Udostępnij za pośrednictwem

Samouczek: zabezpieczanie sieci wirtualnej centrum przy użyciu usługi Azure Firewall Manager

  • Artykuł

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Za pomocą usługi Azure Firewall Manager można utworzyć sieć wirtualną koncentratora w celu zabezpieczenia ruchu sieciowego hybrydowego przeznaczonego do prywatnych adresów IP, usługi Azure PaaS i Internetu. Aby kontrolować dostęp do sieci hybrydowej korzystającej z zasad, które definiują dozwolony i zabroniony ruch sieciowy, możesz użyć usługi Azure Firewall Manager.

Menedżer zapory obsługuje również zabezpieczoną architekturę koncentratora wirtualnego. Aby zapoznać się z porównaniem typów architektury zabezpieczonego koncentratora wirtualnego i koncentratora sieci wirtualnej, zobacz Jakie są opcje architektury usługi Azure Firewall Manager?

W tym samouczku zostaną utworzone trzy sieci wirtualne:

  • VNet-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VNet-Spoke — sieć wirtualna będąca szprychą reprezentuje pakiet roboczy na platformie Azure.
  • VNet-Onprem — lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można nawiązać połączenie przy użyciu połączenia sieci VPN lub usługi ExpressRoute. Dla ułatwienia w tym samouczku zostanie wykorzystane połączenie za pośrednictwem bramy VPN Gateway, a do reprezentowania sieci lokalnej zostanie wykorzystana sieć wirtualna zlokalizowana na platformie Azure.

Hybrid network

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie zasad zapory
  • Tworzenie sieci wirtualnych
  • Konfigurowanie i wdrażanie zapory
  • Tworzenie i łączenie bram sieci VPN
  • Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy
  • Tworzenie tras
  • Tworzenie maszyn wirtualnych
  • Testowanie zapory

Wymagania wstępne

Sieć hybrydowa używa modelu architektury piasty i szprych do kierowania ruchu między sieciami wirtualnymi platformy Azure i sieciami lokalnymi. Architektura piasty i szprych ma następujące wymagania:

  • Ustaw wartość AllowGatewayTransit podczas komunikacji równorzędnej między sieciami wirtualnymi i sieciami wirtualnymi. W architekturze sieci piasty i szprych tranzyt bramy umożliwia sieciom wirtualnym szprych współużytkowania bramy sieci VPN w koncentratonie, zamiast wdrażania bram sieci VPN w każdej sieci wirtualnej będącej szprychą.

    Ponadto trasy do sieci wirtualnych połączonych z bramą lub sieci lokalnych są automatycznie propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu przesyłania bramy. Aby uzyskać więcej informacji, zobacz Konfigurowanie tranzytu bramy sieci VPN dla komunikacji równorzędnej sieci wirtualnych.

  • Ustaw wartość UseRemoteGateways , gdy równorzędna sieć wirtualna-szprycha ma wartość VNet-Hub. Jeśli parametr UseRemoteGateways jest ustawiony, a właściwość AllowGatewayTransit na zdalnej komunikacji równorzędnej jest również ustawiona, sieć wirtualna szprych używa bram zdalnej sieci wirtualnej do przesyłania.

  • Aby kierować ruch podsieci szprych przez zaporę piasty, musisz mieć trasę zdefiniowaną przez użytkownika (UDR), która wskazuje zaporę z wyłączonym ustawieniem propagacji trasy bramy sieci wirtualnej. Ta opcja uniemożliwia dystrybucję tras do podsieci szprych. Zapobiega to konfliktowi tras poznanych z trasą zdefiniowaną przez użytkownika.

  • Skonfiguruj trasę zdefiniowaną przez użytkownika w podsieci bramy piasty, która wskazuje adres IP zapory jako następny przeskok do sieci szprych. W podsieci usługi Azure Firewall nie jest wymagana trasa zdefiniowana przez użytkownika, ponieważ uzyskuje ona informacje o trasach na podstawie protokołu BGP.

Zapoznaj się z sekcją Tworzenie tras w tym samouczku, aby poznać sposób tworzenia tych tras.

Uwaga

Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja sieć AzureFirewallSubnet poznaje domyślną trasę do sieci lokalnej za pośrednictwem protokołu BGP, należy zastąpić ją trasą zdefiniowaną przez użytkownika 0.0.0.0/0 z wartością NextHopType ustawioną jako Internet, aby zachować bezpośrednią łączność z Internetem .

Usługę Azure Firewall można skonfigurować do obsługi wymuszonego tunelowania. Aby uzyskać więcej informacji, zobacz Wymuszone tunelowanie usługi Azure Firewall.

Uwaga

Ruch między wirtualnymi sieciami równorzędnymi połączonymi bezpośrednio jest kierowany bezpośrednio nawet wtedy, gdy trasa zdefiniowana przez użytkownika wskazuje usługę Azure Firewall jako bramę domyślną. Aby w tym scenariuszu wysyłać ruch między podsieciami do zapory, trasa zdefiniowana przez użytkownika musi jawnie zawierać prefiks podsieci docelowej w obu podsieciach.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie zasad zapory

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania witryny Azure Portal wpisz Firewall Manager i naciśnij klawisz Enter.

  3. Na stronie Azure Firewall Manager w obszarze Zabezpieczenia wybierz pozycję Zasady zapory platformy Azure.

    Screenshot showing Firewall Manager main page.

  4. Wybierz pozycję Utwórz zasady usługi Azure Firewall.

  5. Wybierz subskrypcję, a w polu Grupa zasobów wybierz pozycję Utwórz nową i utwórz grupę zasobów o nazwie FW-Hybrid-Test.

  6. Jako nazwę zasad wpisz Pol-Net01.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz pozycję Dalej: Ustawienia DNS.

  9. Wybierz pozycję Dalej: Inspekcja protokołu TLS

  10. Wybierz pozycję Dalej:Reguły.

  11. Wybierz pozycję Dodaj kolekcję reguł.

  12. W polu Nazwa wpisz RCNet01.

  13. W polu Typ kolekcji reguł wybierz pozycję Sieć.

  14. W polu Priorytet wpisz wartość 100.

  15. W polu Akcja wybierz opcję Zezwalaj.

  16. W obszarze Reguły w polu Nazwa wpisz AllowWeb.

  17. W polu Źródło wpisz 192.168.1.0/24.

  18. W polu Protokół wybierz TCP.

  19. W polu Porty docelowe wpisz wartość 80.

  20. W polu Typ docelowy wybierz pozycję Adres IP.

  21. W polu Miejsce docelowe wpisz wartość 10.6.0.0/16.

  22. W następnym wierszu reguły wprowadź następujące informacje:

    Nazwa: wpisz AllowRDP
    Źródło: wpisz 192.168.1.0/24.
    Protokół, wybierz pozycję TCP
    Porty docelowe, wpisz 3389
    Typ docelowy, wybierz pozycję Adres IP
    W polu Miejsce docelowe wpisz 10.6.0.0/16

  23. Wybierz pozycję Dodaj.

  24. Wybierz pozycję Przejrzyj i utwórz.

  25. Przejrzyj szczegóły, a następnie wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej koncentratora zapory

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.

  6. W polu Nazwa wpisz VNet-hub.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz pozycję Dalej.

  9. W obszarze Zabezpieczenia wybierz pozycję Dalej.

  10. W polu Przestrzeń adresowa IPv4 wpisz 10.5.0.0/16.

  11. W obszarze Podsieci wybierz pozycję domyślne.

  12. W polu Szablon podsieci wybierz pozycję Azure Firewall.

  13. W polu Adres początkowy wpisz 10.5.0.0/26.

  14. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.

  15. Wybierz pozycję Przejrzyj i utwórz.

  16. Wybierz pozycję Utwórz.

Dodaj kolejną podsieć o nazwie GatewaySubnet z przestrzenią adresową 10.5.1.0/27. Ta podsieć jest używana dla bramy sieci VPN.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.
  3. Wybierz pozycję Utwórz.
  4. W obszarze Subskrypcja wybierz swoją subskrypcję.
  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.
  6. W polu Nazwa wpisz VNet-Spoke.
  7. W obszarze Region wybierz pozycję Wschodnie stany USA.
  8. Wybierz pozycję Dalej.
  9. Na stronie Zabezpieczenia wybierz pozycję Dalej.
  10. Wybierz pozycję Dalej: adresy IP.
  11. W polu Przestrzeń adresowa IPv4 wpisz 10.6.0.0/16.
  12. W obszarze Podsieci wybierz pozycję domyślne.
  13. Zmień nazwę na SN-Workload.
  14. W polu Adres początkowy wpisz 10.6.0.0/24.
  15. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.
  16. Wybierz pozycję Przejrzyj i utwórz.
  17. Wybierz pozycję Utwórz.

Tworzenie lokalnej sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.

  6. W polu Nazwa sieci wirtualnej wpisz VNet-OnPrem.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz pozycję Dalej.

  9. Na stronie Zabezpieczenia wybierz pozycję Dalej.

  10. W polu Przestrzeń adresowa IPv4 wpisz 192.168.0.0/16.

  11. W obszarze Podsieci wybierz pozycję domyślne.

  12. Zmień nazwę na SN-Corp.

  13. W polu Adres początkowy wpisz 192.168.1.0/24.

  14. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.

  15. Wybierz pozycję Dodaj podsieć.

  16. W polu Szablon podsieci wybierz pozycję Brama sieci wirtualnej.

  17. W polu Typ adresu początkowego 192.168.2.0/27.

  18. Wybierz pozycję Dodaj.

  19. Wybierz pozycję Przejrzyj i utwórz.

  20. Wybierz pozycję Utwórz.

Konfigurowanie i wdrażanie zapory

Gdy zasady zabezpieczeń są skojarzone z koncentratorem, są nazywane siecią wirtualną koncentratora.

Przekonwertuj sieć wirtualną centrum sieci wirtualnej na sieć wirtualną koncentratora i zabezpiecz ją za pomocą usługi Azure Firewall.

  1. Na pasku wyszukiwania witryny Azure Portal wpisz Firewall Manager i naciśnij klawisz Enter.

  2. W okienku po prawej stronie wybierz pozycję Przegląd.

  3. Na stronie Azure Firewall Manager w obszarze Dodawanie zabezpieczeń do sieci wirtualnych wybierz pozycję Wyświetl sieci wirtualne centrum.

  4. W obszarze Sieci wirtualne zaznacz pole wyboru dla koncentratora sieci wirtualnej.

  5. Wybierz pozycję Zarządzaj zabezpieczeniami, a następnie wybierz pozycję Wdróż zaporę z zasadami zapory.

  6. Na stronie Konwertowanie sieci wirtualnych w obszarze Warstwa usługi Azure Firewall wybierz pozycję Premium. W obszarze Zasady zapory zaznacz pole wyboru Pol-Net01.

  7. Wybierz pozycję Dalej: Przejrzyj i potwierdź

  8. Przejrzyj szczegóły, a następnie wybierz pozycję Potwierdź.

    Wdrożenie może potrwać kilka minut.

  9. Po zakończeniu wdrażania przejdź do grupy zasobów FW-Hybrid-Test i wybierz zaporę.

  10. Zanotuj prywatny adres IP zapory na stronie Przegląd . Będzie ona używana później podczas tworzenia trasy domyślnej.

Tworzenie i łączenie bram sieci VPN

Sieć wirtualna koncentratora i lokalna sieć wirtualna są połączone za pośrednictwem bram sieci VPN.

Tworzenie bramy sieci VPN dla sieci wirtualnej koncentratora

Teraz utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij klawisz Enter.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-hub.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. W polu Jednostka SKU wybierz pozycję VpnGw2.
  9. W obszarze Generacja wybierz pozycję Generacja2.
  10. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  11. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-hub-GW-pip .
  12. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  13. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  14. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Teraz utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij klawisz Enter.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-Onprem.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. W polu Jednostka SKU wybierz pozycję VpnGw2.
  9. W obszarze Generacja wybierz pozycję Generacja2.
  10. W obszarze Sieć wirtualna wybierz pozycję VNet-Onprem.
  11. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-Onprem-GW-pip .
  12. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  13. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  14. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie połączeń sieci VPN

Teraz możesz utworzyć połączenia sieci VPN między bramami centrum i lokalnymi.

W tym kroku utworzysz połączenie z sieci wirtualnej koncentratora do lokalnej sieci wirtualnej. W przykładach odwołuje się klucz współużytkowany. Możesz wybrać własne wartości dla klucza współużytkowanego. Ważne jest, aby klucz współużytkowany był zgodny z obydwoma połączeniami. Utworzenie połączenia zajmuje trochę czasu.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-hub .
  2. Wybierz pozycję Połączenie ions w lewej kolumnie.
  3. Wybierz pozycję Dodaj.
  4. Jako nazwę połączenia wpisz Hub-to-Onprem.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla typu Połączenie ion.
  6. Wybierz pozycję Dalej: Ustawienia.
  7. W polu Pierwsza brama sieci wirtualnej wybierz pozycję GW-hub.
  8. W polu Druga brama sieci wirtualnej wybierz pozycję GW-Onprem.
  9. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  10. Wybierz pozycję Przejrzyj i utwórz.
  11. Wybierz pozycję Utwórz.

