Руководство. Развертывание и настройка Брандмауэра Azure и политики в гибридной сети с помощью портала Azure

  • Статья

Возможность контролировать доступ к сетевым ресурсам Azure при подключении локальной сети к виртуальной сети Azure для создания гибридной сети является важной частью общего плана безопасности.

Брандмауэр Azure и политика брандмауэра позволяют контролировать доступ к гибридной сети с помощью правил, которые определяют разрешенный и запрещенный сетевой трафик.

В этом руководстве описано, как создать три виртуальные сети:

  • VNet-Hub — виртуальная сеть, в которой размещен брандмауэр;
  • VNet-Spoke — периферийная виртуальная сеть, которая представляет рабочую нагрузку, размещенную в Azure;
  • VNet-Onprem — локальная виртуальная сеть, которая представляет локальную среду. При фактическом развертывании ее можно подключить либо через соединение VPN, либо через ExpressRoute. Для простоты в этом руководстве используется подключение к шлюзу VPN, а виртуальная сеть, размещенная в Azure, представляет локальную сеть.

Брандмауэр в гибридной сети

В этом руководстве описано следующее:

  • Создание центральной виртуальной сети с брандмауэром
  • Создание периферийной виртуальной сети
  • Создание локальной виртуальной сети
  • Настройка и развертывание брандмауэра и политики
  • Создание и подключение шлюзов VPN
  • Настройка пиринга между центральной и периферийной виртуальными сетями
  • Создание маршрутов.
  • Создание виртуальных машин
  • тестирование брандмауэра.

Если вы предпочитаете использовать для этого процесса Azure PowerShell, перейдите к статье о развертывании и настройке Брандмауэра Azure в гибридной сети с помощью Azure PowerShell.

Необходимые компоненты

Гибридная сеть использует "звездообразную" модель архитектуры для маршрутизации трафика между виртуальными и локальными сетями Azure. "Звездообразная" архитектура имеет указанные далее требования.

  • При одноранговом подключении центра виртуальный сети к лучу задайте параметр Использовать Route Server или шлюз этой виртуальной сети. В сетевой "звездообразной" архитектуре транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети.

    Кроме того, маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям будут автоматически распространяться на таблицы маршрутизации для одноранговых виртуальных сетей, использующих транзит шлюзов. Дополнительные сведения см. Настройка транзита VPN-шлюзов для пиринговой связи между виртуальными сетями.

  • При одноранговом подключении луча виртуальный сети к центру задайте параметр Использовать Route Server или шлюз удаленной виртуальной сети. Если задан параметр Использовать Route Server или шлюз удаленной виртуальной сети, а для удаленного однорангового подключения также задан параметр Использовать Route Server или шлюз этой виртуальной сети, то периферийная виртуальная сеть использует шлюзы удаленной виртуальной сети для передачи данных.

  • Чтобы направить трафик периферийной подсети через брандмауэр концентратора, вы можете использовать определяемый пользователем маршрут, указывающий на брандмауэр с отключенным параметром Распространение маршрутов шлюза виртуальной сети. Отключенный параметр Распространение маршрутов шлюза виртуальной сети запрещает распределение маршрутов между периферийными подсетями. Это предотвращает конфликт полученных маршрутов с UDR. Если нужно оставить параметр Распространение маршрутов шлюза виртуальной сети включенным, задайте конкретные маршруты к брандмауэру, чтобы переопределить маршруты, опубликованные локально по протоколу BGP.

  • Настройте маршрут UDR в подсети шлюза центра, который должен указывать на IP-адрес брандмауэра в качестве следующего прыжка к периферийным сетям. В подсети Брандмауэра Azure не требуется указывать UDR, так как он узнает о маршрутах из BGP.

См. раздел Создание маршрутов в этом руководстве, чтобы узнать, как создаются эти маршруты.

Примечание.

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.

Брандмауэр Azure можно настроить для поддержки принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Примечание.

