Aracılığıyla paylaş

Öğretici: Azure Güvenlik Duvarı Manager kullanarak hub sanal ağınızın güvenliğini sağlama

  • Makale

Karma ağ oluşturmak için şirket içi ağınızı bir Azure sanal ağına bağladığınızda, Azure ağ kaynaklarınıza erişimi denetleme yeteneği genel bir güvenlik planının önemli bir parçasıdır.

Azure Güvenlik Duvarı Yöneticisi'ni kullanarak özel IP adreslerine, Azure PaaS'a ve İnternet'e yönelik karma ağ trafiğinizin güvenliğini sağlamak için bir merkez sanal ağı oluşturabilirsiniz. Azure Güvenlik Duvarı Yöneticisi’ni kullanarak izin verilen ve reddedilen ağ trafiğini tanımlayan ilkeler sayesinde hibrit ağdaki ağ erişimini denetleyebilirsiniz.

Güvenlik Duvarı Yöneticisi güvenli bir sanal hub mimarisini de destekler. Güvenli sanal hub ile hub sanal ağ mimarisi türlerinin karşılaştırması için bkz. Azure Güvenlik Duvarı Yöneticisi mimari seçenekleri nelerdir?

Bu öğretici için üç sanal ağ oluşturursunuz:

  • VNet-Hub - Güvenlik duvarı bu sanal ağdadır.
  • VNet-Spoke - uç sanal ağı, Azure'da bulunan iş yükünü temsil eder.
  • VNet-Onprem - Şirket içi sanal ağ, şirket içi ağı temsil eder. Gerçek bir dağıtımda, VPN veya ExpressRoute bağlantısı kullanılarak bağlanabilir. Kolaylık olması için bu öğreticide VPN ağ geçidi bağlantısı kullanılır ve şirket içi ağı temsil etmek için Azure'da bulunan bir sanal ağ kullanılır.

Azure Güvenlik Duvarı Manager hub karma ağının diyagramı.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Güvenlik duvarı ilkesi oluşturma
  • Sanal ağları oluşturma
  • Güvenlik duvarını yapılandırma ve dağıtma
  • VPN ağ geçitlerini oluşturma ve bağlama
  • Merkez ve uç sanal ağlarını eşleme
  • Yolları oluşturma
  • Sanal makineleri oluşturma
  • Güvenlik duvarını test etme

Önkoşullar

Karma ağ, Azure sanal ağları ile şirket içi ağlar arasındaki trafiği yönlendirmek için merkez-uç mimari modelini kullanır. Merkez-uç mimarisi aşağıdaki gereksinimlere sahiptir:

  • Uç alt ağ trafiğini merkez güvenlik duvarı üzerinden yönlendirmek için Sanal ağ geçidi yolu yayma ayarı devre dışı bırakılmış olarak güvenlik duvarını işaret eden bir Kullanıcı Tanımlı yol (UDR) gerekir. Bu seçenek uç alt ağlarına yol dağıtımını engeller. Bu, öğrenilen yolların UDR'nizle çakışmasını önler.
  • Merkez ağ geçidi alt ağında, uç ağlarına sonraki atlama olarak güvenlik duvarı IP adresine işaret eden bir UDR yapılandırın. BGP'den yolları öğrendiğinden, Azure Güvenlik Duvarı alt ağından UDR gerekmez.

Bu yolların nasıl oluşturulduğunu görmek için Yolları Oluşturma bölümüne bakın.

Not

Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz BGP aracılığıyla şirket içi ağınıza yönelik varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için nextHopType değeri İnternet olarak ayarlanmış bir 0.0.0.0/0 UDR ile bunu geçersiz kılmanız gerekir.

Azure Güvenlik Duvarı zorlamalı tüneli destekleyecek şekilde yapılandırılabilir. Daha fazla bilgi için bkz. zorlamalı tünel Azure Güvenlik Duvarı.