Utwórz połączenie z lokalnej sieci wirtualnej do sieci wirtualnej koncentratora. Ten krok jest podobny do poprzedniego, jednak w tym przypadku tworzysz połączenie z sieci VNet-Onprem do sieci VNet-hub. Upewnij się, że klucze współużytkowane są zgodne. Po kilku minutach połączenie zostanie ustanowione.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-Onprem .
  2. Wybierz pozycję Połączenie ions w lewej kolumnie.
  3. Wybierz pozycję Dodaj.
  4. Jako nazwę połączenia wpisz Onprem-to-Hub.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla typu Połączenie ion.
  6. W polu Druga brama sieci wirtualnej wybierz pozycję GW-hub.
  7. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  8. Wybierz przycisk OK.

Weryfikowanie połączenia

Po około pięciu minutach stan obu połączeń powinien być Połączenie.

Screenshot showing the vpn gateway connections.

Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy

Teraz nawiąż komunikację równorzędną pomiędzy siecią wirtualną koncentratora i siecią wirtualną będącą szprychą.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz sieć wirtualną koncentratora sieci wirtualnej.

  2. W lewej kolumnie wybierz pozycję Komunikacje równorzędne.

  3. Wybierz pozycję Dodaj.

  4. W obszarze Ta sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej HubtoSpoke
    Zezwalaj na ruch do zdalnej sieci wirtualnej wybrane
    Zezwalaj na ruch przekazywany z zdalnej sieci wirtualnej (zezwalaj na tranzyt bramy) wybrane
    Używanie zdalnej bramy sieci wirtualnej lub serwera tras nie wybrano

  5. W obszarze Zdalna sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej SpoketoHub
    Model wdrażania sieci wirtualnej Resource Manager
    Subskrypcja <Twoja subskrypcja>
    Sieć wirtualna Sieć wirtualna-szprycha
    Zezwalaj na ruch do bieżącej sieci wirtualnej wybrane
    Zezwalaj na przesyłanie dalej ruchu z bieżącej sieci wirtualnej (zezwalaj na tranzyt bramy) wybrane
    Użyj bieżącej bramy sieci wirtualnej lub serwera tras wybrane

  6. Wybierz pozycję Dodaj.

    Screenshot showing Vnet peering.

Tworzenie tras

Następnie należy utworzyć kilka tras:

  • Trasa z podsieci bramy koncentratora do podsieci będącej szprychą za pośrednictwem adresu IP zapory
  • Trasa domyślna z podsieci będącej szprychą za pośrednictwem adresu IP zapory
  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Jako nazwę wpisz UDR-Hub-Spoke.
  8. Wybierz pozycję Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz.
  10. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  11. Wybierz pozycję Trasy w lewej kolumnie.
  12. Wybierz pozycję Dodaj.
  13. Jako nazwę trasy wpisz ToSpoke.
  14. W polu Typ docelowy wybierz pozycję Adresy IP.
  15. W polu Docelowe adresy IP/zakresy CIDR wpisz 10.6.0.0/16.
  16. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  17. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  18. Wybierz pozycję Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie Trasa zdefiniowana przez użytkownika-piasta-szprycha — trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  4. W obszarze Podsieć wybierz pozycję GatewaySubnet.
  5. Wybierz przycisk OK.

Teraz utwórz trasę domyślną z podsieci szprychy.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Jako nazwę wpisz UDR-DG.
  8. W obszarze Propagacja tras bramy wybierz pozycję Nie.
  9. Wybierz pozycję Przejrzyj i utwórz.
  10. Wybierz pozycję Utwórz.
  11. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  12. Wybierz pozycję Trasy w lewej kolumnie.
  13. Wybierz pozycję Dodaj.
  14. Jako nazwę trasy wpisz ToHub.
  15. W polu Typ miejsca docelowego wybierz pozycję Adresy IP
  16. W polu Docelowe adresy IP/zakresy CIDR wpisz 0.0.0.0/0.
  17. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  18. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  19. Wybierz pozycję Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie UDR-DG - Routes (Trasy) wybierz pozycję Subnets (Podsieci).
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję Sieć wirtualna-szprycha.
  4. W obszarze Podsieć wybierz pozycję SN-Workload.
  5. Wybierz przycisk OK.

Tworzenie maszyn wirtualnych

Teraz utwórz maszyny wirtualne pakietu roboczego szprychy i sieci lokalnej, a następnie umieść je w odpowiednich podsieciach.

Tworzenie maszyny wirtualnej pakietu roboczego

Utwórz maszynę wirtualną w sieci wirtualnej będącej szprychą z uruchomionymi usługami IIS bez publicznego adresu IP.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    • Grupa zasobów — wybierz pozycję FW-Hybrid-Test
    • Nazwa maszyny wirtualnej: VM-Spoke-01
    • Region - (USA) Wschodnie stany USA
    • Nazwa użytkownika: wpisz nazwę użytkownika
    • Hasło: wpisz hasło

  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję HTTP (80) i RDP (3389)

  5. Wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  7. Wybierz pozycję VNet-Spoke dla sieci wirtualnej, a podsieć to SN-Workload.

  8. Wybierz pozycję Dalej:Zarządzanie.

  9. Wybierz pozycję Dalej: Monitorowanie.

  10. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.

  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Instalacja usług IIS

  1. W witrynie Azure Portal otwórz usługę Cloud Shell i upewnij się, że jest ona ustawiona na program PowerShell.

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej i w razie potrzeby zmienić lokalizację:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Tworzenie maszyny wirtualnej w środowisku lokalnym

Jest to maszyna wirtualna używana do nawiązywania połączenia przy użyciu pulpitu zdalnego z publicznym adresem IP. Z tego miejsca nawiążesz następnie połączenie z serwerem lokalnym za pośrednictwem zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W obszarze Popularne wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    • Grupa zasobów — wybierz istniejącą, a następnie wybierz pozycję FW-Hybrid-Test
    • Nazwa - maszyny wirtualnej VM-Onprem
    • Region - (USA) Wschodnie stany USA
    • Nazwa użytkownika: wpisz nazwę użytkownika
    • Hasło: wpisz hasło

  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję RDP (3389)

  5. Wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej:Sieć.

  7. Wybierz pozycję VNet-Onprem dla sieci wirtualnej i sprawdź, czy podsieć to SN-Corp.

  8. Wybierz pozycję Dalej:Zarządzanie.

  9. Wybierz pozycję Dalej: Monitorowanie.

  10. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.

  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Testowanie zapory

  1. Najpierw zanotuj prywatny adres IP maszyny wirtualnej VM-Spoke-01 na stronie Przegląd maszyny wirtualnej VM-Spoke-01.

  2. W witrynie Azure Portal połącz się z maszyną wirtualną VM-Onprem.

  1. Otwórz przeglądarkę internetową na maszynie wirtualnej VM-Onprem, a następnie przejdź do lokalizacji http://<VM-spoke-01 private IP>.

    Powinna zostać wyświetlona strona internetowa VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. Z maszyny wirtualnej VM-Onprem otwórz pulpit zdalny do maszyny wirtualnej VM-spoke-01 pod prywatnym adresem IP.

    Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Możesz przeglądać serwer internetowy w sieci wirtualnej będącej szprychą.
  • Możesz nawiązać połączenie z serwerem w sieci wirtualnej będącej szprychą, korzystając z protokołu RDP.

Następnie zmień ustawienie akcji kolekcji reguł sieci zapory na Odmów, aby sprawdzić, czy reguły zapory działają zgodnie z oczekiwaniami.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz zasady zapory Pol-Net01 .
  2. W obszarze Ustawienia wybierz pozycję Kolekcje reguł.
  3. Wybierz kolekcję reguł RCNet01.
  4. W polu Akcja zbierania reguł wybierz pozycję Odmów.
  5. Wybierz pozycję Zapisz.

Zamknij wszystkie istniejące pulpity zdalne i przeglądarki na maszynie wirtualnej w środowisku lokalnym przed przetestowanie zmienionych reguł. Po zakończeniu aktualizacji kolekcji reguł ponownie uruchom testy. Wszystkie powinny się tym razem nie połączyć.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby dalszego badania lub, jeśli nie są już potrzebne, usuń grupę zasobów FW-Hybrid-Test , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Samouczek: zabezpieczanie wirtualnej sieci WAN przy użyciu usługi Azure Firewall Manager