Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall oraz zasad w sieci hybrydowej przy użyciu witryny Azure Portal

  • Artykuł

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Za pomocą usługi Azure Firewall i zasad zapory można kontrolować dostęp sieciowy w sieci hybrydowej przy użyciu reguł definiujących dozwolony i blokowany ruch sieciowy.

W tym samouczku zostaną utworzone trzy sieci wirtualne:

  • VNet-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VNet-Spoke — sieć wirtualna będąca szprychą reprezentuje pakiet roboczy na platformie Azure.
  • VNet-Onprem — lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można nawiązać połączenie z siecią VPN lub usługą ExpressRoute. Dla ułatwienia w tym samouczku zostanie wykorzystane połączenie za pośrednictwem bramy VPN Gateway, a do reprezentowania sieci lokalnej zostanie wykorzystana sieć wirtualna zlokalizowana na platformie Azure.

Zapora w sieci hybrydowej

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie sieci wirtualnej koncentratora zapory
  • Tworzenie sieci wirtualnej będącej szprychą
  • Tworzenie lokalnej sieci wirtualnej
  • Konfigurowanie i wdrażanie zapory i zasad
  • Tworzenie i łączenie bram sieci VPN
  • Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy
  • Tworzenie tras
  • Tworzenie maszyn wirtualnych
  • Testowanie zapory

Jeśli zamiast tego chcesz użyć programu Azure PowerShell do wykonania tej procedury, zobacz Wdrażanie i konfigurowanie usługi Azure Firewall w sieci hybrydowej przy użyciu programu Azure PowerShell.

Wymagania wstępne

Sieć hybrydowa używa modelu architektury piasty i szprych do kierowania ruchu między sieciami wirtualnymi platformy Azure i sieciami lokalnymi. Architektura piasty i szprych ma następujące wymagania:

  • Ustaw opcję Użyj bramy tej sieci wirtualnej lub serwera tras podczas komunikacji równorzędnej sieci wirtualnej z siecią wirtualną i szprychą. W architekturze sieci piasty i szprych tranzyt bramy umożliwia sieciom wirtualnym szprych współużytkowania bramy sieci VPN w koncentratonie, zamiast wdrażania bram sieci VPN w każdej sieci wirtualnej będącej szprychą.

    Ponadto trasy do sieci wirtualnych połączonych z bramą lub sieci lokalnych będą automatycznie propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu przesyłania bramy. Aby uzyskać więcej informacji, zobacz Konfigurowanie tranzytu bramy sieci VPN dla komunikacji równorzędnej sieci wirtualnych.

  • Ustaw opcję Użyj bram zdalnej sieci wirtualnej lub serwera tras podczas komunikacji równorzędnej sieci wirtualnej będącej szprychą z siecią wirtualną i koncentratorem sieci wirtualnej. Jeśli ustawiono opcję Użyj bram sieci wirtualnej zdalnej lub usługi Route Server i użyj bramy tej sieci wirtualnej lub serwera tras na zdalnej komunikacji równorzędnej, sieć wirtualna będącej szprychą używa bram zdalnej sieci wirtualnej do przesyłania.

  • Aby kierować ruch podsieci szprych przez zaporę piasty, możesz użyć trasy zdefiniowanej przez użytkownika (UDR), która wskazuje zaporę z wyłączoną opcją propagacji trasy bramy sieci wirtualnej. Opcja Propagacja trasy bramy sieci wirtualnej jest wyłączona, uniemożliwia dystrybucję tras do podsieci szprych. Zapobiega to konfliktowi tras poznanych z trasą zdefiniowaną przez użytkownika. Jeśli chcesz zachować włączoną propagację tras bramy sieci wirtualnej, należy zdefiniować określone trasy do zapory, aby zastąpić te, które są publikowane ze środowiska lokalnego za pośrednictwem protokołu BGP.

  • Skonfiguruj trasę zdefiniowaną przez użytkownika w podsieci bramy piasty, która wskazuje adres IP zapory jako następny przeskok do sieci szprych. W podsieci usługi Azure Firewall nie jest wymagana trasa zdefiniowana przez użytkownika, ponieważ uzyskuje ona informacje o trasach na podstawie protokołu BGP.

