Tutorial: Menyebarkan dan mengkonfigurasi Azure Firewall dan kebijakan dalam jaringan hibrid menggunakan portal Microsoft Azure

  • Artikel

Saat Anda menyambungkan jaringan lokal Anda ke jaringan virtual Azure untuk membuat jaringan hibrid, kemampuan untuk mengontrol akses ke sumber daya jaringan Azure adalah bagian penting dari rencana keamanan keseluruhan.

Anda dapat menggunakan Azure Firewall untuk mengontrol akses jaringan dalam jaringan hibrid dengan menggunakan aturan yang menentukan lalu lintas jaringan yang diizinkan dan ditolak.

Untuk tutorial ini, Anda membuat tiga jaringan virtual:

  • VNet-Hub - firewall ada di jaringan virtual ini.
  • VNet-Spoke - jaringan virtual spoke mewakili beban kerja yang terletak di Azure.
  • VNet-Onprem - Jaringan virtual lokal mewakili jaringan lokal. Dalam penyebaran aktual, hal itu dapat dihubungkan oleh koneksi VPN atau ExpressRoute. Untuk menyederhanakan, tutorial ini menggunakan koneksi gateway VPN, dan jaringan virtual yang terletak di Azure digunakan untuk mewakili jaringan lokal.

Firewall dalam jaringan hibrid

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual hub firewall
  • Membuat jaringan virtual spoke
  • Membuat jaringan virtual lokal
  • Mengkonfigurasi dan menyebarkan firewall dan kebijakan
  • Membuat dan menyambungkan gateway VPN
  • Menyerekkan jaringan virtual hub dan spoke
  • Membuat rute
  • Buat komputer virtual
  • Menguji firewall

Jika Anda ingin menggunakan Azure PowerShell sebagai gantinya untuk menyelesaikan prosedur ini, lihat Menyebarkan dan mengkonfigurasi Azure Firewall dalam jaringan hibrid menggunakan Azure PowerShell.

Prasyarat

Jaringan hybrid menggunakan model arsitektur hub-and-spoke untuk mengarahkan lalu lintas antara Azure VNets dan jaringan lokal. Arsitektur hub-dan-spoke memiliki persyaratan berikut:

  • Setel Gunakan gateway jaringan virtual ini atau Route Server ketika mem-peering VNet-Hub ke VNet-Spoke. Dalam arsitektur jaringan hub-and-spoke, transit gateway memungkinkan jaringan virtual spoke untuk berbagi VPN gateway di hub, alih-alih menyebarkan VPN gateway di setiap jaringan virtual spoke.

    Selain itu, rute ke jaringan virtual yang tersambung ke gateway atau jaringan lokal akan propagasi secara otomatis ke tabel perutean untuk jaringan virtual yang diserekan menggunakan transit gateway. Untuk informasi selengkapnya, lihat Mengonfigurasi transit gateway VPN untuk menyerekkan jaringan virtual.

  • Setel Gunakan gateway jaringan virtual jarak jauh atau Route Server saat Anda mem-peering VNet-Spoke ke VNet-Hub. Jika Gunakan gateway jaringan virtual jarak jauh atau Azure Route Server diatur dan Gunakan gateway jaringan virtual ini atau Azure Route Server pada serekan jarak jauh juga diatur, jaringan virtual spoke menggunakan gateway dari jaringan virtual jarak jauh untuk transit.

  • Untuk merutekan lalu lintas subnet spoke melalui firewall hub, Anda dapat menggunakan rute Yang Ditentukan Pengguna (UDR) yang menunjuk ke firewall dengan opsi Propagasi rute gateway jaringan virtual dinonaktifkan. Opsi Propagasi rute gateway jaringan virtual dinonaktifkan mencegah distribusi rute ke subnet spoke. Hal ini mencegah rute yang dipelajari mengalami konflik dengan UDR Anda. Jika Anda ingin propagasi rute gateway jaringan virtual terus aktif, pastikan Anda menentukan rute tertentu ke firewall untuk mengambil alih rute yang diterbitkan dari lokal melalui BGP.

