Menerapkan dan mengonfigurasi Azure Firewall dalam jaringan hibrid menggunakan portal Azure

Saat Anda menyambungkan jaringan lokal Anda ke jaringan virtual Azure untuk membuat jaringan hibrid, kemampuan untuk mengontrol akses ke sumber daya jaringan Azure Anda adalah bagian penting dari rencana keamanan keseluruhan.

Anda dapat menggunakan Azure Firewall untuk mengontrol akses jaringan dalam jaringan hibrid dengan menggunakan aturan yang menentukan lalu lintas jaringan yang diizinkan dan ditolak.

Untuk tutorial ini, Anda membuat tiga jaringan virtual:

  • VNet-Hub - firewall ada di jaringan virtual ini.
  • VNet-Spoke - jaringan virtual spoke mewakili beban kerja yang terletak di Azure.
  • VNet-Onprem - Jaringan virtual lokal mewakili jaringan lokal. Dalam penyebaran yang aktual, hal itu dapat dihubungkan oleh koneksi VPN atau ExpressRoute. Untuk menyederhanakan, prosedur ini menggunakan koneksi VPN gateway, dan jaringan virtual yang terletak di Azure digunakan untuk mewakili jaringan lokal.

Firewall in a hybrid network

Di artikel ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual hub firewall
  • Membuat jaringan virtual spoke
  • Membuat jaringan virtual lokal
  • Mengonfigurasi dan menyebarkan firewall
  • Membuat dan menyambungkan gateway VPN
  • Menyerekkan jaringan virtual hub dan spoke
  • Membuat rute
  • Buat komputer virtual
  • Menguji firewall

Jika Anda ingin menggunakan Azure PowerShell sebagai gantinya untuk menyelesaikan prosedur ini, lihat Menyebarkan dan mengkonfigurasi Azure Firewall dalam jaringan hibrid menggunakan Azure PowerShell.

Catatan

Artikel ini menggunakan aturan Firewall klasik untuk mengelola firewall. Metode yang dipilih adalah menggunakan Kebijakan Firewall. Untuk menyelesaikan tutorial ini menggunakan Kebijakan Firewall, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan dalam jaringan hibrid menggunakan portal Microsoft Azure.

Prasyarat

Jaringan hybrid menggunakan model arsitektur hub-and-spoke untuk mengarahkan lalu lintas antara Azure VNets dan jaringan lokal. Arsitektur hub-and-spoke memiliki persyaratan berikut:

  • Setel Gunakan gateway jaringan virtual ini atau Route Server ketika mem-peering VNet-Hub ke VNet-Spoke. Dalam arsitektur jaringan hub-and-spoke, transit gateway memungkinkan jaringan virtual spoke untuk berbagi VPN gateway di hub, alih-alih menyebarkan VPN gateway di setiap jaringan virtual spoke.

    Selain itu, rute ke jaringan virtual yang tersambung ke gateway atau jaringan lokal akan menyebar secara otomatis ke tabel perutean untuk jaringan virtual yang diserekkan menggunakan transit gateway. Untuk informasi lebih, lihat Mengonfigurasi transit gateway VPN untuk menyerekkan jaringan virtual.

  • Setel Gunakan gateway jaringan virtual jarak jauh atau Route Server saat Anda mem-peering VNet-Spoke ke VNet-Hub. Jika Gunakan gateway jaringan virtual jarak jauh atau Route Server diatur dan Gunakan gateway jaringan virtual ini atau Route Server pada peering jarak jauh juga diatur, jaringan virtual spoke menggunakan gateway dari jaringan virtual jarak jauh untuk transit.

  • Untuk merutekan lalu lintas subnet spoke melalui firewall hub, Anda dapat menggunakan rute Yang Ditentukan Pengguna (UDR) yang menunjuk ke firewall dengan opsi Propagasi rute gateway jaringan virtual dinonaktifkan. Opsi Propagasi rute gateway jaringan virtual dinonaktifkan mencegah distribusi rute ke subnet spoke. Ini mencegah rute yang dipelajari bertentangan dengan UDR Anda. Jika Anda ingin mengaktifkan Propagasi rute gateway jaringan virtual ,pastikan untuk menentukan rute tertentu ke firewall untuk menimpa rute yang diterbitkan dari lokal melalui BGP.

  • Mengonfigurasi UDR pada subnet gateway hub yang menunjuk ke alamat IP firewall sebagai lompatan berikutnya ke jaringan spoke. UDR tidak diperlukan pada subnet Azure Firewall karena subnet mempelajari rute dari BGP.

Lihat bagian Buat Rute dalam tutorial ini untuk melihat bagaimana rute ini dibuat.

Catatan

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet Anda mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan UDR 0.0.0.0/0 dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Azure Firewall dapat dikonfigurasi untuk mendukung penerowongan paksa. Untuk informasi selengkapnya, lihat Azure Firewall memaksa penerowongan.

Catatan

Lalu lintas antara VNet yang diserek langsung dirutekan langsung meskipun UDR menunjuk ke Azure Firewall sebagai gateway default. Untuk mengirim subnet ke lalu lintas subnet ke firewall dalam skenario ini, UDR harus berisi awalan jaringan subnet target secara eksplisit pada kedua subnet.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat jaringan virtual hub firewall

Pertama, buat grup sumber daya untuk memuat semua sumber daya untuk tutorial ini:

  1. Masuk ke portal Microsoft Azure di https://portal.azure.com.
  2. Pada beranda portal Microsoft Azure, pilih Grup sumber daya>Tambahkan.
  3. Untuk Langganan, pilih langganan Anda.
  4. Untuk nama Grup sumber daya, ketikkan FW-Hybrid-Test.
  5. Untuk Wilayah, pilih (US) US Timur. Semua sumber daya yang Anda buat nanti harus berada di lokasi yang sama.
  6. Pilih Tinjau + Buat.
  7. Pilih Buat.

Sekarang, buat VNet:

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi selengkapnya tentang ukuran subjaringan, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  5. Untuk Nama, ketikkan VNet-hub.
  6. Pilih Selanjutnya: Alamat IP.
  7. Untuk ruang Alamat IPv4, hapus alamat default dan ketik 10.5.0.0/16.
  8. Di bawah Nama subnet, pilih Tambahkan subnet.
  9. Untuk Nama subnet jenis AzureFirewallSubnet. Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.
  10. Untuk Rentang alamat subnet, jenis 10.5.0.0/26.
  11. Pilih Tambahkan.
  12. Pilih Tinjau + buat.
  13. Pilih Buat.

Membuat jaringan virtual spoke

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Jaringan, pilih Jaringan virtual.
  3. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  4. Untuk Nama, jenis VNet-Spoke.
  5. Untuk Wilayah, pilih (US) US Timur.
  6. Pilih Selanjutnya: Alamat IP.
  7. Untuk ruang alamat IPv4, hapus alamat default dan ketik 10.6.0.0/16.
  8. Di bawah Nama subnet, pilih Tambahkan subnet.
  9. Untuk Nama subnet, ketikkan SN-Workload.
  10. Untuk Rentang alamat subnet, jenis 10.6.0.0/24.
  11. Pilih Tambahkan.
  12. Pilih Tinjau + buat.
  13. Pilih Buat.

Membuat jaringan virtual lokal

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Jaringan, pilih Jaringan virtual.
  3. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  4. Untuk Nama, ketikkan VNet-OnPrem.
  5. Untuk Wilayah, pilih (US) US Timur.
  6. Pilih Selanjutnya: Alamat IP
  7. Untuk ruang alamat IPv4, hapus alamat default dan ketik 192.168.0.0/16.
  8. Di bawah Nama subnet, pilih Tambahkan subnet.
  9. Untuk Nama subnet ketikkan SN-Corp.
  10. Untuk Rentang alamat subnet, ketik 192.168.1.0/24.
  11. Pilih Tambahkan.
  12. Pilih Tinjau + buat.
  13. Pilih Buat.

Sekarang buat subnet kedua untuk gateway.

  1. Pada halaman VNet-Onprem, pilih Subnet.
  2. Pilih +Subnet.
  3. Untuk Nama, ketikkan GatewaySubnet.
  4. Untuk Rentang alamat subnet192.168.2.0/24.
  5. PilihOK.

Mengkonfigurasi dan menyebarkan firewall

Sekarang menyebarkan firewall ke jaringan virtual firewall hub.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.

  2. Di kolom sebelah kiri, pilih Jaringan, lalu cari dan pilih Firewall.

  3. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya FW-Hybrid-Test
    Nama AzFW01
    Wilayah US Timur
    Manajemen firewall Gunakan aturan Firewall (klasik) untuk mengelola firewall ini
    Pilih jaringan virtual Gunakan yang ada:
    VNet-hub
    Alamat IP Publik Tambah baru:
    fw-pip.
  4. Pilih Tinjau + buat.

  5. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini perlu beberapa menit untuk menyebarkan.

