Share via

Azure Firewall implementeren en configureren in een hybride netwerk met behulp van de Azure-portal

  • Artikel

Als u het on-premises netwerk verbindt met een virtueel Azure-netwerk om een hybride netwerk te maken, is de mogelijkheid om de toegang tot uw Azure-netwerkresources te beheren een belangrijk onderdeel van een algemeen beveiligingsplan.

U kunt Azure Firewall gebruiken om netwerktoegang in een hybride netwerk te beheren met behulp van regels die toegestaan en geweigerd netwerkverkeer definiëren.

Voor dit artikel maakt u drie virtuele netwerken:

  • VNet-Hub: De firewall bevindt zich in dit virtuele netwerk.
  • VNet-Spoke: Het virtuele spoke-netwerk vertegenwoordigt de workload die zich in Azure bevindt.
  • VNet-Onprem: Het on-premises virtuele netwerk vertegenwoordigt een on-premises netwerk. In een werkelijke implementatie kunt u er verbinding mee maken met behulp van een VPN-verbinding (virtueel particulier netwerk) of een Azure ExpressRoute-verbinding. Ter vereenvoudiging gebruikt dit artikel een VPN-gatewayverbinding en een virtueel Azure-netwerk vertegenwoordigt een on-premises netwerk.

Diagram met een firewall in een hybride netwerk.

Als u in plaats daarvan Azure PowerShell wilt gebruiken om de procedures in dit artikel te voltooien, raadpleegt u Azure Firewall implementeren en configureren in een hybride netwerk met behulp van Azure PowerShell.

Notitie

In dit artikel worden klassieke Azure Firewall-regels gebruikt om de firewall te beheren. De voorkeursmethode is het gebruik van een Azure Firewall Manager-beleid. Zie Zelfstudie: Azure Firewall en beleid implementeren en configureren in een hybride netwerk met behulp van Azure Portal om deze procedure te voltooien met behulp van een Azure Firewall Manager-beleid.

Vereisten

Een hybride netwerk maakt gebruik van het hub-and-spoke-architectuurmodel om verkeer tussen virtuele Azure-netwerken en on-premises netwerken te routeren. De hub-en-spoke-architectuur heeft de volgende vereisten:

  • Stel Gebruik de gateway of routeserver van dit virtuele netwerk in wanneer u VNet-Hub koppelt aan VNet-Spoke. In een hub en spoke-netwerkarchitectuur zorgt een gatewayovergang dat virtuele spoke-netwerken de VPN-gateway in de hub kunnen delen, in plaats van in elk virtueel spoke-netwerk VPN-gateways te implementeren.

    Daarnaast worden routes naar de virtuele netwerken die zijn verbonden met de gateway of on-premises netwerken automatisch doorgegeven aan de routeringstabellen voor de gekoppelde virtuele netwerken via de gatewayoverdracht. Zie VPN-gatewayoverdracht kunt configureren voor peering voor virtuele netwerken voor meer informatie.

  • Stel De gateways of routeserver van het externe virtuele netwerk gebruiken in wanneer u VNet-Spoke koppelt aan VNet-Hub. Als de gateways of routeserver van het externe virtuele netwerk zijn ingesteld en de gateway of routeserver van dit virtuele netwerk op externe peering ook is ingesteld, gebruikt het virtuele spoke-netwerk gateways van het externe virtuele netwerk voor overdracht.

  • Als u het spoke-subnetverkeer via de hubfirewall wilt routeren, kunt u een door de gebruiker gedefinieerde route (UDR) gebruiken die verwijst naar de firewall met de optie doorgifte van gatewayroute van het virtuele netwerk uitgeschakeld. Als u deze optie uitschakelt, voorkomt u routedistributie naar de spoke-subnetten, zodat geleerde routes niet kunnen conflicteren met uw UDR. Als u de doorgifte van gatewayroute van het virtuele netwerk wilt behouden, moet u specifieke routes naar de firewall definiëren om routes te overschrijven die zijn gepubliceerd vanaf on-premises via Border Gateway Protocol (BGP).

  • Configureer een UDR in het subnet van de hubgateway die verwijst naar het IP-adres van de firewall als de volgende hop naar de spoke-netwerken. Er is geen UDR vereist voor het Azure Firewall-subnet, omdat er routes van BGP worden geleerd.

In de sectie Routes maken verderop in dit artikel ziet u hoe u deze routes maakt.

Azure Firewall moeten directe verbinding met internet hebben. Als uw AzureFirewallSubnet-subnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u dit overschrijven met behulp van een UDR van 0.0.0.0/0 met de NextHopType waarde die is ingesteld om Internet directe internetverbinding te behouden.

Notitie

U kunt Azure Firewall configureren ter ondersteuning van geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Verkeer tussen rechtstreeks gekoppelde virtuele netwerken wordt rechtstreeks gerouteerd, zelfs als een UDR verwijst naar Azure Firewall als de standaardgateway. Als u in dit scenario subnet-naar-subnetverkeer naar de firewall wilt verzenden, moet een UDR het subnetnetwerkvoorvoegsel van het doelsubnet expliciet op beide subnetten bevatten.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Het virtuele hub-netwerk voor de firewall maken

Maak eerst de resourcegroep die de resources bevat:

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Op de startpagina van Azure Portal de optie Resourcegroepen>maken.
  3. Selecteer uw abonnement bij Abonnement.
  4. Voer voor resourcegroep RG-fw-hybrid-test in.
  5. Selecteer een regio voor Regio. Alle resources die u later maakt, moeten zich in dezelfde regio bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

Maak nu het virtuele netwerk.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak het virtuele netwerk in.
  3. Selecteer Virtueel netwerk en selecteer vervolgens Maken.
  4. Selecteer voor resourcegroep de optie RG-fw-hybrid-test.
  5. Voer voor de naam van het virtuele netwerk VNet-Hub in.
  6. Selecteer voor Regio de regio die u eerder hebt gebruikt.
  7. Selecteer Volgende.
  8. Selecteer Volgende op het tabblad Beveiliging.
  9. Verwijder voor IPv4-adresruimte het standaardadres en voer 10.5.0.0/16 in.
  10. Verwijder onder Subnetten het standaardsubnet.
  11. Selecteer Een subnet toevoegen.
  12. Selecteer Azure Firewall op de pagina Een subnet toevoegen voor een subnetsjabloon.
  13. Selecteer Toevoegen.

Maak een tweede subnet voor de gateway:

  1. Selecteer Een subnet toevoegen.
  2. Voor subnetsjabloon selecteert u Virtuele netwerkgateway.
  3. Accepteer voor het beginadres de standaardwaarde 10.5.1.0.
  4. Accepteer voor subnetgrootte de standaardwaarde / 27.
  5. Selecteer Toevoegen.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

Het virtuele spoke-netwerk maken

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak het virtuele netwerk in.
  3. Selecteer Virtueel netwerk en selecteer vervolgens Maken.
  4. Selecteer voor resourcegroep de optie RG-fw-hybrid-test.
  5. Voer bij Naam VNet-Spoke in.
  6. Selecteer voor Regio de regio die u eerder hebt gebruikt.
  7. Selecteer Volgende.
  8. Selecteer Volgende op het tabblad Beveiliging.
  9. Verwijder voor IPv4-adresruimte het standaardadres en voer 10.6.0.0/16 in.
  10. Verwijder onder Subnetten het standaardsubnet.
  11. Selecteer Een subnet toevoegen.
  12. Voer bij Naam SN-Workload in.
  13. Accepteer voor het beginadres de standaardwaarde 10.6.0.0.
  14. Accepteer voor subnetgrootte de standaardwaarde / 24.
  15. Selecteer Toevoegen.
  16. Selecteer Controleren + maken.
  17. Selecteer Maken.

Het on-premises virtuele netwerk maken

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak het virtuele netwerk in.
  3. Selecteer Virtueel netwerk en selecteer vervolgens Maken.
  4. Selecteer voor resourcegroep de optie RG-fw-hybrid-test.
  5. Voer bij Naam VNet-Onprem in.
  6. Selecteer voor Regio de regio die u eerder hebt gebruikt.
  7. Selecteer Volgende.
  8. Selecteer Volgende op het tabblad Beveiliging.
  9. Verwijder voor IPv4-adresruimte het standaardadres en voer 192.168.0.0/16 in.
  10. Verwijder onder Subnetten het standaardsubnet.
  11. Selecteer Een subnet toevoegen.
  12. Voer bij Naam SN-Corp in.
  13. Accepteer voor het beginadres de standaardwaarde 192.168.0.0.
  14. Accepteer voor subnetgrootte de standaardwaarde / 24.
  15. Selecteer Toevoegen.

Maak nu een tweede subnet voor de gateway:

  1. Selecteer Een subnet toevoegen.
  2. Voor subnetsjabloon selecteert u Virtuele netwerkgateway.
  3. Accepteer voor het beginadres de standaardwaarde 192.168.1.0.
  4. Accepteer voor subnetgrootte de standaardwaarde / 27.
  5. Selecteer Toevoegen.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De firewall configureren en implementeren

Implementeer de firewall in het virtuele netwerk van de firewallhub:

  1. Selecteer Een resource maken op de startpagina van Azure Portal.

  2. Voer in het zoekvak de firewall in.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Resourcegroep Voer RG-fw-hybrid-test in.
    Naam Voer AzFW01 in.
    Regio Selecteer de regio die u eerder hebt gebruikt.
    Firewall-SKU Selecteer Standaard.
    Firewallbeheer Selecteer Firewallregels (klassiek) gebruiken om deze firewall te beheren.
    Een virtueel netwerk kiezen Selecteer Bestaande>VNet-Hub gebruiken.
    Openbaar IP-adres Selecteer Nieuwe>fw-pip toevoegen.

  5. Selecteer Controleren + maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat de firewall is geïmplementeerd.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-fw-hybrid-test en selecteert u de AzFW01-firewall .

  8. Noteer het privé-IP-adres. U gebruikt deze later wanneer u de standaardroute maakt.

Netwerkregels configureren

Voeg eerst een netwerkregel toe om webverkeer toe te staan:

  1. Selecteer Regels (klassiek) op de pagina AzFW01.
  2. Selecteer het tabblad Verzameling met netwerkregels.
  3. Selecteer Verzameling met netwerkregels toevoegen.
  4. Voer bij Naam RCNet01 in.
  5. Voer voor Prioriteit 100 in.
  6. Selecteer Toestaan voor de actie Regelverzameling.
  7. Voer AllowWeb in onder Regels IP-adressen voor naam in.
  8. Bij Protocol selecteert u TCP.
  9. Selecteer IP-adres bij Brontype.
  10. Voer voor Bron 192.168.0.0/24 in.
  11. Bij Doeltype selecteert u IP-adres.
  12. Voer voor doeladres 10.6.0.0/16 in.
  13. Voer 80 in voor doelpoorten.

Voeg nu een regel toe om RDP-verkeer toe te staan. Voer in de tweede regelrij de volgende gegevens in:

  1. Voer voor Naam AllowRDP in.
  2. Bij Protocol selecteert u TCP.
  3. Selecteer IP-adres bij Brontype.
  4. Voer voor Bron 192.168.0.0/24 in.
  5. Bij Doeltype selecteert u IP-adres.
  6. Voer voor doeladres 10.6.0.0/16 in.
  7. Voer voor doelpoorten 3389 in.
  8. Selecteer Toevoegen.

De VPN-gateways maken en verbinden

Het virtuele hub-netwerk en het on-premises virtuele netwerk zijn verbonden via VPN-gateways.

Een VPN-gateway maken voor het virtuele hub-netwerk

Maak de VPN-gateway voor het virtuele hubnetwerk. Voor netwerk-naar-netwerkconfiguraties is een op route gebaseerd VPN-type vereist. Het maken van een VPN-gateway kan vaak 45 minuten of langer duren, afhankelijk van de SKU die u selecteert.

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak de gateway van het virtuele netwerk in.
  3. Selecteer De gateway van het virtuele netwerk en selecteer vervolgens Maken.
  4. Voer bij Naam GW-hub in.
  5. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Bij SKU selecteert u Basis.
  9. Voor virtueel netwerk selecteert u VNet-Hub.
  10. Voor openbaar IP-adres selecteert u Nieuw maken en voert u VNet-Hub-GW-pip in als naam.
  11. Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
  12. Accepteer de overige standaardwaarden en selecteer Vervolgens Beoordelen en maken.
  13. Controleer de configuratie en selecteer vervolgens Maken.

