoke:

Cuplikan layar yang memperlihatkan pilihan untuk hub peering dan jaringan virtual spoke.

Membuat rute

Dalam langkah-langkah berikut, Anda membuat rute ini:

  • Rute dari subnet gateway hub ke subnet spoke melalui alamat IP firewall
  • Rute default dari subnet spoke melalui alamat IP firewall

Untuk membuat rute:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan tabel rute.
  3. Pilih Tabel rute, lalu pilih Buat.
  4. Untuk grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  6. Untuk namanya, masukkan UDR-Hub-Spoke.
  7. Pilih Tinjau + Buat.
  8. Pilih Buat.
  9. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  10. Pilih Rute pada kolom kiri.
  11. Pilih Tambahkan.
  12. Untuk nama rute, masukkan ToSpoke.
  13. Untuk Jenis tujuan, pilih alamat IP.
  14. Untuk Alamat IP tujuan/rentang CIDR, masukkan 10.6.0.0/16.
  15. Untuk jenis hop berikutnya, pilih Appliance virtual.
  16. Untuk alamat hop berikutnya, masukkan alamat IP privat firewall yang Anda catat sebelumnya.
  17. Pilih Tambahkan.

Sekarang, kaitkan rute ke subnet:

  1. Pada halaman UDR-Hub-Spoke - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Di bawah Jaringan virtual, pilih VNet-Hub.
  4. Di bawah Subnet, pilih GatewaySubnet.
  5. Pilih OK.

Buat rute default dari subnet spoke:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Dalam kotak pencarian, masukkan tabel rute.
  3. Pilih Tabel rute, lalu pilih Buat.
  4. Untuk grup sumber daya, pilih RG-fw-hybrid-test.
  5. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  6. Untuk namanya, masukkan UDR-DG.
  7. Untuk Menyebarkan rute gateway, pilih Tidak.
  8. Pilih Tinjau + Buat.
  9. Pilih Buat.
  10. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  11. Pilih Rute pada kolom kiri.
  12. Pilih Tambahkan.
  13. Untuk nama rute, masukkan ToHub.
  14. Untuk Jenis tujuan, pilih alamat IP.
  15. Untuk Alamat IP tujuan/rentang CIDR, masukkan 0.0.0.0/0.
  16. Untuk jenis hop berikutnya, pilih Appliance virtual.
  17. Untuk alamat hop berikutnya, masukkan alamat IP privat firewall yang Anda catat sebelumnya.
  18. Pilih Tambahkan.

Kaitkan rute ke subnet:

  1. Pada halaman UDR-DG - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Di bawah Jaringan virtual, pilih VNet-Spoke.
  4. Di bawah Subnet, pilih SN-Workload.
  5. Pilih OK.

Membuat komputer virtual

Buat beban kerja spoke dan komputer virtual lokal, dan letakkan di subnet yang sesuai.

Membuat komputer virtual beban kerja

Buat komputer virtual di jaringan virtual spoke yang berjalan Layanan Informasi Internet (IIS) dan tidak memiliki alamat IP publik:

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Di bagian Produk Marketplace Populer, pilih Pusat Data Windows Server 2019.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya: Pilih RG-fw-hybrid-test.
    • Nama komputer virtual: Masukkan VM-Spoke-01.
    • Wilayah: Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
    • Nama pengguna: Masukkan nama pengguna.
    • Kata sandi: Masukkan kata sandi.
  4. Untuk Port masuk publik, pilih Izinkan port yang dipilih, lalu pilih HTTP (80) dan RDP (3389).
  5. Pilih Selanjutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. Untuk jaringan virtual, pilih VNet-Spoke. Subnet adalah SN-Workload.
  8. Untuk IP Publik, pilih Tidak Ada.
  9. Pilih Berikutnya: Manajemen.
  10. Pilih Berikutnya: Pemantauan.
  11. Untuk Diagnostik boot, pilih Nonaktifkan.
  12. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Instal IIS

  1. Di portal Azure, buka Azure Cloud Shell dan pastikan diatur ke PowerShell.

  2. Jalankan perintah berikut untuk menginstal IIS pada komputer virtual, dan ubah lokasi jika perlu:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Membuat komputer virtual lokal

Buat komputer virtual yang Anda gunakan untuk terhubung melalui akses jarak jauh ke alamat IP publik. Dari sana, Anda dapat terhubung ke server spoke melalui firewall.

  1. Pada beranda portal Microsoft Azure, pilih Membuat sumber daya.
  2. Di bawah Populer, pilih Pusat Data Windows Server 2019.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya: Pilih Yang Sudah Ada, lalu pilih RG-fw-hybrid-test.
    • Nama komputer virtual: Masukkan VM-Onprem.
    • Wilayah: Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
    • Nama pengguna: Masukkan nama pengguna.
    • Kata sandi: Masukkan kata sandi pengguna.
  4. Untuk Port masuk publik, pilih Izinkan port yang dipilih, lalu pilih RDP (3389).
  5. Pilih Selanjutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. Untuk jaringan virtual, pilih VNet-Onprem. Subnetnya adalah SN-Corp.
  8. Pilih Berikutnya: Manajemen.
  9. Pilih Berikutnya: Pemantauan.
  10. Untuk Diagnostik boot, pilih Nonaktifkan.
  11. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Menguji firewall

  1. Perhatikan alamat IP privat untuk komputer virtual VM-Spoke-01 .

  2. Pada portal Azure, sambungkan ke komputer virtual VM-Onprem.

  3. Buka browser web di VM-Onprem, dan telusuri ke http://<VM-Spoke-01 private IP>.

    Halaman web VM-Spoke-01 harus terbuka.

    Cuplikan layar yang memperlihatkan halaman web untuk komputer virtual spoke.

  4. Dari komputer virtual VM-Onprem , buka koneksi akses jarak jauh ke VM-Spoke-01 di alamat IP privat.

    Koneksi Anda akan berhasil, dan Anda akan bisa masuk.

Sekarang setelah Anda memverifikasi bahwa aturan firewall berfungsi, Anda dapat:

  • Telusuri ke server web pada jaringan virtual spoke.
  • Koneksi ke server di jaringan virtual spoke dengan menggunakan RDP.

Selanjutnya, ubah tindakan untuk pengumpulan aturan jaringan firewall menjadi Tolak, untuk memverifikasi bahwa aturan firewall berfungsi seperti yang diharapkan:

  1. Pilih firewall AzFW01.
  2. Pilih Aturan (klasik).
  3. Pilih tab Kumpulan aturan jaringan, dan pilih kumpulan aturan RCNet01 .
  4. Untuk Tindakan, pilih Tolak.
  5. Pilih Simpan.

Tutup koneksi akses jarak jauh yang ada. Jalankan pengujian lagi untuk menguji aturan yang diubah. Mereka semua harus gagal kali ini.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall untuk pengujian lebih lanjut. Jika Anda tidak lagi membutuhkannya, hapus grup sumber daya RG-fw-hybrid-test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Memantau log Azure Firewall