  • Mengonfigurasi UDR pada subnet gateway hub yang menunjuk ke alamat IP firewall sebagai lompatan berikutnya ke jaringan spoke. UDR tidak diperlukan pada subnet Azure Firewall karena subnet mempelajari rute dari BGP.

Lihat bagian Buat Rute dalam tutorial ini untuk melihat bagaimana rute ini dibuat.

Catatan

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan 0.0.0.0/0 UDR dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Azure Firewall dapat dikonfigurasi untuk mendukung penerowongan paksa. Untuk informasi selengkapnya, lihat Azure Firewall memaksa penerowongan.

Catatan

Lalu lintas antara VNet yang diserek langsung dirutekan langsung meskipun UDR menunjuk ke Azure Firewall sebagai gateway default. Untuk mengirim lalu lintas subnet-ke-subnet ke firewall dalam skenario ini, UDR harus berisi awalan jaringan subnet target secara eksplisit pada kedua subnet.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat jaringan virtual hub firewall

Pertama, buat grup sumber daya untuk memuat semua sumber daya untuk tutorial ini:

  1. Masuk ke portal Azure.
  2. Di beranda portal Azure, pilih Grup sumber daya>Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk nama Grup sumber daya, ketikkan FW-Hybrid-Test.
  5. Untuk Wilayah, pilih (US) US Timur. Semua sumber daya yang Anda buat nanti harus berada di lokasi yang sama.
  6. Pilih Tinjau + Buat.
  7. Pilih Buat.

Sekarang, buat VNet:

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  5. Untuk Nama, ketik VNet-hub.
  6. Pilih Selanjutnya: Alamat IP.
  7. Untuk ruang Alamat IPv4, hapus alamat default dan ketik 10.5.0.0/16.
  8. Di bawah Nama subnet, pilih Tambahkan subnet.
  9. Untuk Nama subnet jenis AzureFirewallSubnet. Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.
  10. Untuk Rentang alamat subnet, jenis 10.5.0.0/26.
  11. Pilih Tambahkan.
  12. Pilih Tinjau + buat.
  13. Pilih Buat.

Membuat jaringan virtual spoke

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  5. Untuk Nama, jenis VNet-Spoke.
  6. Untuk Wilayah, pilih (US) US Timur.
  7. Pilih Selanjutnya: Alamat IP.
  8. Untuk ruang alamat IPv4, hapus alamat default dan ketik 10.6.0.0/16.
  9. Di bawah Nama subnet, pilih Tambahkan subnet.
  10. Untuk Nama subnet, ketik SN-Workload.
  11. Untuk Rentang alamat subnet, jenis 10.6.0.0/24.
  12. Pilih Tambahkan.
  13. Pilih Tinjau + buat.
  14. Pilih Buat.

Membuat jaringan virtual lokal

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Jaringan, pilih Jaringan virtual.
  3. Untuk Grup sumber daya, pilih FW-Hybrid-Test.
  4. Untuk Nama, ketikkan VNet-OnPrem.
  5. Untuk Wilayah, pilih (US) US Timur.
  6. Pilih Selanjutnya: Alamat IP
  7. Untuk ruang alamat IPv4, hapus alamat default dan ketik 192.168.0.0/16.
  8. Di bawah Nama subnet, pilih Tambahkan subnet.
  9. Untuk Nama subnet ketikkan SN-Corp.
  10. Untuk Rentang alamat subnet, ketik 192.168.1.0/24.
  11. Pilih Tambahkan.
  12. Pilih Tinjau + buat.
  13. Pilih Buat.

Sekarang buat subnet kedua untuk gateway.

  1. Pada halaman VNet-Onprem, pilih Subnet.
  2. Pilih +Subnet.
  3. Untuk Nama, ketikkan GatewaySubnet.
  4. Untuk Rentang alamat subnet192.168.2.0/24.
  5. Pilih Simpan.

Mengonfigurasi dan menyebarkan firewall

Sekarang menyebarkan firewall ke jaringan virtual firewall hub.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.

  2. Di kolom kiri, pilih Jaringan, dan cari lalu pilih Firewall, lalu pilih Buat.

  3. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya FW-Hybrid-Test
    Nama AzFW01
    Wilayah US Timur
    Tingkat firewall Standard
    Pengelolaan firewall Gunakan Firewall Policy untuk mengelola firewall ini
    Kebijakan Firewall Tambahkan yang baru:
    hybrid-test-pol
    US Timur
    Pilih jaringan virtual Gunakan yang ada:
    VNet-hub
    Alamat IP publik Tambahkan baru:
    fw-pip

  4. Pilih Tinjau + buat.

  5. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini perlu beberapa menit untuk menyebarkan.

  6. Setelah penyebaran selesai, buka grup sumber daya FW-Hybrid-Test, lalu pilih firewall AzFW01.

  7. Catat alamat IP privat. Anda akan menggunakannya nanti saat membuat rute default.

Mengonfigurasi aturan jaringan

Pertama, tambahkan aturan jaringan untuk mengizinkan lalu lintas web.

  1. Dari grup sumber daya FW-Hybrid-Test, pilih hybrid-test-pol Firewall Policy.
  2. Pilih Aturan jaringan.
  3. Pilih Tambahkan kumpulan aturan.
  4. Untuk Nama, ketik RCNet01.
  5. Untuk Prioritas, ketik 100.
  6. Untuk Tindakan kumpulan aturan, pilih Izinkan.
  7. Di bawah Aturan, untuk Nama, jenis AllowWeb.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketik 192.168.1.0/24.
  10. Untuk Protokol, pilih TCP.
  11. Untuk Port Tujuan, ketikkan 80.
  12. Untuk Jenis tujuan, pilih alamat IP.
  13. Untuk Tujuan, ketikkan 10.6.0.0/16.

Sekarang tambahkan aturan untuk memungkinkan lalu lintas RDP.

Pada baris aturan kedua, ketikkan informasi berikut ini:

  1. Nama, ketikkan AllowRDP.
  2. Untuk Jenis sumber, pilih alamat IP.
  3. Untuk Sumber, ketik 192.168.1.0/24.
  4. Untuk Protokol, pilih TCP.
  5. Untuk Port Tujuan, jenis 3389.
  6. Untuk Jenis tujuan, pilih alamat IP.
  7. Untuk Tujuan, ketik 10.6.0.0/16
  8. Pilih Tambahkan.

Membuat dan menyambungkan gateway VPN

Hub dan jaringan virtual lokal tersambung melalui gateway VPN.

Membuat gateway VPN untuk jaringan virtual hub

Sekarang buat gateway VPN untuk jaringan virtual hub. Konfigurasi jaringan-ke-jaringan memerlukan RouteBased VpnType. Membuat gateway VPN seringkali bisa memakan waktu 45 menit atau lebih, tergantung SKU gateway VPN yang dipilih.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Pada kotak teks pencarian, ketikkan gateway jaringan virtual.
  3. Pilih Gateway jaringan virtual, dan pilih Buat.
  4. Untuk Nama, ketik GW-hub.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk jaringan Virtual, pilih VNet-hub.
  10. Untuk alamat IP Publik, pilih Buat baru, dan ketik VNet-hub-GW-pip untuk namanya.
  11. Terima default yang tersisa, lalu pilih Tinjau + buat.
  12. Lakukan ulasan konfigurasi, lalu pilih Buat.

Membuat gateway VPN untuk jaringan virtual lokal

Sekarang buat gateway VPN untuk jaringan virtual lokal. Konfigurasi jaringan-ke-jaringan memerlukan RouteBased VpnType. Membuat gateway VPN seringkali bisa memakan waktu 45 menit atau lebih, tergantung SKU gateway VPN yang dipilih.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Pada kotak teks pencarian, ketikkan gateway jaringan virtual dan tekan Enter.
  3. Pilih Gateway jaringan virtual, dan pilih Buat.
  4. Untuk Nama, ketik GW-Onprem.
  5. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  6. Untuk Jenis gateway, pilih VPN.
  7. Untuk jenis VPN, pilih berbasis Rute.
  8. Untuk SKU, pilih Dasar.
  9. Untuk Jaringan Virtual, pilih VNet-Onprem.
  10. Untuk alamat IP Publik, pilih Buat baru, dan ketik VNet-Onprem-GW-pip untuk nama tersebut.
  11. Terima default yang tersisa, lalu pilih Tinjau + buat.
  12. Lakukan ulasan konfigurasi, lalu pilih Buat.

Membuat sambungan VPN

Sekarang Anda dapat membuat koneksi VPN antara hub dan gateway lokal.

Dalam langkah ini, Anda akan membuat koneksi dari jaringan virtual hub ke jaringan virtual lokal. Anda akan melihat kunci bersama yang direferensikan dalam contoh. Anda dapat menggunakan nilai Anda sendiri untuk kunci bersama. Yang penting adalah kunci bersama harus cocok untuk kedua koneksi. Membuat sambungan hanya membutuhkan waktu singkat.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih gateway GW-hub.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Nama koneksi, ketik Hub-ke-Onprem.
  5. Pilih VNet-to-VNet untuk tipe Koneksi.
  6. Untuk Gateway jaringan virtual kedua, pilih GW-Onprem.
  7. Untuk Kunci bersama (PSK), ketikkan AzureA1b2C3.
  8. Pilih OK.

Membuat koneksi jaringan virtual lokal ke hub. Langkah ini mirip dengan yang sebelumnya, hanya saja Anda membuat koneksi dari VNet-Onprem ke VNet-hub. Pastikan kunci bersama cocok. Sambungan akan dibuat setelah beberapa menit.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih gateway GW-Onprem.
  2. Pilih Koneksi pada kolom kiri.
  3. Pilih Tambahkan.
  4. Untuk nama koneksi, ketik Onprem-ke-Hub.
  5. Pilih VNet-to-VNet untuk tipe Koneksi.
  6. Untuk Gateway jaringan virtual kedua, pilih GW-hub.
  7. Untuk Kunci bersama (PSK), ketikkan AzureA1b2C3.
  8. Pilih OK.

Memverifikasi koneksi

Setelah sekitar lima menit atau lebih, status kedua koneksi akan Terhubung.

Sambungan gateway

Menyerekkan jaringan virtual hub dan spoke

Sekarang peer jaringan virtual hub dan spoke.

  1. Buka grup sumber daya FW-Hybrid-Test dan pilih jaringan virtual VNet-hub.

  2. Pada kolom kiri, pilih Peering.

  3. Pilih Tambahkan.

  4. Pada Jaringan virtual ini:

    Nama pengaturan Nilai
    Nama tautan penyerekan HubtoSpoke
    Lalu lintas ke jaringan virtual jarak jauh Izinkan (default)
    Lalu lintas diteruskan dari jaringan virtual jarak jauh Izinkan (default)
    Gateway jaringan virtual Menggunakan gateway jaringan virtual ini

  5. Di bawah Jaringan virtual jarak jauh:

    Nama pengaturan Nilai
    Nama tautan penyerekan SpoketoHub
    Model penyebaran jaringan virtual Manajer Sumber Daya
    Langganan <langganan Anda>
    Jaringan virtual VNet-Spoke
    Lalu lintas ke jaringan virtual jarak jauh Izinkan (default)
    Lalu lintas diteruskan dari jaringan virtual jarak jauh Izinkan (default)
    Gateway jaringan virtual Gunakan gateway jaringan virtual jarak jauh

