Развертывание и настройка брандмауэра Azure в гибридной сети с помощью портала Azure

  • Статья

Возможность контролировать доступ к сетевым ресурсам Azure при подключении локальной сети к виртуальной сети Azure для создания гибридной сети является важной частью общего плана безопасности.

Вы можете использовать Брандмауэр Azure для управления доступом к сети в гибридной сети с помощью правил, определяющих разрешенный и запрещенный сетевой трафик.

При работе с этой статьей вы создадите три виртуальные сети:

  • VNet-Hub: брандмауэр находится в этой виртуальной сети.
  • Виртуальная сеть: периферийная виртуальная сеть представляет рабочую нагрузку, расположенную в Azure.
  • VNet-Onprem: локальная виртуальная сеть представляет локальную сеть. В фактическом развертывании вы можете подключиться к нему с помощью подключения виртуальной частной сети (VPN) или подключения Azure ExpressRoute. Для простоты в этой статье используется подключение VPN-шлюза, а виртуальная сеть, расположенная в Azure, представляет локальную сеть.

Схема, показывющая брандмауэр в гибридной сети.

Если вы хотите использовать Azure PowerShell для выполнения процедур, описанных в этой статье, см. статью "Развертывание и настройка Брандмауэр Azure в гибридной сети с помощью Azure PowerShell".

Примечание.

В этой статье используются классические правила Брандмауэр Azure для управления брандмауэром. Предпочтительный метод — использовать политику диспетчера Брандмауэр Azure. Чтобы выполнить эту процедуру с помощью политики диспетчера Брандмауэр Azure, см. руководство. Развертывание и настройка Брандмауэр Azure и политики в гибридной сети с помощью портал Azure.

Необходимые компоненты

Гибридная сеть использует модель архитектуры концентратора и периферийной сети для маршрутизации трафика между виртуальными сетями Azure и локальными сетями. "Звездообразная" архитектура имеет указанные далее требования.

  • Задайте для шлюза этой виртуальной сети или сервера маршрутизации при пиринговой связи между виртуальными сетями и виртуальной сетью. В сетевой "звездообразной" архитектуре транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети.

    Кроме того, маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям автоматически распространяются в таблицы маршрутизации для одноранговых виртуальных сетей через транзит шлюза. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

  • Задайте для шлюзов удаленной виртуальной сети или сервера маршрутизации при одноранговом подключении виртуальной сети к виртуальной сети. Если задан параметр Использовать Route Server или шлюз удаленной виртуальной сети, а для удаленного однорангового подключения также задан параметр Использовать Route Server или шлюз этой виртуальной сети, то периферийная виртуальная сеть использует шлюзы удаленной виртуальной сети для передачи данных.

  • Чтобы маршрутизировать трафик периферийной подсети через брандмауэр концентратора, можно использовать определяемый пользователем маршрут (UDR), указывающий на брандмауэр с отключенным параметром распространения маршрута шлюза виртуальной сети. Отключение этого параметра предотвращает распределение маршрутов в периферийных подсетях, поэтому обучаемые маршруты не могут конфликтовать с UDR. Если вы хотите сохранить распространение маршрутов шлюза виртуальной сети, убедитесь, что определенные маршруты брандмауэра определяются для переопределения маршрутов, опубликованных из локальной среды по протоколу BGP.

  • Настройте маршрут UDR в подсети шлюза центра, который должен указывать на IP-адрес брандмауэра в качестве следующего прыжка к периферийным сетям. В подсети Брандмауэр Azure не требуется UDR, так как он изучает маршруты из BGP.

В разделе "Создание маршрутов " далее в этой статье показано, как создать эти маршруты.

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если подсеть AzureFirewallSubnet узнает маршрут по умолчанию к локальной сети через BGP, необходимо переопределить его с помощью 0.0.0.0.0/0 UDR со NextHopType значением, заданным для Internet поддержания прямого подключения к Интернету.

Примечание.

Вы можете настроить Брандмауэр Azure для поддержки принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Трафик между напрямую пиринговых виртуальных сетей направляется напрямую, даже если UDR указывает на Брандмауэр Azure в качестве шлюза по умолчанию. Чтобы отправить трафик подсети в подсеть брандмауэру в этом сценарии, UDR должен содержать префикс целевой подсети явным образом в обеих подсетях.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание центральной виртуальной сети с брандмауэром

Сначала создайте группу ресурсов, которая будет содержать ресурсы:

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите Группы ресурсов>Создать.
  3. В качестве подписки выберите свою подписку.
  4. Для группы ресурсов введите RG-fw-hybrid-test.
  5. В поле Регион выберите регион. Все создаваемые ресурсы должны находиться в одном регионе.
  6. Выберите Review + Create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Теперь создайте виртуальную сеть.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите виртуальную сеть.
  3. Выберите виртуальную сеть и нажмите кнопку "Создать".
  4. Для группы ресурсов выберите RG-fw-hybrid-test.
  5. Для имени виртуальной сети введите VNet-Hub.
  6. Для региона выберите регион, который вы использовали ранее.
  7. Выберите Далее.
  8. На вкладке "Безопасность " нажмите кнопку "Далее".
  9. Для пространства адресов IPv4 удалите адрес по умолчанию и введите 10.5.0.0/16.
  10. В подсетях удалите подсеть по умолчанию.
  11. Выберите " Добавить подсеть".
  12. На странице "Добавление подсети" для шаблона подсети выберите Брандмауэр Azure.
  13. Выберите Добавить.

Создайте вторую подсеть для шлюза:

  1. Выберите " Добавить подсеть".
  2. Для шаблона подсети выберите шлюз виртуальная сеть.
  3. Для начального адреса примите значение по умолчанию 10.5.1.0.
  4. Для размера подсети примите значение по умолчанию /27.
  5. Выберите Добавить.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите виртуальную сеть.
  3. Выберите виртуальную сеть и нажмите кнопку "Создать".
  4. Для группы ресурсов выберите RG-fw-hybrid-test.
  5. В поле "Имя" введите виртуальную сеть-периферийный сервер.
  6. Для региона выберите регион, который вы использовали ранее.
  7. Выберите Далее.
  8. На вкладке "Безопасность " нажмите кнопку "Далее".
  9. Для адресного пространства IPv4 удалите адрес по умолчанию и введите 10.6.0.0/16.
  10. В подсетях удалите подсеть по умолчанию.
  11. Выберите " Добавить подсеть".
  12. В поле "Имя" введите SN-Workload.
  13. Для начального адреса примите значение по умолчанию 10.6.0.0.
  14. Для размера подсети примите значение по умолчанию /24.
  15. Выберите Добавить.
  16. Выберите Review + create (Просмотреть и создать).
  17. Нажмите кнопку создания.

Создание локальной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите виртуальную сеть.
  3. Выберите виртуальную сеть и нажмите кнопку "Создать".
  4. Для группы ресурсов выберите RG-fw-hybrid-test.
  5. В поле "Имя" введите VNet-Onprem.
  6. Для региона выберите регион, который вы использовали ранее.
  7. Выберите Далее.
  8. На вкладке "Безопасность " нажмите кнопку "Далее".
  9. Для адресного пространства IPv4 удалите адрес по умолчанию и введите 192.168.0.0/16.
  10. В подсетях удалите подсеть по умолчанию.
  11. Выберите " Добавить подсеть".
  12. В поле "Имя" введите SN-Corp.
  13. Для начального адреса примите значение по умолчанию 192.168.0.0.
  14. Для размера подсети примите значение по умолчанию /24.
  15. Выберите Добавить.

Теперь создайте вторую подсеть для шлюза:

  1. Выберите " Добавить подсеть".
  2. Для шаблона подсети выберите шлюз виртуальная сеть.
  3. Для начального адреса примите значение по умолчанию 192.168.1.0.
  4. Для размера подсети примите значение по умолчанию /27.
  5. Выберите Добавить.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Настройка и развертывание брандмауэра

Разверните брандмауэр в виртуальной сети центра брандмауэра:

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. В поле поиска введите брандмауэр.

  3. Щелкните Брандмауэр, а затем — Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Введите RG-fw-hybrid-test.
    Имя Введите AzFW01.
    Регион Выберите регион, который вы использовали раньше.
    Номер SKU брандмауэра Выберите Стандартное.
    Управление брандмауэром Выберите " Использовать правила брандмауэра" (классические) для управления этим брандмауэром.
    Выбор виртуальной сети Выберите "Использовать существующий>VNet-Hub".
    Общедоступный IP-адрес Нажмите кнопку "Добавить новый>fw-pip".

  5. Выберите Review + create (Просмотреть и создать).

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание брандмауэра занимает несколько минут.

  7. После завершения развертывания перейдите в группу ресурсов RG-fw-hybrid-test и выберите брандмауэр AzFW01 .

  8. Запишите частный IP-адрес. Вы используете его позже при создании маршрута по умолчанию.

Настройка правил сети

Сначала добавьте сетевое правило, чтобы разрешить веб-трафик:

  1. На странице AzFW01 выберите "Правила" (классическая модель).
  2. Откройте вкладку Коллекция правил сети.
  3. Выберите Добавить коллекцию правил сети.
  4. В поле "Имя" введите RCNet01.
  5. В качестве значения параметра Приоритет укажите 100.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе "Правила IP-адреса" введите AllowWeb.
  8. В поле Протокол выберите TCP.
  9. В поле Тип источника выберите IP-адрес.
  10. В качестве источника введите 192.168.0.0/24.
  11. В поле Тип назначения выберите пункт IP-адрес.
  12. Для адреса назначения введите 10.6.0.0/16.
  13. Для конечных портов введите 80.

Теперь добавьте правило, чтобы разрешить трафик RDP. Во второй строке правила введите следующие сведения:

  1. В поле "Имя" введите AllowRDP.
  2. В поле Протокол выберите TCP.
  3. В поле Тип источника выберите IP-адрес.
  4. В качестве источника введите 192.168.0.0/24.
  5. В поле Тип назначения выберите пункт IP-адрес.
  6. Для адреса назначения введите 10.6.0.0/16.
  7. В поле Целевые порты введите значение3389.
  8. Выберите Добавить.

Создание и подключение шлюзов VPN

Центральная и локальная виртуальные сети подключены друг к другу с помощью VPN-шлюзов.

Создание VPN-шлюза в центральной виртуальной сети

Создайте VPN-шлюз для виртуальной сети концентратора. Для конфигураций сетевой сети требуется тип VPN на основе маршрута. Создание VPN-шлюза часто может занять 45 минут или более в зависимости от выбранного номера SKU.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите шлюз виртуальной сети.
  3. Выберите шлюз виртуальной сети и нажмите кнопку "Создать".
  4. В поле "Имя" введите GW-hub.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. Для виртуальной сети выберите VNet-Hub.
  10. Для общедоступного IP-адреса выберите "Создать" и введите VNet-Hub-GW-pip для имени.
  11. Для включения активно-активного режима выберите "Отключено".
  12. Примите оставшиеся значения по умолчанию и нажмите кнопку "Проверить и создать".
  13. Просмотрите конфигурацию и нажмите Создать.

Создание VPN-шлюза для локальной виртуальной сети

Создайте VPN-шлюз для локальной виртуальной сети. Для конфигураций сетевой сети требуется тип VPN на основе маршрута. Создание VPN-шлюза часто может занять 45 минут или более в зависимости от выбранного номера SKU.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите шлюз виртуальной сети.
  3. Выберите шлюз виртуальной сети и нажмите кнопку "Создать".
  4. В поле "Имя" введите GW-Onprem.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. В поле Виртуальная сеть выберите VNet-OnPrem.
  10. Для общедоступного IP-адреса выберите "Создать" и введите имя VNet-Onprem-GW-pip .
  11. Для включения активно-активного режима выберите "Отключено".
  12. Примите оставшиеся значения по умолчанию и нажмите кнопку "Проверить и создать".
  13. Просмотрите конфигурацию и нажмите Создать.

Создание VPN-подключений

Теперь можно создать VPN-подключения между центральным и локальным шлюзами.

На следующих шагах вы создадите подключение из центральной виртуальной сети к локальной виртуальной сети. В примерах показан общий ключ, но для общего ключа можно использовать собственное значение. Важно, чтобы общий ключ в обоих подключениях был одинаковым. Создание подключения может занять некоторое время.

  1. Откройте группу ресурсов RG-fw-hybrid-test и выберите шлюз GW-hub .
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. Для имени подключения введите Hub-to-Onprem.
  5. Для типа Подключение ion выберите виртуальную сеть — виртуальную сеть.
  6. Выберите Далее.
  7. Для первого шлюза виртуальной сети выберите GW-hub.
  8. Для второго шлюза виртуальной сети выберите GW-Onprem.
  9. Для общего ключа (PSK) введите AzureA1b2C3.
  10. Выберите Review + Create (Просмотреть и создать).
  11. Нажмите кнопку создания.

Создайте подключение виртуальной сети между локальной средой и концентратором. Следующие шаги похожи на предыдущие, за исключением того, что вы создаете подключение из виртуальной сети Onprem к VNet-Hub. Убедитесь, что общие ключи совпадают. Подключение устанавливается через несколько минут.

  1. Откройте группу ресурсов RG-fw-hybrid-test и выберите шлюз GW-Onprem .
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. Для имени подключения введите Onprem-to-Hub.
  5. Для типа Подключение ion выберите виртуальную сеть — виртуальную сеть.
  6. Выберите Далее: параметры.
  7. Для первого шлюза виртуальной сети выберите GW-Onprem.
  8. Для второго шлюза виртуальной сети выберите GW-hub.
  9. Для общего ключа (PSK) введите AzureA1b2C3.
  10. Выберите Review + Create (Просмотреть и создать).
  11. Нажмите кнопку создания.

Проверка подключений

Через пять минут состояние обоих подключений должно быть Подключение.

Снимок экрана: подключения шлюза.

Настройка пиринга между центральной и периферийной виртуальными сетями

Теперь одноранговый узел и периферийные виртуальные сети:

  1. Откройте группу ресурсов RG-fw-hybrid-test и выберите виртуальную сеть виртуальной сети.

  2. В левой колонке щелкните Пиринги.

  3. Выберите Добавить.

  4. В разделе Эта виртуальная сеть:

    Имя настройки Параметр
    Имя ссылки пиринга Введите HubtoSpoke.
    Трафик к удаленной виртуальной сети Выберите Разрешить.
    Трафик, переадресованный из удаленной виртуальной сети Выберите Разрешить.
    Шлюз виртуальной сети Выберите " Использовать шлюз этой виртуальной сети".

  5. В разделе Удаленная виртуальная сеть:

    Имя настройки Значение
    Имя ссылки пиринга Введите SpoketoHub.
    Модель развертывания виртуальной сети Выберите Resource Manager.
    Подписка Выберите свою подписку.
    Виртуальная сеть Выберите виртуальную сеть-периферийный сервер.
    Трафик к удаленной виртуальной сети Выберите Разрешить.
    Трафик, переадресованный из удаленной виртуальной сети Выберите Разрешить.
    Шлюз виртуальной сети Выберите " Использовать шлюз удаленной виртуальной сети".

  6. Выберите Добавить.

На следующем снимках экрана показаны параметры, используемые при одноранговых и периферийных виртуальных сетях:

Снимок экрана: выбор для концентратора пиринга и периферийных виртуальных сетей.

Создание маршрутов.

В следующих шагах вы создадите следующие маршруты:

  • Маршрут от подсети шлюза центра до периферийной подсети через IP-адрес брандмауэра.
  • Маршрут по умолчанию из периферийной подсети через IP-адрес брандмауэра.

Чтобы создать маршруты, выполните следующие действия.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите таблицу маршрутов.
  3. Выберите "Таблица маршрутов" и нажмите кнопку "Создать".
  4. Для группы ресурсов выберите RG-fw-hybrid-test.
  5. В поле Регион выберите использованное ранее расположение.
  6. Введите имя UDR-Hub-Hub-Spoke.
  7. Выберите Review + Create (Просмотреть и создать).
  8. Нажмите кнопку создания.
  9. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  10. В левом столбце выберите Маршруты.
  11. Выберите Добавить.
  12. Для имени маршрута введите ToSpoke.
  13. Для типа назначения выберите IP-адреса.
  14. Для диапазонов IP-адресов назначения и CIDR введите 10.6.0.0/16.
  15. Для типа следующего прыжка выберите "Виртуальная (модуль)".
  16. В поле следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.
  17. Выберите Добавить.

Теперь свяжите маршрут с подсетью:

  1. На странице UDR-Hub-Spoke — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе "Виртуальная сеть" выберите VNet-Hub.
  4. В разделе Подсеть выберите GatewaySubnet.
  5. Нажмите ОК.

Создайте маршрут по умолчанию из периферийной подсети:

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В поле поиска введите таблицу маршрутов.
  3. Выберите "Таблица маршрутов" и нажмите кнопку "Создать".
  4. Для группы ресурсов выберите RG-fw-hybrid-test.
  5. В поле Регион выберите использованное ранее расположение.
  6. Введите имя UDR-DG.
  7. Для параметра распространения маршрута шлюза выберите вариант Нет.
  8. Выберите Review + Create (Просмотреть и создать).
  9. Нажмите кнопку создания.
  10. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  11. В левом столбце выберите Маршруты.
  12. Выберите Добавить.
  13. Для имени маршрута введите ToHub.
  14. Для типа назначения выберите IP-адреса.
  15. Для диапазонов IP-адресов назначения и CIDR введите 0.0.0.0/0/0.
  16. Для типа следующего прыжка выберите "Виртуальная (модуль)".
  17. В поле следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.
  18. Выберите Добавить.

Свяжите маршрут с подсетью:

  1. На странице UDR-DG — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе "Виртуальная сеть" выберите виртуальную сеть-периферийный сервер.
  4. В разделе Подсеть выберите SN-Workload.
  5. Нажмите ОК.

Создание виртуальных машин

Создайте периферийные рабочие нагрузки и локальные виртуальные машины и поместите их в соответствующие подсети.

Создание виртуальной машины с рабочей нагрузкой

Создайте виртуальную машину в периферийной виртуальной сети, которая работает службы IIS (IIS) и не имеет общедоступного IP-адреса:

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • Группа ресурсов: выберите RG-fw-hybrid-test.
    • Имя виртуальной машины: введите VM-Spoke-01.
    • Регион: выберите тот же регион, который вы использовали ранее.
    • Имя пользователя: введите имя пользователя.
    • Пароль: введите пароль.
  4. Для общедоступных входящих портов выберите "Разрешить выбранные порты", а затем выберите HTTP (80) и RDP (3389).
  5. Нажмите кнопку "Далее" — диски.
  6. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.
  7. Для виртуальной сети выберите виртуальную сеть-периферийный сервер. Подсеть — SN-Workload.
  8. В поле Общедоступный IP-адрес выберите значение Нет.
  9. Нажмите кнопку " Далее" — управление.
  10. Нажмите кнопку "Далее": мониторинг.
  11. Для параметра Диагностика загрузки выберите Отключить.
  12. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Установить IIS

  1. В портал Azure откройте Azure Cloud Shell и убедитесь, что для него задано значение PowerShell.

  2. Выполните следующую команду, чтобы установить СЛУЖБЫ IIS на виртуальной машине и изменить расположение при необходимости:

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Создание локальной виртуальной машины

Создайте виртуальную машину, используемую для подключения через удаленный доступ к общедоступному IP-адресу. После этого можно подключиться к периферийным серверам через брандмауэр.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2019 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • Группа ресурсов: выберите существующий, а затем выберите RG-fw-hybrid-test.
    • Имя виртуальной машины: введите VM-Onprem.
    • Регион: выберите тот же регион, который вы использовали ранее.
    • Имя пользователя: введите имя пользователя.
    • Пароль: введите пароль пользователя.
  4. Для общедоступных входящих портов выберите "Разрешить выбранные порты", а затем выберите RDP (3389).
  5. Нажмите кнопку "Далее" — диски.
  6. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.
  7. Для виртуальной сети выберите VNet-Onprem. Подсеть — SN-Corp.
  8. Нажмите кнопку " Далее" — управление.
  9. Нажмите кнопку "Далее": мониторинг.
  10. Для параметра Диагностика загрузки выберите Отключить.
  11. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

тестирование брандмауэра.

  1. Обратите внимание на частный IP-адрес для виртуальной машины vm-Spoke-01 .

  2. В портал Azure подключитесь к виртуальной машине Onprem.

  3. Откройте веб-браузер в VM-Onprem и перейдите к ней http://<VM-Spoke-01 private IP>.

    Откроется веб-страница VM-Spoke-01 .

    Снимок экрана: веб-страница для периферийной виртуальной машины.

  4. На виртуальной машине VM-Onprem откройте подключение удаленного доступа к VM-Spoke-01 по частному IP-адресу.

    Должно установиться соединение, чтобы вы могли войти в систему.

Теперь, когда вы убедились, что правила брандмауэра работают, вы можете:

  • Перейдите на веб-сервер в периферийной виртуальной сети.
  • Подключение на сервер в периферийной виртуальной сети с помощью RDP.

Затем измените действие для сбора правил сети брандмауэра на "Запретить", чтобы убедиться, что правила брандмауэра работают должным образом:

  1. Выберите брандмауэр AzFW01.
  2. Выберите правила (классические).
  3. Перейдите на вкладку "Коллекция правил сети" и выберите коллекцию правил RCNet01 .
  4. В поле Действие выберите Запретить.
  5. Выберите Сохранить.

Закройте все существующие подключения удаленного доступа. Запустите тесты еще раз, чтобы проверить измененные правила. На этот раз все они должны завершиться сбоем.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования. Если они больше не нужны, удалите группу ресурсов RG-fw-hybrid-test , чтобы удалить все ресурсы, связанные с брандмауэром.

Следующие шаги

Мониторинг журналов Брандмауэра Azure