  6. Setelah penyebaran selesai, buka grup sumber daya FW-Hybrid-Test, lalu pilih firewall AzFW01.

  7. Catat alamat IP privat. Anda akan menggunakannya nanti saat membuat rute default.

Mengonfigurasi aturan jaringan

Pertama, tambahkan aturan jaringan untuk mengizinkan lalu lintas web.

  1. Pada halaman AzFW01, Pilih Aturan.
  2. Pilih tab Kumpulan aturan Jaringan.
  3. Pilih Tambahkan kumpulan aturan jaringan.
  4. Untuk Nama, ketik RCNet01.
  5. Untuk Prioritas, jenis 100.
  6. Untuk Tindakan pengumpulan aturan, pilih Izinkan.
  7. Di bawah Aturan, untuk Nama, jenis AllowWeb.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketikkan 192.168.1.0/24.
  10. Untuk Protokol, pilih TCP.
  11. Untuk Port Tujuan, ketikkan 80.
  12. Untuk Jenis tujuan, pilih alamat IP.
  13. Untuk Tujuan, ketikkan 10.6.0.0/16.

Sekarang tambahkan aturan untuk memungkinkan lalu lintas RDP.

Pada baris aturan kedua, ketikkan informasi berikut ini:

  1. Nama, ketikkan AllowRDP.
  2. Untuk Jenis sumber, pilih alamat IP.
  3. Untuk Sumber, ketikkan 192.168.1.0/24.
  4. Untuk Protokol, pilih TCP.
  5. Untuk Port Tujuan, jenis 3389.
  6. Untuk Jenis tujuan, pilih alamat IP.
  7. Untuk Tujuan, jenis 10.6.0.0/16
  8. Pilih Tambahkan.

Membuat dan menyambungkan gateway VPN

Hub dan jaringan virtual lokal tersambung melalui gateway VPN.

Membuat gateway VPN untuk jaringan virtual hub

Sekarang buat gateway VPN untuk jaringan virtual hub. Konfigurasi jaringan-ke-jaringan memerlukan RouteBased VpnType. Membuat gateway VPN seringkali bisa memakan waktu 45 menit atau lebih, tergantung SKU gateway VPN yang dipilih.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Pada kotak teks pencarian, ketikkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, dan pilih Buat.
  4. Untuk Nama, ketikkan GW-hub.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk Jenis VPN, pilih Basis rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan virtual, pilih VNet-hub.
  10. Untuk alamat IP Publik, pilih Buat baru, dan jenis VNet-hub-GW-pip untuk nama.
  11. Terima default yang tersisa, lalu pilih Lakukan ulasan + buat.
  12. Lakukan ulasan konfigurasi, lalu pilih Buat.

Membuat gateway VPN untuk jaringan virtual lokal

Sekarang, buat gateway VPN untuk jaringan virtual lokal. Konfigurasi jaringan-ke-jaringan memerlukan RouteBased VpnType. Membuat gateway VPN seringkali bisa memakan waktu 45 menit atau lebih, tergantung SKU gateway VPN yang dipilih.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Pada kotak teks pencarian, ketikkan gateway jaringan virtual dan tekan Enter.
  3. Pilih Gateway jaringan virtual, dan pilih Buat.
  4. Untuk Nama, ketikkan GW-Onprem.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk Jenis VPN, pilih Basis rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan Virtual, pilih VNet-Onprem.
  10. Untuk alamat IP Publik, pilih Buat baru, dan ketik VNet-Onprem-GW-pip untuk nama tersebut.
  11. Terima default yang tersisa, lalu pilih Lakukan ulasan + buat.
  12. Lakukan ulasan konfigurasi, lalu pilih Buat.

Membuat sambungan VPN

Sekarang Anda dapat membuat koneksi VPN antara hub dan gateway lokal.

Dalam langkah ini, Anda akan membuat koneksi dari jaringan virtual hub ke jaringan virtual lokal. Anda akan melihat kunci bersama yang direferensikan dalam contoh. Anda dapat menggunakan nilai milik Anda untuk kunci bersama. Yang penting adalah kunci bersama harus cocok untuk kedua koneksi. Membuat koneksi hanya membutuhkan waktu singkat.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih gateway GW-hub.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Nama koneksi, ketikkan Hub-ke-Onprem.
  5. Pilih VNet-ke-VNet untuk Jenis koneksi.
  6. Untuk Gateway jaringan virtual kedua, pilih GW-Onprem.
  7. Untuk Kunci bersama (PSK) , ketikkan AzureA1b2C3.
  8. PilihOK.