Трафик между виртуальными сетями с прямым пирингом передается напрямую, даже если маршрут UDR указывает на Брандмауэр Azure как шлюз по умолчанию. Чтобы маршрутизировать трафик между подсетями к брандмауэру в этом сценарии, в UDR для обеих подсетей нужно явно указать префикс целевой подсети.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание центральной виртуальной сети с брандмауэром

Сначала создайте группу ресурсов, которая будет содержать ресурсы для работы с этим руководством:

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите Группы ресурсов>Создать.
  3. В качестве подписки выберите свою подписку.
  4. В поле Имя группы ресурсов введите FW-Hybrid-Test.
  5. В поле Регион выберите значение (США) Восточная часть США. Все ресурсы, которые вы будете создавать, должны находиться в одном расположении.
  6. Выберите Review + Create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Создайте виртуальную сеть.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите Виртуальная сеть.
  3. Нажмите кнопку создания.
  4. В поле Группа ресурсов выберите FW-Hybrid-Test.
  5. В поле Имя введите VNet-Hub.
  6. Нажмите кнопку "Далее": IP-адреса.
  7. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 10.5.0.0/16.
  8. В разделе Имя подсети выберите Добавить подсеть.
  9. В разделе Имя подсети введите AzureFirewallSubnet. Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.
  10. В поле Диапазон адресов подсети введите 10.5.0.0/26.
  11. Выберите Добавить.
  12. Выберите Review + create (Просмотреть и создать).
  13. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите элемент Виртуальная сеть.
  3. Нажмите кнопку создания.
  4. В поле Группа ресурсов выберите FW-Hybrid-Test.
  5. В поле Имя введите VNet-Spoke.
  6. В поле Регион выберите значение (США) Восточная часть США.
  7. Нажмите кнопку "Далее": IP-адреса.
  8. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 10.6.0.0/16.
  9. В разделе Имя подсети выберите Добавить подсеть.
  10. В поле Имя подсети введите SN-Workload.
  11. В поле Диапазон адресов подсети введите 10.6.0.0/24.
  12. Выберите Добавить.
  13. Выберите Review + create (Просмотреть и создать).
  14. Нажмите кнопку создания.

Создание локальной виртуальной сети

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Сеть выберите элемент Виртуальная сеть.
  3. В поле Группа ресурсов выберите FW-Hybrid-Test.
  4. В поле Имя введите VN-OnPrem.
  5. В поле Регион выберите значение (США) Восточная часть США.
  6. Нажмите кнопку "Далее" : IP-адреса
  7. В поле Диапазон адресов IPv4 удалите адрес по умолчанию и введите 192.168.0.0/16.
  8. В разделе Имя подсети выберите Добавить подсеть.
  9. В поле Имя подсети введите SN-Corp.
  10. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  11. Выберите Добавить.
  12. Выберите Review + create (Просмотреть и создать).
  13. Нажмите кнопку создания.

Создайте вторую подсеть для шлюза.

  1. На странице VNet-OnPrem выберите Подсети.
  2. Выберите +Subnet (+Подсеть).
  3. В поле Имя введите GatewaySubnet.
  4. В поле Диапазон адресов подсети введите 192.168.2.0/24.
  5. Выберите Сохранить.

Настройка и развертывание брандмауэра

Теперь разверните брандмауэр в центральной виртуальной сети брандмауэра.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. В столбце слева выберите Сетевые подключения, а затем Брандмауэр и Создать.

  3. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Отток подписок <ваша подписка>
    Группа ресурсов FW-Hybrid-Test
    Имя. AzFW01
    Область/регион Восточная часть США
    Уровень брандмауэра Стандартные
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Чтобы добавить новый:
    hybrid-test-pol
    Восточная часть США
    Выберите виртуальную сеть Использовать существующую.
    VNet-hub
    Общедоступный IP-адрес Добавьте новое:
    fw-pip

  4. Выберите Review + create (Просмотреть и создать).

  5. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  6. По завершении развертывания перейдите в группу ресурсов FW-Hybrid-Test и выберите брандмауэр AzFW01.

  7. Запишите частный IP-адрес. Вы будете использовать его позже при создании маршрута по умолчанию.

Настройка правил сети

Сначала добавьте сетевое правило, разрешающее веб-трафик.

  1. В группе ресурсов FW-Hybrid-Test выберите политику брандмауэра hybrid-test-pol.
  2. Выберите Сетевые правила.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите RCNet01.
  5. В поле Приоритет введите 100.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе Правила в поле Имя введите AllowWeb.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 192.168.1.0/24.
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 80.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. В поле Пункт назначения введите 10.6.0.0/16.

Теперь добавьте правило, разрешающее трафик RDP.

В строке второго правила введите следующие сведения:

  1. В поле Имя введите AllowRDP.
  2. В поле Тип источника выберите IP-адрес.
  3. В поле Источник введите 192.168.1.0/24.
  4. В поле Протокол выберите TCP.
  5. В поле Порты назначения введите 3389.
  6. В поле Тип назначения выберите пункт IP-адрес.
  7. В поле Адрес назначения введите 10.6.0.0/16.
  8. Выберите Добавить.

Создание и подключение шлюзов VPN

Центральная и локальная виртуальные сети подключены друг к другу с помощью VPN-шлюзов.

Создание VPN-шлюза в центральной виртуальной сети

Теперь создайте VPN-шлюз в центральной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите фразу шлюз виртуальной сети.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-hub.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. В поле Виртуальная сеть выберите VNet-hub.
  10. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-hub-GW-pip.
  11. Примите другие значения по умолчанию и выберите Просмотр и создание.
  12. Проверьте конфигурацию и щелкните Создать.

Создание VPN-шлюза для локальной виртуальной сети

Теперь создайте VPN-шлюз для локальной виртуальной сети. Параметр VpnType для конфигураций межсетевых подключений должен иметь значение RouteBased. Создание VPN-шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU VPN-шлюза.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите шлюз виртуальной сети и нажмите клавишу ВВОД.
  3. Выберите Шлюз виртуальной сети и щелкните Создать.
  4. В поле Имя введите GW-Onprem.
  5. В поле Регион выберите тот же регион, который использовался ранее.
  6. В поле Тип шлюза выберите VPN.
  7. В поле Тип VPN выберите На основе маршрута.
  8. В поле Номер SKU выберите Базовый.
  9. В поле Виртуальная сеть выберите VNet-OnPrem.
  10. В поле Общедоступный IP-адрес выберите Создать новый и введите имя VNet-Onprem-GW-pip.
  11. Примите другие значения по умолчанию и выберите Просмотр и создание.
  12. Проверьте конфигурацию и щелкните Создать.

Создание VPN-подключений

Теперь можно создать VPN-подключения между центральным и локальным шлюзами.

На этом этапе вы создадите подключение между центральной и локальной виртуальными сетями. Вы увидите ссылки на общий ключ в примерах. Можно использовать собственные значения для общего ключа. Важно, чтобы общий ключ в обоих подключениях был одинаковым. Создание подключения может занять некоторое время.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-hub.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Hub-to-Onprem.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. В поле Шлюз второй виртуальной сети выберите GW-Onprem.
  7. В поле Общий ключ (PSK) введите AzureA1b2C3.
  8. Нажмите ОК.

Создайте подключение между локальной и центральной виртуальными сетями. Этот шаг похож на предыдущий, за исключением того, что вы создаете подключение из VNet-Onprem к VNet-hub. Убедитесь, что общие ключи совпадают. Подключение установится через несколько минут.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите шлюз GW-Onprem.
  2. В левом столбце выберите Соединения.
  3. Выберите Добавить.
  4. В поле "Имя подключения" введите Onprem-to-Hub.
  5. Для параметра Тип подключения выберите значение Виртуальная сеть — виртуальная сеть.
  6. В поле Шлюз второй виртуальной сети выберите GW-hub.
  7. В поле Общий ключ (PSK) введите AzureA1b2C3.
  8. Нажмите ОК.

Проверка подключения

По истечении примерно пяти минут для обоих подключений должно отобразиться состояние Подключено.

Подключения к шлюзам

Настройка пиринга между центральной и периферийной виртуальными сетями

Теперь создайте пиринговое подключение между центральной и периферийной виртуальными сетями.

  1. Откройте группу ресурсов FW-Hybrid-Test и выберите виртуальную сеть VNet-hub.

  2. В левой колонке щелкните Пиринги.

  3. Выберите Добавить.

  4. В разделе Эта виртуальная сеть:

    Имя настройки Значение
    Имя пиринговой связи HubtoSpoke
    Трафик в удаленную виртуальную сеть Разрешить (по умолчанию)
    Трафик, перенаправленный из удаленной виртуальной сети Разрешить (по умолчанию)
    Шлюз виртуальной сети Использовать этот шлюз виртуальной сети

  5. В разделе Удаленная виртуальная сеть:

    Имя настройки Значение
    Имя пиринговой связи SpoketoHub
    Модель развертывания виртуальной сети Руководитель по ресурсам
    Отток подписок <ваша подписка>
    Виртуальная сеть VNet-Spoke
    Трафик в удаленную виртуальную сеть Разрешить (по умолчанию)
    Трафик, перенаправленный из удаленной виртуальной сети Разрешить (по умолчанию)
    Шлюз виртуальной сети Использовать шлюз удаленной виртуальной сети

  6. Выберите Добавить.

    Пиринг виртуальных сетей

Создание маршрутов.

Создайте несколько маршрутов:

  • Маршрут от подсети шлюза центра до периферийной подсети через IP-адрес брандмауэра.
  • Маршрут по умолчанию из периферийной подсети через IP-адрес брандмауэра.
  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Нажмите кнопку создания.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Регион выберите использованное ранее расположение.
  7. В поле "Имя" введите UDR-Hub-Spoke.
  8. Выберите Review + Create (Просмотреть и создать).
  9. Нажмите кнопку создания.
  10. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  11. В левом столбце выберите Маршруты.
  12. Выберите Добавить.
  13. В поле "Имя маршрута" введите ToSpoke.
  14. Для параметра Назначение префикса адреса выберите IP-адреса.
  15. Для параметра Диапазоны IP-адресов назначения или CIDR введите 10.6.0.0/16.
  16. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  17. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  18. Выберите Добавить.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-Hub-Spoke — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-hub.
  4. В разделе Подсеть выберите GatewaySubnet.
  5. Нажмите ОК.

Теперь создайте маршрут по умолчанию из периферийной подсети.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В текстовом поле поиска введите таблица маршрутов и нажмите клавишу ВВОД.
  3. Щелкните элемент Таблица маршрутов.
  4. Нажмите кнопку создания.
  5. В качестве группы ресурсов выберите FW-Hybrid-Test.
  6. В поле Регион выберите использованное ранее расположение.
  7. В поле "Имя" введите UDR-DG.
  8. Для параметра распространения маршрута шлюза выберите вариант Нет.
  9. Выберите Review + Create (Просмотреть и создать).
  10. Нажмите кнопку создания.
  11. После создания таблицы маршрутов щелкните ее, чтобы открыть страницу сведений.
  12. В левом столбце выберите Маршруты.
  13. Выберите Добавить.
  14. В поле "Имя маршрута" введите ToHub.
  15. Для параметра Назначение префикса адреса выберите IP-адреса.
  16. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.
  17. В поле "Тип следующего прыжка" выберите Виртуальный модуль.
  18. В поле "Адрес следующего прыжка" введите частный IP-адрес брандмауэра, который вы записали ранее.
  19. Выберите Добавить.

Теперь свяжите таблицу маршрутов с подсетью.

  1. На странице UDR-DG — маршруты выберите Подсети.
  2. Выберите Связать.
  3. В разделе Виртуальная сеть выберите VNet-spoke.
  4. В разделе Подсеть выберите SN-Workload.
  5. Нажмите ОК.

Создание виртуальных машин

Теперь создайте виртуальные машины для периферийной рабочей нагрузки и локальной среды и поместите их в соответствующие подсети.

Создание виртуальной машины с рабочей нагрузкой

В периферийной виртуальной сети создайте виртуальную машину со службами IIS без общедоступного IP-адреса.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • В поле Группа ресурсов выберите FW-Hybrid-Test
    • Имя виртуальной машины: VM-Spoke-01
    • В поле Регион выберите тот же регион, который использовался ранее
    • Имя пользователя: <введите имя пользователя>
    • Пароль: <введите пароль>.
  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите варианты HTTP (80) и RDP (3389).
  5. Выберите Next:Disks (Далее: диски).
  6. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.
  7. Выберите виртуальную сеть VNet-Spoke и подсеть SN-Workload.
  8. В поле Общедоступный IP-адрес выберите значение Нет.
  9. Щелкните Далее: Управление.
  10. Для параметра Диагностика загрузки выберите команду Отключить.
  11. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Установить IIS

После создания виртуальной машины установите IIS.

  1. На портале Azure откройте Cloud Shell и убедитесь, что здесь выбран вариант PowerShell.

  2. Чтобы установить службы IIS, выполните на виртуальной машине следующие команды и измените расположение, если это необходимо:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Создание локальной виртуальной машины

Это виртуальная машина, которую вы используете для подключения к общедоступному IP-адресу по протоколу удаленного рабочего стола. Далее можно подключиться к локальному серверу за брандмауэром.

  1. На домашней странице портала Azure выберите Создать ресурс.
  2. В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.
  3. Введите следующие значения для виртуальной машины:
    • Группа ресурсов. Выберите "Использовать имеющуюся", а затем — FW-Hybrid-Test.
    • Имя виртуальной машины - VM-Onprem.
    • В поле Регион выберите тот же регион, который использовался ранее.
    • Имя пользователя: <введите имя пользователя>.
    • Пароль: <введите пароль пользователя>.
  4. Для параметра Общедоступные входящие порты выберите Разрешить выбранные порты, а затем выберите вариант RDP (3389).
  5. Выберите Next:Disks (Далее: диски).
  6. Примите значения по умолчанию и щелкните Далее: Сеть.
  7. Выберите виртуальную сеть VNet-OnPrem и подсеть SN-Corp.
  8. Щелкните Далее: Управление.
  9. Для параметра Диагностика загрузки выберите команду Отключить.
  10. Щелкните Просмотр и создание, проверьте параметры на странице сводной информации и щелкните Создать.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

тестирование брандмауэра.

  1. Сначала запишите частный IP-адрес для виртуальной машины VM-spoke-01.

  2. На портале Azure подключитесь к виртуальной машине VM-Onprem.

  3. Откройте веб-браузер в VM-Onprem и перейдите по адресу http://<частный IP-адрес VM-spoke-01>.

    Вы увидите веб-страницу VM-spoke-01 : Веб-страница VM-Spoke-01

  4. На виртуальной машине VM-Onprem подключите удаленный рабочий стол к VM-spoke-01 по частному IP-адресу.

    Должно установиться соединение, чтобы вы могли войти в систему.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • При помощи браузера можно подключиться к веб-серверу в периферийной виртуальной сети.
  • К серверу в периферийной виртуальной сети можно подключиться с помощью RDP.

Затем измените действие коллекции сетевых правил брандмауэра на Запретить, чтобы убедиться, что правила брандмауэра работают должным образом.

  1. Выберите политику брандмауэра hybrid-test-pol.
  2. Выберите Коллекции правил.
  3. Выберите коллекцию правил RCNet01.
  4. В поле Действие коллекции правил выберите значение Запретить.
  5. Выберите Сохранить.

Закройте имеющиеся удаленные рабочие столы перед тестированием измененных правил. Теперь снова запустите тесты. На этот раз все они должны завершиться сбоем.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов FW-Hybrid-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium