Развертывание и настройка Брандмауэра Azure в гибридной сети с помощью портала Azure

Возможность контролировать доступ к сетевым ресурсам Azure при подключении локальной сети к виртуальной сети Azure для создания гибридной сети является важной частью общего плана безопасности.

Брандмауэр Azure позволяет контролировать доступ к гибридной сети с помощью правил, которые определяют разрешенный и запрещенный сетевой трафик.

При работе с этой статьей вы создадите три виртуальные сети:

  • VNet-Hub — виртуальная сеть, в которой размещен брандмауэр;
  • VNet-Spoke — периферийная виртуальная сеть, которая представляет рабочую нагрузку, размещенную в Azure;
  • VNet-Onprem — локальная виртуальная сеть, которая представляет локальную среду. При фактическом развертывании ее можно подключить либо через соединение VPN, либо через ExpressRoute. Для простоты в рамках этой процедуры используется подключение к VPN-шлюзу, а размещенная в Azure виртуальная сеть представляет локальную сеть.

Брандмауэр в гибридной сети

Вы узнаете, как выполнять следующие задачи:

  • Создание центральной виртуальной сети с брандмауэром
  • Создание периферийной виртуальной сети
  • Создание локальной виртуальной сети
  • Настройка и развертывание брандмауэра
  • Создание и подключение шлюзов VPN
  • Настройка пиринга между центральной и периферийной виртуальными сетями
  • Создание маршрутов.
  • Создание виртуальных машин
  • тестирование брандмауэра.

Если вы предпочитаете использовать для этого процесса Azure PowerShell, перейдите к статье о развертывании и настройке Брандмауэра Azure в гибридной сети с помощью Azure PowerShell.

Примечание

В этой статье для управления брандмауэром используются классические правила брандмауэра. Рекомендуется использовать политику брандмауэра. Сведения о том, как выполнить эту процедуру с использованием политики брандмауэра, см. в учебнике по развертыванию и настройке Брандмауэра Azure и политики в гибридной сети с помощью портала Azure.

Предварительные требования

Гибридная сеть использует "звездообразную" модель архитектуры для маршрутизации трафика между виртуальными и локальными сетями Azure. "Звездообразная" архитектура имеет указанные далее требования.

  • При одноранговом подключении центра виртуальный сети к лучу задайте параметр Использовать Route Server или шлюз этой виртуальной сети. В сетевой "звездообразной" архитектуре транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети.

    Кроме того, маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям будут автоматически распространяться на таблицы маршрутизации для одноранговых виртуальных сетей, использующих транзит шлюзов. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

  • При одноранговом подключении луча виртуальный сети к центру задайте параметр Использовать Route Server или шлюз удаленной виртуальной сети. Если задан параметр Использовать Route Server или шлюз удаленной виртуальной сети, а для удаленного однорангового подключения также задан параметр Использовать Route Server или шлюз этой виртуальной сети, то периферийная виртуальная сеть использует шлюзы удаленной виртуальной сети для передачи данных.

  • Чтобы направить трафик периферийной подсети через брандмауэр концентратора, вы можете использовать определяемый пользователем маршрут, указывающий на брандмауэр с отключенным параметром Распространение маршрутов шлюза виртуальной сети. Отключенный параметр Распространение маршрутов шлюза виртуальной сети запрещает распределение маршрутов между периферийными подсетями. Это предотвращает конфликт полученных маршрутов с UDR. Если нужно оставить параметр Распространение маршрутов шлюза виртуальной сети включенным, задайте конкретные маршруты к брандмауэру, чтобы переопределить маршруты, опубликованные локально по протоколу BGP.

  • Настройте маршрут UDR в подсети шлюза центра, который должен указывать на IP-адрес брандмауэра в качестве следующего прыжка к периферийным сетям. В подсети Брандмауэра Azure не требуется указывать UDR, так как он узнает о маршрутах из BGP.

См. раздел Создание маршрутов в этом руководстве, чтобы узнать, как создаются эти маршруты.

Примечание

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.

Брандмауэр Azure можно настроить для поддержки принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Примечание

Трафик между виртуальными сетями с прямым пирингом передается напрямую, даже если маршрут UDR указывает на Брандмауэр Azure как шлюз по умолчанию. Чтобы маршрутизировать трафик между подсетями к брандмауэру в этом сценарии, в UDR для обеих подсетей нужно явно указать префикс целевой подсети.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Создание центральной виртуальной сети с брандмауэром

Сначала создайте группу ресурсов, которая будет содержать ресурсы:

  1. Войдите на портал Azure по адресу https://portal.azure.com.
  2. На домашней странице портала Azure выберите Группы ресурсов>Добавить.
  3. В качестве подписки выберите свою подписку.
  4. В поле Имя группы ресурсов введите FW-Hybrid-Test.
  5. В поле Регион выберите значение (США) Восточная часть США. Все ресурсы, которые вы будете создавать, должны находиться в одном расположении.
  6. Выберите Review + Create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Создайте виртуальную сеть.

Примечание

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите Виртуальная сеть.
  3. Выберите Создать.
  4. В поле Группа ресурсов выберите FW-Hybrid-Test.
  5. В поле Имя введите VNet-Hub.
  6. По завершении выберите Next: IP-адреса.
  7. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 10.5.0.0/16.
  8. В разделе Имя подсети выберите Добавить подсеть.
  9. В разделе Имя подсети введите AzureFirewallSubnet. Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.
  10. В поле Диапазон адресов подсети введите 10.5.0.0/26.
  11. Выберите Добавить.
  12. Выберите Review + create (Просмотреть и создать).
  13. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите элемент Виртуальная сеть.
  3. В поле Группа ресурсов выберите FW-Hybrid-Test.
  4. В поле Имя введите VNet-Spoke.
  5. В поле Регион выберите значение (США) Восточная часть США.
  6. По завершении выберите Next: IP-адреса.
  7. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 10.6.0.0/16.
  8. В разделе Имя подсети выберите Добавить подсеть.
  9. В поле Имя подсети введите SN-Workload.
  10. В поле Диапазон адресов подсети введите 10.6.0.0/24.
  11. Выберите Добавить.
  12. Выберите Review + create (Просмотреть и создать).
  13. Нажмите кнопку создания.

Создание локальной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите элемент Виртуальная сеть.
  3. В поле Группа ресурсов выберите FW-Hybrid-Test.
  4. В поле Имя введите VN-OnPrem.
  5. В поле Регион выберите значение (США) Восточная часть США.
  6. Выберите Далее: IP-адреса.
  7. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 192.168.0.0/16.
  8. В разделе Имя подсети выберите Добавить подсеть.
  9. В поле Имя подсети введите SN-Corp.
  10. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  11. Выберите Добавить.
  12. Выберите Review + create (Просмотреть и создать).
  13. Нажмите кнопку создания.

Создайте вторую подсеть для шлюза.

  1. На странице VNet-OnPrem выберите Подсети.
  2. Выберите +Subnet (+Подсеть).
  3. В поле ИмявведитеGatewaySubnet.
  4. В поле Диапазон адресов подсети введите 192.168.2.0/24.
  5. Щелкните ОК.

Настройка и развертывание брандмауэра

Теперь разверните брандмауэр в центральной виртуальной сети брандмауэра.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. В столбце слева выберите элемент Сетевые подключения, а затем — элемент Брандмауэр.

  3. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка <ваша подписка>
    Группа ресурсов FW-Hybrid-Test
    Имя AzFW01
    Регион Восточная часть США
    Управление брандмауэром Использовать правила брандмауэра (классические) для управления этим брандмауэром
    Выберите виртуальную сеть Использовать существующую.
    VNet-hub
    Общедоступный IP-адрес Добавить новый:
    fw-pip.
  4. Выберите Review + create (Просмотреть и создать).

  5. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  6. По завершении развертывания перейдите в группу ресурсов FW-Hybrid-Test и выберите брандмауэр AzFW01.

  7. Запишите частный IP-адрес. Вы будете использовать его позже при создании маршрута по умолчанию.

Настройка правил сети

Сначала добавьте сетевое правило, разрешающее веб-трафик.

  1. На странице AzFW01 выберите Правила.
  2. Откройте вкладку Коллекция правил сети.
  3. Выберите Добавить коллекцию правил сети.
  4. В поле Имя введите RCNet01.
  5. В поле Приоритет введите 100.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе Правила в поле Имя введите AllowWeb.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 192.168.1.0/24.
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 80.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. В поле Пункт назначения введите 10.6.0.0/16.

Теперь добавьте правило, разрешающее трафик RDP.

В строке второго правила введите следующие сведения:

  1. В поле Имя введите AllowRDP.
  2. В поле Тип источника выберите IP-адрес.
  3. В поле Источник введите 192.168.1.0/24.
  4. В поле Протокол выберите TCP.
  5. В поле Порты назначения введите 3389.
  6. В поле Тип назначения выберите пункт IP-адрес.
  7. В поле Адрес назначения введите 10.6.0.0/16.
  8. Выберите Добавить.

Создание и подключение шлюзов VPN

Центральная и локальная виртуальные сети подключены друг к другу с помощью VPN-шлюзов.

Создание VPN-шлюза в центральной виртуальной сети

Теперь создайте VPN-шлюз в центральной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите фразу шлюз виртуальной сети.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-hub.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. В поле Виртуальная сеть выберите VNet-hub.
  10. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-hub-GW-pip.
  11. Примите другие значения по умолчанию и выберите Просмотр и создание.
  12. Проверьте конфигурацию и щелкните Создать.

Создание VPN-шлюза для локальной виртуальной сети

Теперь создайте VPN-шлюз для локальной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-Onprem.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. В поле Виртуальная сеть выберите VNet-OnPrem.
  10. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-Onprem-GW-pip.
  11. Примите другие значения по умолчанию и выберите Просмотр и создание.
  12. Проверьте конфигурацию и щелкните Создать.

Создание VPN-подключений

Теперь можно создать VPN-подключения между центральным и локальным шлюзами.

На этом этапе вы создадите подключение между центральной и локальной виртуальными сетями. Вы увидите ссылки на общий ключ в примерах. Можно использовать собственные значения для общего ключа. Важно, чтобы общий ключ в обоих подключениях был одинаковым. Создание подключения может занять некоторое время.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-hub.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Hub-to-Onprem.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. В поле Шлюз второй виртуальной сети выберите GW-Onprem.
  7. В поле Общий ключ (PSK) введите AzureA1b2C3.
  8. Щелкните ОК.

Создайте подключение между локальной и центральной виртуальными сетями. Этот шаг похож на предыдущий, за исключением того, что вы создаете подключение из VNet-Onprem к VNet-hub. Убедитесь, что общие ключи совпадают. Подключение установится через несколько минут.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-Onprem.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Onprem-to-Hub.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. В поле Шлюз второй виртуальной сети выберите GW-hub.
  7. В поле Общий ключ (PSK) введите AzureA1b2C3.
  8. Щелкните ОК.

Проверка подключения

По истечении примерно пяти минут для обоих подключений должно отобразиться состояние Подключено.

Подключения шлюза.

Настройка пиринга между центральной и периферийной виртуальными сетями

Теперь создайте пиринговое подключение между центральной и периферийной виртуальными сетями.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите виртуальную сеть VNet-hub.

  2. В левой колонке щелкните Пиринги.

  3. Выберите Добавить.

  4. В разделе Эта виртуальная сеть:

    Имя параметра Значение
    Имя пиринговой связи HubtoSpoke
    Трафик в удаленную виртуальную сеть Разрешить (по умолчанию)
    Трафик, перенаправленный из удаленной виртуальной сети Разрешить (по умолчанию)
    шлюз виртуальной сети; Использовать этот шлюз виртуальной сети
  5. В разделе Удаленная виртуальная сеть:

    Имя параметра Значение
    Имя пиринговой связи SpoketoHub
    Модель развертывания виртуальной сети Диспетчер ресурсов
    Подписка <ваша подписка>
    Виртуальная сеть VNet-Spoke
    Трафик в удаленную виртуальную сеть Разрешить (по умолчанию)
    Трафик, перенаправленный из удаленной виртуальной сети Разрешить (по умолчанию)
    шлюз виртуальной сети; Использовать шлюз удаленной виртуальной сети
  6. Выберите Добавить.

    Пиринг виртуальных сетей

Создание маршрутов.

Создайте несколько маршрутов:

  • Маршрут от подсети шлюза центра до периферийной подсети через IP-адрес брандмауэра.
  • Маршрут по умолчанию из периферийной подсети через IP-адрес брандмауэра.
  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Нажмите кнопку создания.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Регион выберите использованное ранее расположение.
  7. В поле "Имя" введите UDR-Hub-Spoke.
  8. Выберите Review + Create (Просмотреть и создать).
  9. Нажмите кнопку создания.
  10. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  11. В левом столбце выберите Маршруты.
  12. Выберите Добавить.
  13. В поле "Имя маршрута" введите ToSpoke.
  14. В поле "Префикс адреса" укажите 10.6.0.0/16.
  15. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  16. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  17. Щелкните ОК.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-Hub-Spoke — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-hub.
  4. В разделе Подсеть выберите GatewaySubnet.
  5. Щелкните ОК.

Теперь создайте маршрут по умолчанию из периферийной подсети.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Нажмите кнопку создания.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Регион выберите использованное ранее расположение.
  7. В поле "Имя" введите UDR-DG.
  8. Для параметра распространения маршрута шлюза выберите вариант Нет.
  9. Выберите Review + Create (Просмотреть и создать).
  10. Нажмите кнопку создания.
  11. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  12. В левом столбце выберите Маршруты.
  13. Выберите Добавить.
  14. В поле "Имя маршрута" введите ToHub.
  15. В поле "Префикс адреса" укажите 0.0.0.0/0.
  16. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  17. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  18. Щелкните ОК.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-DG — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-spoke.
  4. В разделе Подсеть выберите SN-Workload.
  5. Щелкните ОК.

Создание виртуальных машин

Теперь создайте виртуальные машины для периферийной рабочей нагрузки и локальной среды и поместите их в соответствующие подсети.

Создание виртуальной машины с рабочей нагрузкой

В периферийной виртуальной сети создайте виртуальную машину со службами IIS без общедоступного IP-адреса.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2016 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • В поле Группа ресурсов выберите FW-Hybrid-Test.
    • Имя виртуальной машины. VM-Spoke-01.
    • В поле Регион выберите тот же регион, который использовался ранее.
    • Имя пользователя: <введите имя пользователя>.
    • Пароль: <введите пароль>.
  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите варианты HTTP (80) и RDP (3389) .
  5. Выберите Next:Disks (Далее: диски).
  6. Примите значения по умолчанию и щелкните Далее: сеть.
  7. Выберите виртуальную сеть VNet-Spoke и подсеть SN-Workload.
  8. В поле Общедоступный IP-адрес выберите значение Нет.
  9. Щелкните Далее: Управление.
  10. Для параметра Диагностика загрузки выберите команду Отключить.
  11. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Установка служб IIS

  1. На портале Azure откройте Cloud Shell и убедитесь, что здесь выбран вариант PowerShell.

  2. Чтобы установить службы IIS, выполните на виртуальной машине следующие команды и измените расположение, если это необходимо:

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

Создание локальной виртуальной машины

Это виртуальная машина, которую вы используете для подключения к общедоступному IP-адресу по протоколу удаленного рабочего стола. Далее можно подключиться к локальному серверу за брандмауэром.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2016 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • Группа ресурсов. Выберите "Использовать имеющуюся", а затем — FW-Hybrid-Test.
    • Имя виртуальной машины - VM-Onprem.
    • В поле Регион выберите тот же регион, который использовался ранее.
    • Имя пользователя: <введите имя пользователя>.
    • Пароль: <введите пароль пользователя>.
  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите вариант RDP (3389) .
  5. Выберите Next:Disks (Далее: диски).
  6. Примите значения по умолчанию и щелкните Далее: Сеть.
  7. Выберите виртуальную сеть VNet-OnPrem и подсеть SN-Corp.
  8. Щелкните Далее: Управление.
  9. Для параметра Диагностика загрузки выберите команду Отключить.
  10. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Примечание

Azure предоставляет IP-адрес исходящего трафика по умолчанию для виртуальных машин, которым не назначен общедоступный IP-адрес или которые находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure ценовой категории "Базовый". Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключается, если виртуальной машине назначен общедоступный IP-адрес, виртуальная машина помещается во внутренний пул подсистемы балансировки нагрузки уровня "Стандартный" с правилами для исходящего трафика или без него, или если ресурс шлюза NAT Azure виртуальная сеть назначен подсети виртуальной машины.

На виртуальных машинах, созданных с помощью масштабируемых наборов виртуальных машин в режиме гибкой оркестрации, исходящий доступ по умолчанию не предоставляется.

Дополнительные сведения об исходящих подключениях в Azure см. в разделах Исходящий доступ по умолчанию в Azure и Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.

тестирование брандмауэра.

  1. Сначала запишите частный IP-адрес для виртуальной машины VM-spoke-01.

  2. На портале Azure подключитесь к виртуальной машине VM-Onprem.

  1. Откройте веб-браузер в VM-Onprem и перейдите по адресу http://<частный IP-адрес VM-spoke-01>.

    Вы должны увидеть веб-страницу VM-spoke-01 : VM-Spoke-01 web page

  2. На виртуальной машине VM-Onprem подключите удаленный рабочий стол к VM-spoke-01 по частному IP-адресу.

    Должно установиться соединение, чтобы вы могли войти в систему.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • При помощи браузера можно подключиться к веб-серверу в периферийной виртуальной сети.
  • К серверу в периферийной виртуальной сети можно подключиться с помощью RDP.

Затем измените действие коллекции сетевых правил брандмауэра на Запретить, чтобы убедиться, что правила брандмауэра работают должным образом.

  1. Выберите брандмауэр AzFW01.
  2. Щелкните Правила.
  3. Перейдите на вкладку Коллекция сетевых правил и выберите коллекцию правил RCNet01.
  4. В поле Действие выберите Запретить.
  5. Щелкните Сохранить.

Закройте имеющиеся удаленные рабочие столы перед тестированием измененных правил. Теперь снова запустите тесты. На этот раз все они должны завершиться сбоем.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования или, если они больше не нужны, удалить группу ресурсов FW-Hybrid-Test, которая содержит все связанные с брандмауэром ресурсы.

Дальнейшие действия

Теперь вы можете отследить журналы Брандмауэра Azure.

Руководство. Мониторинг журналов и метрик Брандмауэра Azure