Not

Bir UDR varsayılan ağ geçidi olarak Azure Güvenlik Duvarı işaret etse bile doğrudan eşlenen sanal ağlar arasındaki trafik doğrudan yönlendirilir. Bu senaryoda alt ağ trafiğini güvenlik duvarına göndermek için UDR'nin hedef alt ağ ön ekini her iki alt ağda da açıkça içermesi gerekir.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Güvenlik Duvarı İlkesi Oluşturma

  1. Azure Portal’ında oturum açın.

  2. Azure portalı arama çubuğuna Güvenlik Duvarı Yöneticisi yazın ve Enter tuşuna basın.

  3. Azure Güvenlik Duvarı Yöneticisi sayfasındaki Güvenlik'in altında Azure Güvenlik Duvarı İlkeleri'ni seçin.

    Güvenlik Duvarı Yöneticisi ana sayfasını gösteren ekran görüntüsü.

  4. Azure Güvenlik Duvarı İlkesi Oluştur'u seçin.

  5. Aboneliğinizi seçin ve Kaynak grubu için Yeni oluştur'u seçin ve FW-Hybrid-Test adlı bir kaynak grubu oluşturun.

  6. İlke adı olarak Pol-Net01 yazın.

  7. Bölge için Doğu ABD'yi seçin.

  8. İleri: DNS Ayarları'nı seçin.

  9. Sonraki: TLS inceleme'yi seçin

  10. İleri:Kurallar'ı seçin.

  11. Kural koleksiyonu ekle'yi seçin.

  12. Ad alanına RCNet01 yazın.

  13. Kural koleksiyonu türü için Ağ'ı seçin.

  14. Öncelik için 100 yazın.

  15. Eylem alanında İzin ver'i seçin.

  16. Kurallar'ın altındaki Ad alanına AllowWeb yazın.

  17. Kaynak için 192.168.1.0/24 yazın.

  18. Protokol alanında TCP'yi seçin.

  19. Hedef Bağlantı Noktaları için 80 yazın.

  20. Hedef Türü için IP Adresi'ne tıklayın.

  21. Hedef için 10.6.0.0/16 yazın.

  22. Sonraki kural satırına aşağıdaki bilgileri girin:

    Ad: AllowRDP yazın
    Kaynak: 192.168.1.0/24 yazın.
    Protokol, TCP'yi seçin
    Hedef Bağlantı Noktaları, tür 3389
    Hedef Türü'nü seçin, IP Adresi'ne tıklayın
    Hedef için 10.6.0.0/16 yazın

  23. Ekle'yi seçin.

  24. Gözden geçir + Oluştur’u seçin.

  25. Ayrıntıları gözden geçirin ve oluştur'u seçin.

Güvenlik duvarı hub'ı sanal ağını oluşturma

Not

AzureFirewallSubnet alt ağı boyutu /26'dır. Alt ağ boyutu hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı SSS.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Sanal ağ'ı arayın ve ardından Sanal ağ'ı seçin.

  3. Oluştur'u belirleyin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için FW-Karma-Test'i seçin.

  6. Ad alanına VNet-hub yazın.

  7. Bölge için Doğu ABD'yi seçin.

  8. İleri'yi seçin.

  9. Güvenlik bölümünde İleri'yi seçin.

  10. IPv4 adres alanı için 10.5.0.0/16 yazın.

  11. Alt ağlar'ın altında varsayılan'ı seçin.

  12. Alt ağ amacı için Azure Güvenlik Duvarı'ı seçin.

  13. Başlangıç adresi için 10.5.0.0/26 yazın.

  14. Diğer varsayılan ayarları kabul edin ve kaydet'i seçin.

  15. Gözden geçir ve oluştur’u seçin.

  16. Oluştur'u belirleyin.

Başlangıç adresi 10.5.1.0/27 olan Sanal Ağ Ağ Geçidi olarak ayarlanmış alt ağ amaçlı başka bir alt ağ ekleyin. Bu alt ağ VPN ağ geçidi için kullanılır.