Een VPN-gateway maken voor het on-premises virtuele netwerk

Maak de VPN-gateway voor het on-premises virtuele netwerk. Voor netwerk-naar-netwerkconfiguraties is een op route gebaseerd VPN-type vereist. Het maken van een VPN-gateway kan vaak 45 minuten of langer duren, afhankelijk van de SKU die u selecteert.

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak de gateway van het virtuele netwerk in.
  3. Selecteer De gateway van het virtuele netwerk en selecteer vervolgens Maken.
  4. Voer voor Naam GW-Onprem in.
  5. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
  6. Bij Gatewaytype selecteert u VPN.
  7. Bij VPN-type selecteert u Op route gebaseerd.
  8. Bij SKU selecteert u Basis.
  9. Bij Virtueel netwerk selecteert u VNet-Onprem.
  10. Voor openbaar IP-adres selecteert u Nieuw maken en voert u VNet-Onprem-GW-pip in als naam.
  11. Selecteer Uitgeschakeld voor de modus Actief-actief inschakelen.
  12. Accepteer de overige standaardwaarden en selecteer Vervolgens Beoordelen en maken.
  13. Controleer de configuratie en selecteer vervolgens Maken.

De VPN-verbindingen maken

U kunt nu de VPN-verbindingen maken tussen de hub-gateway en de on-premises gateway.

In de volgende stappen maakt u de verbinding van het virtuele hubnetwerk met het on-premises virtuele netwerk. In de voorbeelden wordt een gedeelde sleutel weergegeven, maar u kunt uw eigen waarde voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het kan even duren voordat de verbinding is gemaakt.

  1. Open de resourcegroep RG-fw-hybrid-test en selecteer de GW-hub-gateway .
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Voer hub-naar-on-premises in voor de naam van de verbinding.
  5. Voor Verbinding maken iontype selecteert u VNet-naar-VNet.
  6. Selecteer Volgende.
  7. Selecteer GW-hub voor de eerste virtuele netwerkgateway.
  8. Selecteer GW-Onprem voor de tweede virtuele netwerkgateway.
  9. Voer Voor gedeelde sleutel (PSK) AzureA1b2C3 in.
  10. Selecteer Controleren + maken.
  11. Selecteer Maken.

Maak de virtuele netwerkverbinding tussen on-premises en de hub. De volgende stappen zijn vergelijkbaar met de vorige stappen, behalve dat u de verbinding maakt van VNet-Onprem naar VNet-Hub. Zorg ervoor dat de gedeelde sleutels overeenkomen. De verbinding wordt na een paar minuten tot stand gebracht.

  1. Open de resourcegroep RG-fw-hybrid-test en selecteer de GW-Onprem-gateway .
  2. Selecteer Verbindingen in de linkerkolom.
  3. Selecteer Toevoegen.
  4. Voer Onprem-to-Hub in voor de naam van de verbinding.
  5. Voor Verbinding maken type selecteert u VNet-naar-VNet.
  6. Selecteer Volgende: Instellingen.
  7. Voor eerste virtuele netwerkgateway selecteert u GW-Onprem.
  8. Selecteer GW-hub voor de tweede virtuele netwerkgateway.
  9. Voer Voor gedeelde sleutel (PSK) AzureA1b2C3 in.
  10. Selecteer Controleren + maken.
  11. Selecteer Maken.

De verbindingen controleren

Na ongeveer vijf minuten moet de status van beide verbindingen worden Verbinding maken.

Schermopname van gatewayverbindingen.

De hub- en virtuele spoke-netwerken koppelen

Peer nu de hub en spoke virtuele netwerken:

  1. Open de resourcegroep RG-fw-hybrid-test en selecteer het virtuele VNet-Hub-netwerk .

  2. Selecteer in de linkerkolom Peerings.

  3. Selecteer Toevoegen.

  4. Onder Dit virtueel netwerk:

    Naam instelling Instelling
    Naam van peeringkoppeling Voer HubtoSpoke in.
    Verkeer naar extern virtueel netwerk Selecteer Toestaan.
    Verkeer dat is doorgestuurd vanuit een extern virtueel netwerk Selecteer Toestaan.
    Gateway voor een virtueel netwerk Selecteer De gateway van dit virtuele netwerk gebruiken.