Membuat koneksi jaringan virtual lokal ke hub. Langkah ini mirip dengan yang sebelumnya, hanya saja Anda membuat koneksi dari VNet-Onprem ke VNet-hub. Pastikan kunci bersama cocok. Sambungan akan dibuat setelah beberapa menit.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih gateway GW-Onprem.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, ketik Onprem-ke-Hub.
  5. Pilih VNet-ke-VNet untuk Jenis koneksi.
  6. Untuk Gateway jaringan virtual kedua, pilih GW-hub.
  7. Untuk Kunci bersama (PSK) , ketikkan AzureA1b2C3.
  8. PilihOK.

Memverifikasi koneksi

Setelah sekitar lima menit atau lebih, status kedua koneksi akan Terhubung.

Gateway connections

Menyerekkan jaringan virtual hub dan spoke

Sekarang peer jaringan virtual hub dan spoke.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih jaringan virtual VNet-hub.

  2. Pada kolom kiri, pilih Peering.

  3. Pilih Tambahkan.

  4. Di bawah Jaringan virtual ini:

    Nama pengaturan Nilai
    Nama tautan serekan HubtoSpoke
    Lalu lintas untuk jaringan virtual jarak jauh Izinkan (default)
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Izinkan (default)
    Gateway jaringan virtual Menggunakan gateway jaringan virtual ini
  5. Di bawah Jaringan virtual jarak jauh:

    Nama pengaturan Nilai
    Nama tautan serekan SpoketoHub
    Model penyebaran jaringan virtual Manajer sumber daya
    Langganan <langganan Anda>
    Jaringan virtual VNet-Spoke
    Lalu lintas untuk jaringan virtual jarak jauh Izinkan (default)
    Lalu lintas yang diteruskan dari jaringan virtual jarak jauh Izinkan (default)
    Gateway jaringan virtual Gunakan gateway jaringan virtual jarak jauh
  6. Pilih Tambahkan.

    Vnet peering

Membuat rute

Selanjutnya, buat beberapa rute:

  • Rute dari subnet gateway hub ke subnet spoke melalui alamat IP firewall
  • Rute default dari subnet spoke melalui alamat IP firewall
  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Dalam kotak teks pencarian, ketikkan tabel rute dan tekan Enter.
  3. Pilih Tabel rute.
  4. Pilih Buat.
  5. Pilih FW-Hybrid-Test untuk grup sumber daya.
  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  7. Untuk nama, ketik UDR-Hub-Spoke.
  8. Pilih Tinjau + Buat.
  9. Pilih Buat.
  10. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  11. Pilih Rute pada kolom kiri.
  12. Pilih Tambahkan.
  13. Untuk nama rute, ketikkan ToSpoke.
  14. Untuk awalan alamat, ketikkan 10.6.0.0/16.
  15. Untuk jenis lompatan berikutnya, pilih Virtual appliance.
  16. Untuk alamat hop berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.
  17. PilihOK.

Sekarang kaitkan rute ke subnet.

  1. Pada halaman UDR-Hub-Spoke - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Untuk Jaringan Virtual, pilih VNet-hub.
  4. Di bawah Subnet, pilih GatewaySubnet.
  5. PilihOK.

Sekarang buat rute default dari subnet spoke.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Dalam kotak teks pencarian, ketikkan tabel rute dan tekan Enter.
  3. Pilih Tabel rute.
  4. Pilih Buat.
  5. Pilih FW-Hybrid-Test untuk grup sumber daya.
  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  7. Untuk nama, ketik UDR-DG.
  8. Untuk Menyebarkan rute gateway, pilih Tidak.
  9. Pilih Tinjau + Buat.
  10. Pilih Buat.
  11. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  12. Pilih Rute pada kolom kiri.
  13. Pilih Tambahkan.
  14. Untuk nama rute, ketik ToHub.
  15. Untuk awalan alamat, jenis 0.0.0.0/0.
  16. Untuk jenis lompatan berikutnya, pilih Virtual appliance.
  17. Untuk alamat hop berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.
  18. PilihOK.

Sekarang kaitkan rute ke subnet.

  1. Pada halaman UDR-DG - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Untuk Jaringan Virtual, pilih VNet-spoke.
  4. Di bawah Subnet, pilih SN-Workload.
  5. PilihOK.

Membuat komputer virtual

Sekarang buat beban kerja spoke dan komputer virtual lokal, dan letakkan di subnet yang sesuai.