Uç sanal ağını oluşturma

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Sanal ağ'ı arayın ve ardından Sanal ağ'ı seçin.
  3. Oluştur'u belirleyin.
  4. Abonelik için, aboneliğinizi seçin.
  5. Kaynak grubu için FW-Karma-Test'i seçin.
  6. Ad alanına VNet-Spoke yazın.
  7. Bölge için Doğu ABD'yi seçin.
  8. İleri'yi seçin.
  9. Güvenlik sayfasında İleri'yi seçin.
  10. İleri: IP Adresleri'ne tıklayın.
  11. IPv4 adres alanı için 10.6.0.0/16 yazın.
  12. Alt ağlar'ın altında varsayılan'ı seçin.
  13. Adı SN-İş Yükü olarak değiştirin.
  14. Başlangıç adresi için 10.6.0.0/24 yazın.
  15. Diğer varsayılan ayarları kabul edin ve kaydet'i seçin.
  16. Gözden geçir ve oluştur’u seçin.
  17. Oluştur'u belirleyin.

Şirket içi sanal ağı oluşturma

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Sanal ağ'ı arayın ve ardından Sanal ağ'ı seçin.

  3. Oluştur'u belirleyin.

  4. Abonelik için, aboneliğinizi seçin.

  5. Kaynak grubu için FW-Karma-Test'i seçin.

  6. Sanal ağ adı için VNet-OnPrem yazın.

  7. Bölge için Doğu ABD'yi seçin.

  8. İleri'yi seçin.

  9. Güvenlik sayfasında İleri'yi seçin.

  10. IPv4 adres alanı için 192.168.0.0/16 yazın.

  11. Alt ağlar'ın altında varsayılan'ı seçin.

  12. Adı SN-Corp olarak değiştirin.

  13. Başlangıç adresi için 192.168.1.0/24 yazın.

  14. Diğer varsayılan ayarları kabul edin ve kaydet'i seçin.

  15. Alt ağ ekle'yi seçin.

  16. Alt ağ amacı için Sanal Ağ Ağ Geçidi'ni seçin.

  17. Başlangıç adresi için 192.168.2.0/27 yazın.

  18. Ekle'yi seçin.

  19. Gözden geçir ve oluştur’u seçin.

  20. Oluştur'u belirleyin.

Güvenlik duvarını yapılandırma ve dağıtma

Güvenlik ilkeleri bir hub ile ilişkilendirildiğinde, buna merkez sanal ağı denir.

VNet-Hub sanal ağını merkez sanal ağına dönüştürün ve Azure Güvenlik Duvarı ile güvenliğini sağlayın.

  1. Azure portalı arama çubuğuna Güvenlik Duvarı Yöneticisi yazın ve Enter tuşuna basın.

  2. Sağ bölmede Genel Bakış'ı seçin.

  3. Azure Güvenlik Duvarı Yöneticisi sayfasında, Sanal ağlara güvenlik ekle'nin altında Hub sanal ağlarını görüntüle'yi seçin.

  4. Sanal Ağ s altında VNet-hub onay kutusunu seçin.

  5. Güvenliği Yönet'i ve ardından Güvenlik Duvarı İlkesi ile Güvenlik Duvarı Dağıt'ı seçin.

  6. Sanal ağları dönüştür sayfasının Azure Güvenlik Duvarı katmanı altında Premium'a tıklayın. Güvenlik Duvarı İlkesi'nin altında Pol-Net01 onay kutusunu seçin.

  7. İleri: Gözden geçir ve onayla'yı seçin

  8. Ayrıntıları gözden geçirin ve onayla'yı seçin.

    Bu işlemin dağıtılması birkaç dakika sürer.

  9. Dağıtım tamamlandıktan sonra FW-Hybrid-Test kaynak grubuna gidin ve güvenlik duvarını seçin.

  10. Genel Bakış sayfasında güvenlik duvarı Özel IP adresini not edin. Bunu daha sonra varsayılan yolu oluştururken kullanırsınız.

VPN ağ geçitlerini oluşturma ve bağlama

Merkez ve şirket içi sanal ağlar VPN ağ geçitleri aracılığıyla bağlanır.

Merkez sanal ağı için VPN ağ geçidi oluşturma

Şimdi merkez sanal ağı için VPN ağ geçidini oluşturun. Ağdan ağa yapılandırmalar için RouteBased VpnType gerekir. VPN ağ geçidinin oluşturulması, seçili VPN ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama metin kutusuna sanal ağ geçidi yazın ve Enter tuşuna basın.
  3. Sanal ağ geçidi'ni ve ardından Oluştur'u seçin.
  4. Ad alanına GW-hub yazın.
  5. Bölge için (ABD) Doğu ABD'yi seçin.
  6. Ağ geçidi türü için VPN'yi seçin.
  7. SKU için VpnGw2'yi seçin.
  8. Oluşturma için Nesil2'yi seçin.
  9. Sanal ağ için VNet-hub'ı seçin.
  10. Genel IP adresi için Yeni oluştur'u seçin ve ad olarak VNet-hub-GW-pip yazın.
  11. Etkin-etkin modu etkinleştir için Devre Dışı'nı seçin.
  12. Kalan varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.
  13. Yapılandırmayı gözden geçirin ve Oluştur'u seçin.

Şirket içi sanal ağ için VPN ağ geçidi oluşturma

Şimdi şirket içi sanal ağ için VPN ağ geçidini oluşturun. Ağdan ağa yapılandırmalar için RouteBased VpnType gerekir. VPN ağ geçidinin oluşturulması, seçili VPN ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama metin kutusuna sanal ağ geçidi yazın ve Enter tuşuna basın.
  3. Sanal ağ geçidi'ni ve ardından Oluştur'u seçin.
  4. Ad alanına GW-Onprem yazın.
  5. Bölge için (ABD) Doğu ABD'yi seçin.
  6. Ağ geçidi türü için VPN'yi seçin.
  7. SKU için VpnGw2'yi seçin.
  8. Oluşturma için Nesil2'yi seçin.
  9. Sanal ağ için VNet-Onprem'i seçin.
  10. Genel IP adresi için Yeni oluştur'u seçin ve ad olarak VNet-Onprem-GW-pip yazın.
  11. Etkin-etkin modu etkinleştir için Devre Dışı'nı seçin.
  12. Kalan varsayılanları kabul edin ve gözden geçir + oluştur'u seçin.
  13. Yapılandırmayı gözden geçirin ve Oluştur'u seçin.

VPN bağlantılarını oluşturma

Artık merkez ile şirket içi ağ geçitleri arasında VPN bağlantıları oluşturabilirsiniz.

Bu adımda, merkez sanal ağından şirket içi sanal ağa bağlantıyı oluşturursunuz. Örneklerde paylaşılan anahtara başvurulur. Paylaşılan anahtar için kendi değerlerinizi kullanabilirsiniz. Paylaşılan anahtarın her iki bağlantıyla da eşleşiyor olması önemlidir. Bağlantının oluşturulması biraz zaman alır.

  1. FW-Hybrid-Test kaynak grubunu açın ve GW-hub ağ geçidini seçin.
  2. Sol sütundaki Ayarlar'ın altında Bağlantılar'ı seçin.
  3. Ekle'yi seçin.
  4. Bağlantı adı olarak Hub-Onprem yazın.
  5. Bağlantı türü için Sanal Ağdan Sanal Ağa seçeneğini belirleyin.
  6. İleri: Ayarlar'ı seçin.
  7. İlk sanal ağ geçidi için GW-hub'ı seçin.
  8. İkinci sanal ağ geçidi için GW-Onprem'i seçin.
  9. Paylaşılan anahtar (PSK) için AzureA1b2C3 yazın.
  10. Gözden geçir ve oluştur’u seçin.
  11. Oluştur'u belirleyin.

Şirket içi merkez sanal ağ bağlantısını oluşturun. Bu adım öncekine benzer, ancak VNet-Onprem'den VNet-hub'a bağlantıyı oluşturursunuz. Paylaşılan anahtarların eşleştiğinden emin olun. Bağlantı birkaç dakika içerisinde kurulacaktır.