  6. Pilih Tambahkan.

    Peering Vnet

Membuat rute

Selanjutnya, buat beberapa rute:

  • Rute dari subnet gateway hub ke subnet spoke melalui alamat IP firewall
  • Rute default dari subnet spoke melalui alamat IP firewall
  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Dalam kotak teks pencarian, ketik tabel rute dan tekan Enter.
  3. Pilih Tabel rute.
  4. Pilih Buat.
  5. Pilih FW-Hybrid-Test untuk grup sumber daya.
  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  7. Untuk nama, ketik UDR-Hub-Spoke.
  8. Pilih Tinjau + Buat.
  9. Pilih Buat.
  10. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  11. Pilih Rute pada kolom kiri.
  12. Pilih Tambahkan.
  13. Untuk nama rute, ketikkan ToSpoke.
  14. Untuk Tujuan prefiks alamat, pilih Alamat IP.
  15. Untuk Rentang CIDR/alamat IP tujuan, ketik 10.6.0.0/16.
  16. Untuk jenis lompatan berikutnya, pilih appliance Virtual.
  17. Untuk alamat lompatan berikutnya, ketik alamat IP privat firewall yang Anda sebutkan sebelumnya.
  18. Pilih Tambahkan.

Sekarang kaitkan rute ke subnet.

  1. Pada halaman UDR-Hub-Spoke - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Di bawah Jaringan virtual, pilih VNet-hub.
  4. Di bawah Subnet, pilih GatewaySubnet.
  5. Pilih OK.

Sekarang buat rute default dari subnet spoke.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Dalam kotak teks pencarian, ketik tabel rute dan tekan Enter.
  3. Pilih Tabel rute.
  4. Pilih Buat.
  5. Pilih FW-Hybrid-Test untuk grup sumber daya.
  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  7. Untuk nama, ketik UDR-DG.
  8. Untuk Menyebarkan rute gateway, pilih Tidak.
  9. Pilih Tinjau + Buat.
  10. Pilih Buat.
  11. Setelah tabel rute dibuat, pilih tabel untuk membuka halaman tabel rute.
  12. Pilih Rute pada kolom kiri.
  13. Pilih Tambahkan.
  14. Untuk nama rute, ketik ToHub.
  15. Untuk Tujuan prefiks alamat, pilih Alamat IP.
  16. Untuk Rentang CIDR/alamat IP tujuan, ketik 0.0.0.0/0.
  17. Untuk jenis lompatan berikutnya, pilih appliance Virtual.
  18. Untuk alamat lompatan berikutnya, ketik alamat IP privat firewall yang Anda sebutkan sebelumnya.
  19. Pilih Tambahkan.

Sekarang kaitkan rute ke subnet.

  1. Pada halaman UDR-DG - Rute, pilih Subnet.
  2. Lalu pilih Kaitkan.
  3. Di bawah Jaringan virtual, pilih VNet-spoke.
  4. Di bawah Subnet, pilih SN-Workload.
  5. Pilih OK.

Membuat komputer virtual

Sekarang buat beban kerja spoke dan komputer virtual lokal, dan letakkan di subnet yang sesuai.

Membuat komputer virtual beban kerja

Buat komputer virtual di jaringan virtual spoke, jalankan IIS, tanpa alamat IP publik.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bagian Produk Marketplace Populer, pilih Pusat Data Windows Server 2019.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya - Pilih FW-Hybrid-Test
    • Nama komputer virtual: VM-Spoke-01
    • Wilayah - Wilayah yang sama dengan yang Anda gunakan sebelumnya
    • Nama pengguna: <ketik nama pengguna>
    • Kata sandi: <ketik kata sandi>
  4. Untuk Port masuk publik, pilih Izinkan port yang dipilih, lalu pilih HTTP (80), dan RDP (3389).
  5. Pilih Berikutnya:Disk.
  6. Terima default dan pilih Selanjutnya: Jaringan.
  7. Pilih VNet-Spoke untuk jaringan virtual dan subnetnya adalah SN-Workload.
  8. Untuk IP Publik, pilih Tidak Ada.
  9. Pilih Selanjutnya:Manajemen.
  10. Untuk Diagnostik boot, Pilih Nonaktifkan.
  11. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Instal IIS

Setelah mesin virtual dibuat, instal IIS.

  1. Dari portal Microsoft Azure, buka Cloud Shell dan pastikan bahwa ia diatur ke PowerShell.

  2. Jalankan perintah berikut untuk menginstal IIS pada komputer virtual dan ubah lokasi jika perlu:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Membuat komputer virtual lokal

Ini adalah komputer virtual yang Anda gunakan untuk menyambungkan menggunakan Desktop Jauh ke alamat IP publik. Dari sana, Anda kemudian tersambung ke server lokal melalui firewall.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bagian Produk Marketplace Populer, pilih Pusat Data Windows Server 2019.
  3. Masukkan nilai-nilai ini untuk komputer virtual:
    • Grup sumber daya - Pilih yang ada, lalu pilih FW-Hybrid-Test.
    • Nama komputer virtual - VM-Onprem.
    • Wilayah - Wilayah yang Anda gunakan sebelumnya.
    • Nama pengguna: <jenis nama pengguna>.
    • Kata sandi: <ketik kata sandi pengguna>.
  4. Untuk Port inbound publik, pilih Perbolehkan port yang dipilih, lalu pilih RDP (3389)
  5. Pilih Berikutnya:Disk.
  6. Terima default, lalu pilih Berikutnya: Jaringan.
  7. Pilih VNet-Onprem untuk jaringan virtual dan subnetnya adalah SN-Corp.
  8. Pilih Selanjutnya:Manajemen.
  9. Untuk Diagnostik boot, Pilih Nonaktifkan.
  10. Pilih Lakukan ulasan+Buat, lakukan ulasan pengaturan pada halaman ringkasan, lalu pilih Buat.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Menguji firewall

  1. Pertama, perhatikan alamat IP privat untuk komputer virtual VM-spoke-01.

  2. Dari portal Microsoft Azure, sambungkan ke komputer virtual VM-Onprem.

  3. Buka browser web di VM-Onprem, dan jelajahi http://<VM-spoke-01 private IP>.

    Anda akan melihat halaman web VM-spoke-01 : Halaman web VM-Spoke-01

  4. Dari komputer virtual VM-Onprem, buka desktop jarak jauh ke VM-spoke-01 pada alamat IP privat.

    Koneksi Anda akan berhasil, dan Anda akan bisa masuk.

Jadi sekarang Anda telah memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat menelusuri server web di jaringan virtual spoke.
  • Anda dapat tersambung ke server pada jaringan virtual spoke menggunakan RDP.

Selanjutnya, ubah tindakan pengumpulan aturan jaringan firewall ke Tolak untuk memverifikasi bahwa aturan firewall berfungsi seperti yang diharapkan.

  1. Pilih Kebijakan Firewall hybrid-test-pol .
  2. Pilih Koleksi Aturan.
  3. Pilih kumpulan aturan RCNet01.
  4. Untuk Tindakan koleksi aturan, pilih Tolak.
  5. Pilih Simpan.

Tutup desktop jarak jauh yang ada sebelum menguji aturan yang diubah. Sekarang jalankan pengujian lagi. Mereka semua harus gagal kali ini.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya, atau jika tidak lagi diperlukan, hapus sumber daya FW-Hybrid-Test untuk menghapus semua sumber daya terkait.

Langkah berikutnya

Menyebarkan dan mengonfigurasi Azure Firewall Premium