  5. Onder Extern virtueel netwerk:

    Naam instelling Weergegeven als
    Naam van peeringkoppeling Voer SpoketoHub in.
    Implementatiemodel voor virtueel netwerk Selecteer Resource Manager.
    Abonnement Selecteer uw abonnement.
    Virtueel netwerk Selecteer VNet-Spoke.
    Verkeer naar extern virtueel netwerk Selecteer Toestaan.
    Verkeer dat is doorgestuurd vanuit een extern virtueel netwerk Selecteer Toestaan.
    Gateway voor een virtueel netwerk Selecteer De gateway van het externe virtuele netwerk gebruiken.

  6. Selecteer Toevoegen.

In de volgende schermopname ziet u de instellingen die moeten worden gebruikt wanneer u virtuele netwerken peer-hub en spoke-netwerken gebruikt:

Schermopname van selecties voor peeringhub- en spoke-virtuele netwerken.

De routes maken

In de volgende stappen maakt u deze routes:

  • Een route van het subnet van de hub-gateway naar het spoke-subnet via het IP-adres van de firewall
  • Een standaardroute van het spoke-subnet via het IP-adres van de firewall

De routes maken:

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak routetabel in.
  3. Selecteer De routetabel en selecteer vervolgens Maken.
  4. Selecteer voor de resourcegroep RG-fw-hybrid-test.
  5. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  6. Voer UDR-Hub-Spoke in als naam.
  7. Selecteer Controleren + maken.
  8. Selecteer Maken.
  9. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  10. Selecteer Routes in de linkerkolom.
  11. Selecteer Toevoegen.
  12. Voer ToSpoke in voor de routenaam.
  13. Selecteer IP-adressen voor doeltype.
  14. Voer voor DOEL-IP-adressen/CIDR-bereiken 10.6.0.0/16 in.
  15. Voor het volgende hoptype selecteert u Virtueel apparaat.
  16. Voer voor het volgende hopadres het privé-IP-adres van de firewall in dat u eerder hebt genoteerd.
  17. Selecteer Toevoegen.

Koppel de route nu aan het subnet:

  1. Selecteer op de pagina UDR-Hub-Spoke - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Selecteer VNet-Hub onder Virtueel netwerk.
  4. Onder Subnet selecteert u GatewaySubnet.
  5. Selecteer OK.

Maak de standaardroute van het spoke-subnet:

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Voer in het zoekvak routetabel in.
  3. Selecteer De routetabel en selecteer vervolgens Maken.
  4. Selecteer voor de resourcegroep RG-fw-hybrid-test.
  5. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  6. Voer UDR-DG in als naam.
  7. Selecteer Nee bij Gatewayroute doorgeven.
  8. Selecteer Controleren + maken.
  9. Selecteer Maken.
  10. Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
  11. Selecteer Routes in de linkerkolom.
  12. Selecteer Toevoegen.
  13. Voer ToHub in als routenaam.
  14. Selecteer IP-adressen voor doeltype.
  15. Voer voor DOEL-IP-adressen/CIDR-bereiken 0.0.0.0/0 in.
  16. Voor het volgende hoptype selecteert u Virtueel apparaat.
  17. Voer voor het volgende hopadres het privé-IP-adres van de firewall in dat u eerder hebt genoteerd.
  18. Selecteer Toevoegen.

Koppel de route aan het subnet:

  1. Selecteer op de pagina UDR-DG - RoutesSubnetten.
  2. Selecteer Koppelen.
  3. Selecteer VNet-Spoke onder Virtueel netwerk.
  4. Onder Subnet selecteert u SN-Workload.
  5. Selecteer OK.

Virtuele machines maken

Maak de spoke-workload en on-premises virtuele machines en plaats deze in de juiste subnetten.