  1. FW-Hybrid-Test kaynak grubunu açın ve GW-Onprem ağ geçidini seçin.
  2. Sol sütunda Bağlantılar'ı seçin.
  3. Ekle'yi seçin.
  4. Bağlantı adı için Onprem-to-Hub yazın.
  5. Bağlantı türü için Sanal Ağdan Sanal Ağa seçeneğini belirleyin.
  6. İleri: Ayarlar'ı seçin.
  7. İlk sanal ağ geçidi için GW-Onprem'i seçin.
  8. İkinci sanal ağ geçidi için GW-hub'ı seçin.
  9. Paylaşılan anahtar (PSK) için AzureA1b2C3 yazın.
  10. Tamam'ı seçin.

Bağlantıyı doğrulama

İkinci ağ bağlantısı dağıtıldıktan yaklaşık beş dakika sonra her iki bağlantının da durumu Bağlandı olmalıdır.

Vpn ağ geçidi bağlantılarını gösteren ekran görüntüsü.

Merkez ve uç sanal ağlarını eşleme

Şimdi merkez-uç sanal ağlarını eşle.

  1. FW-Hybrid-Test kaynak grubunu açın ve VNet-hub sanal ağını seçin.

  2. Sol sütunda Eşlemeler'i seçin.

  3. Ekle'yi seçin.

  4. Uzak sanal ağ özeti altında:

    Ayar adı Değer
    Eşleme bağlantı adı SpoketoHub
    Sanal ağ dağıtım modeli Resource Manager
    Abonelik <aboneliğiniz>
    Sanal ağ VNet-Spoke
    'VNet-Spoke' öğesinin 'VNet-hub' erişimine izin ver seçili
    'VNet-Spoke' öğesinin 'VNet-Hub'dan iletilen trafiği almasına izin ver seçili
    'VNet-Spoke' içindeki ağ geçidi veya yönlendirme sunucusunun trafiği 'VNet-Hub'a iletmesine izin ver seçilmedi
    'VNet-Hub'ın uzak ağ geçidini veya yol sunucusunu kullanmak için 'VNet-Spoke' özelliğini etkinleştirin seçili

  5. Yerel sanal ağ özeti altında:

    Ayar adı Değer
    Eşleme bağlantı adı HubtoSpoke
    'VNet-hub'ın 'VNet-Spoke' erişimine izin ver seçili
    'VNet-hub'ın 'VNet-Spoke' içinden iletilen trafiği almasına izin ver seçili
    'VNet-Hub' içindeki ağ geçidi veya yönlendirme sunucusunun trafiği 'VNet-Spoke' adresine iletmesine izin verme seçili
    'VNet-Hub'ı 'VNet-Spoke' uzak ağ geçidini veya yol sunucusunu kullanmak için etkinleştirin seçilmedi

  6. Ekle'yi seçin.

    Sanal ağ eşlemesini gösteren ekran görüntüsü.

Yolları oluşturma

Şimdi birkaç yol oluşturun:

  • Güvenlik duvarı IP adresi üzerinden hub ağ geçidi alt ağından uç alt ağına giden bir yol
  • Güvenlik duvarı IP adresi üzerinden uç alt ağından gelen varsayılan yol
  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama metin kutusuna yol tablosu yazın ve Enter tuşuna basın.
  3. Rota tablosu'nu seçin.
  4. Oluştur'u belirleyin.
  5. Kaynak grubu için FW-Karma-Test'i seçin.
  6. Bölge için Doğu ABD'yi seçin.
  7. Ad olarak UDR-Hub-Spoke yazın.
  8. Gözden geçir + Oluştur’u seçin.
  9. Oluştur'u belirleyin.
  10. Yol tablosu oluşturulduktan sonra, yönlendirme tablosu sayfasını açmak için bu tabloyu seçin.
  11. Sol sütunda Yollar'ı seçin.
  12. Ekle'yi seçin.
  13. Yol adı için ToSpoke yazın.
  14. Hedef türü için IP adresleri'ne tıklayın.
  15. Hedef IP adresleri/CIDR aralıkları için 10.6.0.0/16 yazın.
  16. Sonraki atlama türü için Sanal gereç'i seçin.
  17. Sonraki atlama adresi için güvenlik duvarının daha önce not ettiğiniz özel IP adresini yazın.
  18. Ekle'yi seçin.

Şimdi yolu alt ağ ile ilişkilendirin.

  1. UDR-Hub-Spoke - Yollar sayfasında Alt ağlar'ı seçin.
  2. İlişkili'yi seçin.
  3. Sanal ağ'ın altında VNet-hub'ı seçin.
  4. Alt ağ'ın altında GatewaySubnet'i seçin.
  5. Tamam'ı seçin.

Şimdi uç alt ağından varsayılan yolu oluşturun.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.
  2. Arama metin kutusuna yol tablosu yazın ve Enter tuşuna basın.
  3. Rota tablosu'nu seçin.
  4. Oluştur'u belirleyin.
  5. Kaynak grubu için FW-Karma-Test'i seçin.
  6. Bölge için Doğu ABD'yi seçin.
  7. Ad olarak UDR-DG yazın.
  8. Ağ geçidi yollarını yay için Hayır'ı seçin.
  9. Gözden geçir ve oluştur’u seçin.
  10. Oluştur'u belirleyin.
  11. Yol tablosu oluşturulduktan sonra, yönlendirme tablosu sayfasını açmak için bu tabloyu seçin.
  12. Sol sütunda Yollar'ı seçin.
  13. Ekle'yi seçin.
  14. Yol adı olarak ToHub yazın.
  15. Hedef türü için IP adreslerini seçin
  16. Hedef IP adresleri/CIDR aralıkları için 0.0.0.0/0 yazın.
  17. Sonraki atlama türü için Sanal gereç'i seçin.
  18. Sonraki atlama adresi için güvenlik duvarının daha önce not ettiğiniz özel IP adresini yazın.
  19. Ekle'yi seçin.

Şimdi yolu alt ağ ile ilişkilendirin.

  1. UDR-DG - Yollar sayfasında Alt ağlar'ı seçin.
  2. İlişkili'yi seçin.
  3. Sanal ağ'ın altında Sanal ağ uçlu seçeneğini belirleyin.
  4. Alt ağ'ın altında SN-İş Yükü'ne tıklayın.
  5. Tamam'ı seçin.

Sanal makineleri oluşturma

Şimdi uç iş yükünü ve şirket içi sanal makineleri oluşturun ve uygun alt ağlara yerleştirin.

İş yükü sanal makinesi oluşturma

Uç sanal ağında iis çalıştıran ve genel IP adresi olmayan bir sanal makine oluşturun.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Popüler Market ürünleri'nin altında Windows Server 2019 Datacenter'ı seçin.

  3. Sanal makine için şu değerleri girin:

    • Kaynak grubu - FW-Karma-Test'i seçin
    • Sanal makine adı: VM-Spoke-01
    • Bölge - (ABD) Doğu ABD
    • Kullanıcı adı: Bir kullanıcı adı yazın
    • Parola: parola yazın

  4. Genel gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver'i ve ardından HTTP (80) ve RDP (3389) seçeneğini belirleyin

  5. İleri:Diskler'i seçin.

  6. Varsayılanları kabul edin ve İleri: Ağ'ı seçin.

  7. Sanal ağ için VNet-Spoke öğesini seçin ve alt ağ SN-Workload olur.

  8. İleri:Yönetim'i seçin.

  9. İleri: İzleme'yi seçin.

  10. Önyükleme tanılaması için Devre Dışı Bırak'ı seçin.

  11. Gözden Geçir + Oluştur'u seçin, özet sayfasındaki ayarları gözden geçirin ve ardından Oluştur'u seçin.

IIS yükleme

  1. Azure portalında Cloud Shell'i açın ve PowerShell olarak ayarlandığından emin olun.

  2. Sanal makineye IIS yüklemek ve gerekirse konumu değiştirmek için aşağıdaki komutu çalıştırın:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Şirket içi sanal makineyi oluşturma

Bu, Uzak Masaüstü'nü kullanarak genel IP adresine bağlanmak için kullandığınız bir sanal makinedir. Buradan, güvenlik duvarı üzerinden şirket içi sunucuya bağlanırsınız.

  1. Azure portalı giriş sayfasında Kaynak oluştur'u seçin.

  2. Popüler'in altında Windows Server 2019 Datacenter'ı seçin.

  3. Sanal makine için şu değerleri girin:

    • Kaynak grubu - Var olanı seçin ve ardından FW-Karma-Test'i seçin
    • Vm-Onprem sanal makine adı -
    • Bölge - (ABD) Doğu ABD
    • Kullanıcı adı: Bir kullanıcı adı yazın
    • Parola: Parolanızı yazın

  4. Genel gelen bağlantı noktaları için Seçili bağlantı noktalarına izin ver'i ve ardından RDP (3389) öğesini seçin

  5. İleri:Diskler'i seçin.

  6. Varsayılanları kabul edin ve İleri:Ağ'ı seçin.

  7. Sanal ağ için VNet-Onprem'i seçin ve alt ağın SN-Corp olduğunu doğrulayın.

  8. İleri:Yönetim'i seçin.

  9. İleri: İzleme'yi seçin.

  10. Önyükleme tanılaması için Devre dışı bırak'ı seçin.

  11. Gözden Geçir + Oluştur'u seçin, özet sayfasındaki ayarları gözden geçirin ve ardından Oluştur'u seçin.

Güvenlik duvarını test etme

  1. İlk olarak, VM-Spoke-01 Genel Bakış sayfasındaki VM-Spoke-01 sanal makinesinin özel IP adresini not edin.

  2. Azure portalından, VM-Onprem sanal makinesine bağlanın.

  1. VM-Onprem üzerinde bir web tarayıcısı açın ve http://< VM-spoke-01 özel IP> adresine gidin.

    VM-spoke-01 web sayfasını görmeniz gerekir:vm-spoke-01 web sayfasını gösteren ekran görüntüsü.

  2. VM-Onprem sanal makinesinden, özel IP adresinde VM-spoke-01'e uzak bir masaüstü açın.

    Bağlantınız başarılı olmalı ve oturum açabilmelisiniz.

Şimdi güvenlik duvarı kurallarının çalıştığını doğruladınız:

  • Uç sanal ağında web sunucusuna göz atabilirsiniz.
  • RDP kullanarak uç sanal ağında sunucuya bağlanabilirsiniz.

Ardından, güvenlik duvarı kurallarının beklendiği gibi çalıştığını doğrulamak için güvenlik duvarı ağ kuralı koleksiyonu eylemini Reddet olarak değiştirin.

  1. FW-Hybrid-Test kaynak grubunu açın ve Pol-Net01 güvenlik duvarı ilkesini seçin.
  2. Ayarlar'ın altında Kural Koleksiyonları'nı seçin.
  3. RCNet01 kural koleksiyonunu seçin.
  4. Kural koleksiyonu eylemi için Reddet'i seçin.
  5. Kaydet'i seçin.

Değiştirilen kuralları test etmeden önce VM-Onprem üzerindeki mevcut uzak masaüstlerini ve tarayıcıları kapatın. Kural koleksiyonu güncelleştirmesi tamamlandıktan sonra testleri yeniden çalıştırın. Bu kez hepsinin bağlanamaması gerekir.

Kaynakları temizleme

Daha fazla araştırma yapmak için güvenlik duvarı kaynaklarınızı koruyabilir veya artık gerekli değilse FW-Hybrid-Test kaynak grubunu silip güvenlik duvarıyla ilgili tüm kaynakları silebilirsiniz.

Sonraki adımlar

Öğretici: Azure Güvenlik Duvarı Manager kullanarak sanal WAN'ınızın güvenliğini sağlama