Membuat komputer virtual beban kerja

Buat komputer virtual di jaringan virtual spoke, IIS yang berjalan, tanpa alamat IP publik.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Populer, pilih Pusat Data Windows Server 2016.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya - Pilih FW-Hybrid-Test.
    • Nama komputer virtual: VM-Spoke-01.
    • Wilayah - Wilayah yang Anda gunakan sebelumnya.
    • Nama pengguna: <jenis nama pengguna>.
    • Kata sandi: <ketik kata sandi>
  4. Untuk Port masuk publik, pilih Izinkan port yang dipilih, lalu pilih HTTP (80) , dan RDP (3389)
  5. Pilih Berikutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. PilihVNet-Spoke untuk jaringan virtual dan subnetnya adalah SN-Workload.
  8. Untuk IP Publik, pilih Tidak ada.
  9. Pilih Selanjutnya:Manajemen.
  10. Untuk Diagnostik boot, Pilih Nonaktifkan.
  11. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Menginstal IIS

  1. Dari portal Microsoft Azure, buka Cloud Shell dan pastikan bahwa ia diatur ke PowerShell.

  2. Jalankan perintah berikut untuk menginstal IIS pada komputer virtual dan ubah lokasi jika perlu:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Membuat komputer virtual lokal

Ini adalah komputer virtual yang Anda gunakan untuk menyambungkan menggunakan Desktop Jauh ke alamat IP publik. Dari sana, Anda kemudian tersambung ke server lokal melalui firewall.

  1. Pada beranda portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Populer, pilih Pusat Data Windows Server 2016.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya - Pilih yang ada, lalu pilih FW-Hybrid-Test.
    • Nama komputer virtual - VM-Onprem.
    • Wilayah - Wilayah yang Anda gunakan sebelumnya.
    • Nama pengguna: <jenis nama pengguna>.
    • Kata sandi: <ketik kata sandi pengguna>.
  4. Untuk Port masuk publik, pilihIzinkan port yang dipilih, lalu pilih RDP (3389)
  5. Pilih Berikutnya:Disk.
  6. Terima default, lalu pilih Berikutnya: Jaringan.
  7. Pilih VNet-Onprem untuk jaringan virtual dan subnetnya adalah SN-Corp.
  8. Pilih Selanjutnya:Manajemen.
  9. Untuk Diagnostik boot, Pilih Nonaktifkan.
  10. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak ditetapkan alamat IP publik atau berada di kumpulan back-end dasar internal Azure load balancer. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

Untuk informasi selengkapnya, lihat Akses keluar default di Azure.

IP akses keluar default dinonaktifkan saat alamat IP publik ditetapkan ke VM atau VM di tempatkan di kumpulan back-end standar load balancer, dengan atau tanpa aturan keluar. Jika sumber daya gateway Terjemahan alamat jaringan (NAT) Azure Virtual Network ditetapkan ke subnet mesin virtual, IP akses keluar default dinonaktifkan.

VM yang dibuat oleh set skala mesin virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya terkait koneksi keluar di Azure, lihat NAT Sumber (SNAT) untuk koneksi keluar.

Menguji firewall

  1. Pertama, perhatikan alamat IP privat untuk komputer virtual VM-spoke-01.

  2. Dari portal Microsoft Azure, sambungkan ke komputer virtual VM-Onprem.

  1. Buka browser web di VM-Onprem, dan jelajahi http://<VM-spoke-01 IP pribadi>.

    Anda akan melihat halaman web VM-spoke-01: VM-Spoke-01 web page

  2. Dari komputer virtual VM-Onprem, buka desktop jarak jauh ke VM-spoke-01 pada alamat IP privat.

    Koneksi Anda akan berhasil, dan Anda akan bisa masuk.

Jadi sekarang Anda telah memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat menelusuri server web di jaringan virtual spoke.
  • Anda dapat tersambung ke server pada jaringan virtual spoke menggunakan RDP.

Selanjutnya, ubah tindakan pengumpulan aturan jaringan firewall ke Tolak untuk memverifikasi bahwa aturan firewall berfungsi seperti yang diharapkan.

  1. Pilih firewall AzFW01.
  2. Pilih Aturan.
  3. Pilih tab Pengumpulan aturan jaringan dan pilih pengumpulan aturan RCNet01.
  4. Untuk Tindakan, pilih Tolak.
  5. Pilih Simpan.

Tutup desktop jarak jauh yang ada sebelum menguji aturan yang diubah. Sekarang jalankan pengujian lagi. Mereka semua harus gagal kali ini.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk pengujian lebih lanjut, atau jika tidak lagi diperlukan, hapus grup sumber daya FW-Hybrid-Test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Selanjutnya, Anda dapat memantau log Azure Firewall.

Tutorial: Memantau log Azure Firewall