De virtuele workloadmachine maken

Maak een virtuele machine in het virtuele spoke-netwerk met IIS (Internet Information Services) en heeft geen openbaar IP-adres:

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
  3. Voer deze waarden in voor de virtuele machine:
    • Resourcegroep: Selecteer RG-fw-hybrid-test.
    • Naam van virtuele machine: voer VM-Spoke-01 in.
    • Regio: Selecteer dezelfde regio die u eerder hebt gebruikt.
    • Gebruikersnaam: Voer een gebruikersnaam in.
    • Wachtwoord: voer een wachtwoord in.
  4. Voor openbare binnenkomende poorten selecteert u Geselecteerde poorten toestaan en selecteert u vervolgens HTTP (80) en RDP (3389).
  5. Selecteer Volgende: Schijven.
  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
  7. Selecteer VNet-Spoke voor het virtuele netwerk. Het subnet is SN-Workload.
  8. Selecteer Geen voor Openbaar IP.
  9. Selecteer Volgende: Beheer.
  10. Selecteer Volgende: Bewaking.
  11. Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
  12. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.

IIS installeren

  1. Open Azure Cloud Shell in Azure Portal en zorg ervoor dat deze is ingesteld op PowerShell.

  2. Voer de volgende opdracht uit om IIS op de virtuele machine te installeren en wijzig indien nodig de locatie:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

De on-premises virtuele machine maken

Maak een virtuele machine die u gebruikt om verbinding te maken via externe toegang tot het openbare IP-adres. Van daaruit kunt u verbinding maken met de spoke-server via de firewall.

  1. Selecteer Een resource maken op de startpagina van Azure Portal.
  2. Selecteer onder Populair Windows Server 2019 Datacenter.
  3. Voer deze waarden in voor de virtuele machine:
    • Resourcegroep: Selecteer Bestaande en selecteer vervolgens RG-fw-hybrid-test.
    • Naam van virtuele machine: voer VM-Onprem in.
    • Regio: Selecteer dezelfde regio die u eerder hebt gebruikt.
    • Gebruikersnaam: Voer een gebruikersnaam in.
    • Wachtwoord: voer een gebruikerswachtwoord in.
  4. Voor openbare binnenkomende poorten selecteert u Geselecteerde poorten toestaan en selecteert u vervolgens RDP (3389).
  5. Selecteer Volgende: Schijven.
  6. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
  7. Selecteer VNet-Onprem voor het virtuele netwerk. Het subnet is SN-Corp.
  8. Selecteer Volgende: Beheer.
  9. Selecteer Volgende: Bewaking.
  10. Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
  11. Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

De firewall testen

  1. Noteer het privé-IP-adres voor de virtuele machine VM-Spoke-01 .

  2. Maak in Azure Portal verbinding met de virtuele machine VM-Onprem .

  3. Open een webbrowser op VM-Onprem en blader naar http://<VM-Spoke-01 private IP>.

    De webpagina VM-Spoke-01 moet worden geopend.

    Schermopname van de webpagina voor de virtuele spoke-machine.

  4. Open vanaf de virtuele machine VM-Onprem een externe toegangsverbinding met VM-Spoke-01 op het privé-IP-adres.

    Deze verbinding moet worden gemaakt en u moet zich kunnen aanmelden.

Nu u hebt gecontroleerd of de firewallregels werken, kunt u het volgende doen:

  • Blader naar de webserver in het virtuele spoke-netwerk.
  • Verbinding maken naar de server in het virtuele spoke-netwerk met behulp van RDP.

Wijzig vervolgens de actie voor de verzameling firewallnetwerkregels in Weigeren om te controleren of de firewallregels werken zoals verwacht:

  1. Selecteer de firewall AzFW01.
  2. Selecteer Regels (klassiek).
  3. Selecteer het tabblad Verzameling netwerkregels en selecteer de RCNet01-regelverzameling .
  4. Bij Actie selecteert u Weigeren.
  5. Selecteer Opslaan.

Sluit eventuele bestaande externe toegangsverbindingen. Voer de tests opnieuw uit om de gewijzigde regels te testen. Ze moeten deze keer allemaal mislukken.

Resources opschonen

U kunt uw firewall-resources behouden voor verdere tests. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep RG-fw-hybrid-test om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall-logboeken bewaken