Zapoznaj się z sekcją Tworzenie tras w tym samouczku, aby poznać sposób tworzenia tych tras.

Uwaga

Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja sieć AzureFirewallSubnet poznaje domyślną trasę do sieci lokalnej za pośrednictwem protokołu BGP, należy zastąpić ją trasą zdefiniowaną przez użytkownika 0.0.0.0/0 z wartością NextHopType ustawioną jako Internet, aby zachować bezpośrednią łączność z Internetem .

Usługę Azure Firewall można skonfigurować do obsługi wymuszonego tunelowania. Aby uzyskać więcej informacji, zobacz Wymuszone tunelowanie usługi Azure Firewall.

Uwaga

Ruch między wirtualnymi sieciami równorzędnymi połączonymi bezpośrednio jest kierowany bezpośrednio nawet wtedy, gdy trasa zdefiniowana przez użytkownika wskazuje usługę Azure Firewall jako bramę domyślną. Aby w tym scenariuszu wysyłać ruch między podsieciami do zapory, trasa zdefiniowana przez użytkownika musi jawnie zawierać prefiks podsieci docelowej w obu podsieciach.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie sieci wirtualnej koncentratora zapory

Najpierw utwórz grupę zasobów zawierającą zasoby do celów tego samouczka:

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy>zasobów Utwórz.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz FW-Hybrid-Test.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA. Wszystkie utworzone później zasoby muszą znajdować się w tej samej lokalizacji.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Teraz utwórz sieć wirtualną:

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Sieć wybierz pozycję Sieć wirtualna.
  3. Wybierz pozycję Utwórz.
  4. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.
  5. W polu Nazwa wpisz VNet-hub.
  6. Wybierz pozycję Dalej: adresy IP.
  7. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 10.5.0.0/16.
  8. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  9. W polu Nazwa podsieci wpisz AzureFirewallSubnet. Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.
  10. W polu Zakres adresów podsieci wpisz 10.5.0.0/26.
  11. Wybierz Dodaj.
  12. Wybierz pozycję Przejrzyj i utwórz.
  13. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Sieć wybierz pozycję Sieć wirtualna.
  3. Wybierz pozycję Utwórz.
  4. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.
  5. W polu Nazwa wpisz VNet-Spoke.
  6. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  7. Wybierz pozycję Dalej: adresy IP.
  8. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 10.6.0.0/16.
  9. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  10. W polu Nazwa podsieci wpisz SN-Workload.
  11. W polu Zakres adresów podsieci wpisz 10.6.0.0/24.
  12. Wybierz Dodaj.
  13. Wybierz pozycję Przejrzyj i utwórz.
  14. Wybierz pozycję Utwórz.

Tworzenie lokalnej sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Sieć wybierz pozycję Sieć wirtualna.
  3. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.
  4. W polu Nazwa wpisz VNet-OnPrem.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  6. Wybierz pozycję Dalej: adresy IP
  7. W przypadku przestrzeni adresowej IPv4 usuń adres domyślny i wpisz 192.168.0.0/16.
  8. W obszarze Nazwa podsieci wybierz pozycję Dodaj podsieć.
  9. W polu Nazwa podsieci wpisz SN-Corp.
  10. W polu Zakres adresów podsieci wpisz 192.168.1.0/24.
  11. Wybierz Dodaj.
  12. Wybierz pozycję Przejrzyj i utwórz.
  13. Wybierz pozycję Utwórz.

Teraz utwórz drugą podsieć dla bramy.

  1. Na stronie VNet-Onprem wybierz pozycję Podsieci.
  2. Wybierz pozycję +Podsieć.
  3. W polu Nazwa wpisz GatewaySubnet.
  4. W polu Zakres adresów podsieci wpisz 192.168.2.0/24.
  5. Wybierz pozycję Zapisz.

Konfigurowanie i wdrażanie zapory

Teraz wdróż zaporę w sieci wirtualnej koncentratora zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W lewej kolumnie wybierz pozycję Sieć, a następnie wyszukaj, a następnie wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  3. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów FW-Hybrid-Test
    Nazwisko AzFW01
    Region (Region) Wschodnie stany USA
    Warstwa zapory Standardowa
    Zarządzanie zaporą Zarządzanie tą zaporą za pomocą zasad zapory
    Zasady zapory Dodaj nowe:
    hybrid-test-pol
    Wschodnie stany USA
    Wybieranie sieci wirtualnej Use Existing (Użyj istniejącej):
    Koncentrator sieci wirtualnej
    Publiczny adres IP Dodaj nowy:
    fw-pip

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  6. Po zakończeniu wdrażania przejdź do grupy zasobów FW-Hybrid-Test i wybierz zaporę AzFW01 .

  7. Zanotuj prywatny adres IP. Użyjesz go później podczas tworzenia trasy domyślnej.

Konfigurowanie reguł sieci

Najpierw dodaj regułę sieci, aby zezwolić na ruch internetowy.

  1. W grupie zasobów FW-Hybrid-Test wybierz zasady zapory hybrid-test-pol.
  2. Wybierz pozycję Reguły sieci.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz RCNet01.
  5. W polu Priorytet wpisz wartość 100.
  6. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w polu Nazwa wpisz AllowWeb.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz 192.168.1.0/24.
  10. W polu Protokół wybierz TCP.
  11. W polu Porty docelowe wpisz wartość 80.
  12. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz wartość 10.6.0.0/16.

Teraz dodaj regułę zezwalaną na ruch RDP.

W drugim wierszu reguły wpisz następujące informacje:

  1. Nazwa, wpisz AllowRDP.
  2. W polu Typ źródła wybierz pozycję Adres IP.
  3. W polu Źródło wpisz 192.168.1.0/24.
  4. W polu Protokół wybierz TCP.
  5. W polu Porty docelowe wpisz wartość 3389.
  6. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  7. W polu Miejsce docelowe wpisz 10.6.0.0/16
  8. Wybierz Dodaj.

Tworzenie i łączenie bram sieci VPN

Sieć wirtualna koncentratora i lokalna sieć wirtualna są połączone za pośrednictwem bram sieci VPN.

Tworzenie bramy sieci VPN dla sieci wirtualnej koncentratora

Teraz utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-hub.
  5. W polu Region wybierz ten sam region, który był wcześniej używany.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. W polu Jednostka SKU wybierz pozycję Podstawowa.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  10. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-hub-GW-pip .
  11. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  12. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Teraz utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij klawisz Enter.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-Onprem.
  5. W polu Region wybierz ten sam region, który był wcześniej używany.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Typ sieci VPN wybierz pozycję Oparta na trasach.
  8. W polu Jednostka SKU wybierz pozycję Podstawowa.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-Onprem.
  10. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-Onprem-GW-pip .
  11. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  12. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie połączeń sieci VPN

Teraz możesz utworzyć połączenia sieci VPN między bramami centrum i lokalnymi.

W tym kroku utworzysz połączenie z sieci wirtualnej koncentratora do lokalnej sieci wirtualnej. W przykładach zastosowano odwołania do klucza współużytkowanego. Możesz wybrać własne wartości dla klucza współużytkowanego. Ważne jest, aby klucz współużytkowany był zgodny z obydwoma połączeniami. Tworzenie połączenia może nieco potrwać.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-hub .
  2. Wybierz pozycję Połączenie ions w lewej kolumnie.
  3. Wybierz Dodaj.
  4. Nazwa połączenia, wpisz Hub-to-Onprem.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla typu Połączenie ion.
  6. W polu Druga brama sieci wirtualnej wybierz pozycję GW-Onprem.
  7. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  8. Wybierz przycisk OK.

Utwórz połączenie z lokalnej sieci wirtualnej do sieci wirtualnej koncentratora. Ten krok jest podobny do poprzedniego, jednak w tym przypadku tworzysz połączenie z sieci VNet-Onprem do sieci VNet-hub. Upewnij się, że klucze współużytkowane są zgodne. Po kilku minutach połączenie zostanie ustanowione.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-Onprem .
  2. Wybierz pozycję Połączenie ions w lewej kolumnie.
  3. Wybierz Dodaj.
  4. Jako nazwę połączenia wpisz Onprem-to-Hub.
  5. Wybierz pozycję Sieć wirtualna-sieć wirtualna dla typu Połączenie ion.
  6. W polu Druga brama sieci wirtualnej wybierz pozycję GW-hub.
  7. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  8. Wybierz przycisk OK.

Weryfikowanie połączenia

Po około pięciu minutach stan obu połączeń powinien być Połączenie.

Połączenia bramy

Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy

Teraz nawiąż komunikację równorzędną pomiędzy siecią wirtualną koncentratora i siecią wirtualną będącą szprychą.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz sieć wirtualną koncentratora sieci wirtualnej.

  2. W lewej kolumnie wybierz pozycję Komunikacje równorzędne.

  3. Wybierz Dodaj.

  4. W obszarze Ta sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej HubtoSpoke
    Ruch do zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Ruch przekazywany z zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Brama sieci wirtualnej Użyj bramy tej sieci wirtualnej

  5. W obszarze Zdalna sieć wirtualna:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej SpoketoHub
    Model wdrażania sieci wirtualnej Menedżer zasobów
    Subskrypcja <Twoja subskrypcja>
    Sieć wirtualna Sieć wirtualna-szprycha
    Ruch do zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Ruch przekazywany z zdalnej sieci wirtualnej Zezwalaj (ustawienie domyślne)
    Brama sieci wirtualnej Korzystanie z bramy zdalnej sieci wirtualnej

  6. Wybierz Dodaj.

    Komunikacja równorzędna sieci wirtualnych

Tworzenie tras

Następnie należy utworzyć kilka tras:

  • Trasa z podsieci bramy koncentratora do podsieci będącej szprychą za pośrednictwem adresu IP zapory
  • Trasa domyślna z podsieci będącej szprychą za pośrednictwem adresu IP zapory
  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  7. Jako nazwę wpisz UDR-Hub-Spoke.
  8. Wybierz pozycję Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz.
  10. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  11. Wybierz pozycję Trasy w lewej kolumnie.
  12. Wybierz Dodaj.
  13. Jako nazwę trasy wpisz ToSpoke.
  14. W polu Miejsce docelowe prefiksu adresu wybierz pozycję Adresy IP.
  15. W polu Docelowe adresy IP/zakresy CIDR wpisz 10.6.0.0/16.
  16. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  17. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  18. Wybierz Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie Trasa zdefiniowana przez użytkownika-piasta-szprycha — trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  4. W obszarze Podsieć wybierz pozycję GatewaySubnet.
  5. Wybierz przycisk OK.

Teraz utwórz trasę domyślną z podsieci szprychy.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij klawisz Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  7. Jako nazwę wpisz UDR-DG.
  8. W obszarze Propagacja trasy bramy wybierz pozycję Nie.
  9. Wybierz pozycję Przejrzyj i utwórz.
  10. Wybierz pozycję Utwórz.
  11. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  12. Wybierz pozycję Trasy w lewej kolumnie.
  13. Wybierz Dodaj.
  14. Jako nazwę trasy wpisz ToHub.
  15. W polu Miejsce docelowe prefiksu adresu wybierz pozycję Adresy IP.
  16. W polu Docelowe adresy IP/zakresy CIDR wpisz wartość 0.0.0.0/0.
  17. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  18. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  19. Wybierz Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie UDR-DG - Routes (Trasy) wybierz pozycję Subnets (Podsieci).
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję Sieć wirtualna-szprycha.
  4. W obszarze Podsieć wybierz pozycję SN-Workload.
  5. Wybierz przycisk OK.

Tworzenie maszyn wirtualnych

Teraz utwórz maszyny wirtualne pakietu roboczego szprychy i sieci lokalnej, a następnie umieść je w odpowiednich podsieciach.

Tworzenie maszyny wirtualnej pakietu roboczego

Utwórz maszynę wirtualną w sieci wirtualnej będącej szprychą z uruchomionymi usługami IIS bez publicznego adresu IP.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.
  3. Wprowadź następujące wartości dla maszyny wirtualnej:
    • Grupa zasobów — wybierz pozycję FW-Hybrid-Test
    • Nazwa maszyny wirtualnej: VM-Spoke-01
    • Region — ten sam region, który był wcześniej używany
    • Nazwa użytkownika: <wpisz nazwę użytkownika>
    • Hasło: <wpisz hasło>
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję HTTP (80) i RDP (3389).
  5. Wybierz pozycję Dalej: Dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.
  7. Wybierz pozycję VNet-Spoke dla sieci wirtualnej, a podsieć to SN-Workload.
  8. W obszarze Publiczny adres IP wybierz pozycję Brak.
  9. Wybierz pozycję Dalej:Zarządzanie.
  10. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.
  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Instalacja usług IIS

Po utworzeniu maszyny wirtualnej zainstaluj usługi IIS.

  1. W witrynie Azure Portal otwórz usługę Cloud Shell i upewnij się, że jest ona ustawiona na program PowerShell.

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej i w razie potrzeby zmienić lokalizację:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Tworzenie maszyny wirtualnej w środowisku lokalnym

Jest to maszyna wirtualna używana do nawiązywania połączenia przy użyciu pulpitu zdalnego z publicznym adresem IP. Z tego miejsca nawiążesz następnie połączenie z serwerem lokalnym za pośrednictwem zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.
  3. Wprowadź następujące wartości dla maszyny wirtualnej:
    • Grupa zasobów — wybierz istniejącą, a następnie wybierz pozycję FW-Hybrid-Test.
    • Nazwa - maszyny wirtualnej VM-Onprem.
    • Region — ten sam region, który był wcześniej używany.
    • Nazwa użytkownika: <wpisz nazwę> użytkownika.
    • Hasło: <wpisz hasło> użytkownika.
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję RDP (3389)
  5. Wybierz pozycję Dalej: Dyski.
  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej:Sieć.
  7. Wybierz pozycję VNet-Onprem dla sieci wirtualnej, a podsieć to SN-Corp.
  8. Wybierz pozycję Dalej:Zarządzanie.
  9. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.
  10. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Testowanie zapory

  1. Najpierw zanotuj prywatny adres IP maszyny wirtualnej VM-spoke-01 .

  2. W witrynie Azure Portal połącz się z maszyną wirtualną VM-Onprem.

  3. Otwórz przeglądarkę internetową na maszynie wirtualnej VM-Onprem, a następnie przejdź do lokalizacji http://<VM-spoke-01 private IP>.

    Powinna zostać wyświetlona strona internetowa VM-spoke-01 : Strona internetowa VM-Spoke-01

  4. Z maszyny wirtualnej VM-Onprem otwórz pulpit zdalny do maszyny wirtualnej VM-spoke-01 pod prywatnym adresem IP.

    Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Możesz przeglądać serwer internetowy w sieci wirtualnej będącej szprychą.
  • Możesz nawiązać połączenie z serwerem w sieci wirtualnej będącej szprychą, korzystając z protokołu RDP.

Następnie zmień ustawienie akcji kolekcji reguł sieci zapory na Odmów, aby sprawdzić, czy reguły zapory działają zgodnie z oczekiwaniami.

  1. Wybierz zasady zapory hybrid-test-pol.
  2. Wybierz pozycję Kolekcje reguł.
  3. Wybierz kolekcję reguł RCNet01.
  4. W polu Akcja zbierania reguł wybierz pozycję Odmów.
  5. Wybierz pozycję Zapisz.

Zamknij wszystkie zdalne pulpity, zanim zaczniesz testować zmienione zasady. Teraz ponownie uruchom testy. Tym razem wszystkie powinny zakończyć się niepowodzeniem.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów FW-Hybrid-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium