使用 Azure 入口網站在混合式網路中部署及設定 Azure 防火牆
將內部部署網路連接到 Azure 虛擬網路來建立混合式網路時,控制對 Azure 網路資源的存取的能力,是整體安全計劃的重要組成部分。
您可以使用 Azure 防火牆 來控制混合式網路中的網路存取,方法是使用定義允許和拒絕網路流量的規則。
在本文中,您會建立三個虛擬網路:
- VNet-Hub:防火牆位於此虛擬網路中。
- VNet 輪輻:輪輻虛擬網路代表位於 Azure 上的工作負載。
- VNet-Onprem:內部部署虛擬網路代表內部部署網路。 在實際的部署中,您可以使用虛擬專用網 (VPN) 連線或 Azure ExpressRoute 連線來連線到它。 為了簡單起見,本文使用 VPN 網關聯機,而 Azure 位置的虛擬網路代表內部部署網路。
如果您想要改用 Azure PowerShell 來完成本文中的程式,請參閱使用 Azure PowerShell 在混合式網路中部署和設定 Azure 防火牆。
注意
本文使用傳統 Azure 防火牆 規則來管理防火牆。 慣用的方法是使用 Azure 防火牆 Manager 原則。 若要使用 Azure 防火牆 Manager 原則來完成此程式,請參閱教學課程:使用 Azure 入口網站 在混合式網路中部署和設定 Azure 防火牆 和原則。
必要條件
混合式網路會使用中樞和輪輻架構模型來路由傳送 Azure 虛擬網路與內部部署網路之間的流量。 中樞和輪輻架構具有下列需求:
設定 當您將 VNet-Hub 對等互連至 VNet 輪輻時,請使用此虛擬網路的網關或路由伺服器。 在中樞與輪輻式 (hub-and-spoke) 網路架構中,閘道傳輸會讓輪輻虛擬網路共用中樞內的 VPN 閘道,而不是將 VPN 閘道部署在每個輪輻虛擬網路中。
此外,路由至網關聯機的虛擬網路或內部部署網路,會透過閘道傳輸自動傳播至對等互連虛擬網路的路由表。 如需詳細資訊,請參閱為虛擬網路對等互連設定 VPN 閘道傳輸。
設定 當您將 VNet 輪輻對等互連至 VNet-Hub 時,請使用遠端虛擬網路的閘道或路由伺服器。 如果已設定 [使用遠端虛擬網路的閘道或路由伺服器],並且也設定遠端對等互連上的 [使用此虛擬網路的閘道或路由伺服器],則輪輻虛擬網路會使用遠端虛擬網路的閘道進行傳輸。
若要透過中樞防火牆路由輪輻子網流量,您可以使用使用者定義的路由 (UDR),以指向已停用虛擬網路網關路由傳播選項的防火牆。 停用此選項可防止路由散發至輪輻子網,因此已學習的路由無法與您的 UDR 衝突。 如果您想要讓 虛擬網路網關路由傳播 保持啟用,請務必定義防火牆的特定路由,以覆寫從內部部署透過邊界網關通訊協定 (BGP) 發佈的路由。
在中樞閘道子網路上設定可指向防火牆 IP 位址的 UDR,作為輪輻網路的下一個躍點。 Azure 防火牆 子網上不需要UDR,因為它會學習來自BGP的路由。
本文稍後的建立路由一節說明如何建立這些路由。
「Azure 防火牆」必須能夠直接連線到網際網路。 如果您的 AzureFirewallSubnet 子網透過 BGP 得知內部部署網路的預設路由,您必須使用設定為 Internet 的 0.0.0.0/0 UDR NextHopType 來覆寫它,以維持直接因特網連線。
注意
您可以設定 Azure 防火牆 以支持強制通道。 如需詳細資訊,請參閱 Azure 防火牆強制通道。
即使 UDR 指向 Azure 防火牆 做為預設閘道,直接對等互連虛擬網路之間的流量也會直接路由傳送。 若要在此案例中將子網對子網流量傳送至防火牆,UDR 必須在這兩個子網上明確包含目標子網網路前綴。
如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
建立防火牆中樞虛擬網路
首先,建立資源群組以包含資源:
- 登入 Azure 入口網站。
- 在 Azure 入口網站首頁上,選取 [資源群組]> [建立]。
- 在 [訂閱] 的部分,選取您的訂閱。
- 針對 [ 資源群組],輸入 RG-fw-hybrid-test。
- 針對 [區域],選取區域。 您稍後建立的所有資源都必須位於相同的區域中。
- 選取 [檢閱 + 建立] 。
- 選取 建立。
現在,建立虛擬網路。
注意
AzureFirewallSubnet 子網的大小是 /26。 如需有關子網路大小的詳細資訊,請參閱 Azure 防火牆的常見問題集。
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 虛擬網路。
- 選取 [虛擬網络],然後選取 [ 建立]。
- 針對 [ 資源群組],選取 [RG-fw-hybrid-test]。
- 針對 [虛擬網络名稱],輸入 VNet-Hub。
- 針對 [ 區域],選取您先前使用的區域。
- 選取 [下一步]。
- 在 [ 安全性] 索引標籤上,選取 [ 下一步]。
- 針對 [IPv4 位址空間],刪除預設位址,然後輸入 10.5.0.0/16。
- 在 [子網] 下,刪除預設子網。
- 選取 [新增子網]。
- 在 [新增子網] 頁面上,針對 [子網] 範本,選取 [Azure 防火牆]。
- 選取 [新增]。
建立閘道的第二個子網:
- 選取 [新增子網]。
- 針對 [子網範本],選取 [虛擬網絡 網關]。
- 針對 [開始位址],接受預設值 10.5.1.0。
- 針對 [子網大小],接受 /27 的預設值。
- 選取 [新增]。
- 選取 [檢閱 + 建立]。
- 選取 建立。
建立輪輻虛擬網路
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 虛擬網路。
- 選取 [虛擬網络],然後選取 [ 建立]。
- 針對 [ 資源群組],選取 [RG-fw-hybrid-test]。
- 針對 [ 名稱],輸入 VNet-Spoke。
- 針對 [ 區域],選取您先前使用的區域。
- 選取 [下一步]。
- 在 [ 安全性] 索引標籤上,選取 [ 下一步]。
- 針對 IPv4 位址空間,刪除預設位址,然後輸入 10.6.0.0/16。
- 在 [子網] 下,刪除預設子網。
- 選取 [新增子網]。
- 針對 [ 名稱],輸入 SN-Workload。
- 針對 [開始位址],接受預設值 10.6.0.0。
- 針對 [ 子網大小],接受預設值 /24。
- 選取 [新增]。
- 選取 [檢閱 + 建立]。
- 選取 建立。
建立內部部署虛擬網路
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 虛擬網路。
- 選取 [虛擬網络],然後選取 [ 建立]。
- 針對 [ 資源群組],選取 [RG-fw-hybrid-test]。
- 針對 [ 名稱],輸入 VNet-Onprem。
- 針對 [ 區域],選取您先前使用的區域。
- 選取 [下一步]。
- 在 [ 安全性] 索引標籤上,選取 [ 下一步]。
- 針對 IPv4 位址空間,刪除預設位址,然後輸入 192.168.0.0/16。
- 在 [子網] 下,刪除預設子網。
- 選取 [新增子網]。
- 針對 [ 名稱],輸入 SN-Corp。
- 針對 [開始位址],接受預設值 192.168.0.0。
- 針對 [ 子網大小],接受預設值 /24。
- 選取 [新增]。
現在,建立閘道的第二個子網:
- 選取 [新增子網]。
- 針對 [子網範本],選取 [虛擬網絡 網關]。
- 針對 [開始位址],接受預設值 192.168.1.0。
- 針對 [子網大小],接受 /27 的預設值。
- 選取 [新增]。
- 選取 [檢閱 + 建立]。
- 選取 建立。
設定及部署防火牆
將防火牆部署至防火牆中樞的虛擬網路:
在 Azure 入口網站的首頁中,選取 [建立資源]。
在搜尋方塊中,輸入 防火牆。
選取 [防火牆],然後選取 [ 建立]。
在 [建立防火牆] 頁面上,使用下表來設定防火牆:
設定 值 訂用帳戶 選取您的訂用帳戶。 資源群組 輸入 RG-fw-hybrid-test。 名稱 輸入 AzFW01。 區域 選取您之前使用的區域。 防火牆 SKU 選取 [標準]。 防火牆管理 選取 [使用防火牆規則](傳統版)來管理此防火牆。 選擇虛擬網路 選取 [使用現有的>VNet-Hub]。 公用 IP 位址 選取 [新增>fw-pip]。 選取 [檢閱 + 建立]。
檢閱摘要,然後選取 [建立] 來建立防火牆。
防火牆需要幾分鐘的時間才能部署。
部署完成後,請移至 RG-fw-hybrid-test 資源群組,然後選取 AzFW01 防火牆。
請記下私人 IP 位址。 您稍後會在建立預設路由時使用它。
設定網路規則
首先,新增網路規則以允許 Web 流量:
- 在 [AzFW01] 頁面上,選取 [規則] [傳統]。
- 選取 [網路規則集合] 索引標籤。
- 選取 [新增網路規則集合]。
- 針對 [ 名稱],輸入 RCNet01。
- 針對 [優先順序],輸入 100。
- [規則集合動作] 請選取 [允許]。
- 在 [規則 IP 位址] 底下,針對 [名稱],輸入 AllowWeb。
- 在 [通訊協定] 中,選取 [TCP]。
- 針對 [來源類型],選取 [IP 位址]。
- 針對 [ 來源],輸入 192.168.0.0/24。
- 針對 [目的地類型],選取 [IP 位址]。
- 針對 [ 目的地位址],輸入 10.6.0.0/16。
- 針對 [ 目的地埠],輸入 80。
現在,新增規則以允許 RDP 流量。 在第二個規則資料列上,輸入下列資訊:
- 針對 [ 名稱],輸入 AllowRDP。
- 在 [通訊協定] 中,選取 [TCP]。
- 針對 [來源類型],選取 [IP 位址]。
- 針對 [ 來源],輸入 192.168.0.0/24。
- 針對 [目的地類型],選取 [IP 位址]。
- 針對 [ 目的地位址],輸入 10.6.0.0/16。
- 針對 [目的地連接埠],輸入 3389。
- 選取 [新增]。
建立及連線 VPN 閘道
中樞和內部部署虛擬網路都是透過 VPN 閘道連線。
建立中樞虛擬網路的 VPN 閘道
建立中樞虛擬網路的 VPN 閘道。 網路對網路組態需要路由型 VPN 類型。 根據您選取的 SKU,建立 VPN 閘道通常需要 45 分鐘以上的時間。
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 虛擬網路閘道。
- 選取 [虛擬網络網關],然後選取 [ 建立]。
- 針對 [ 名稱],輸入 GW-hub。
- 在 [區域] 中,選取您先前使用的相同區域。
- 在 [閘道類型] 中,選取 [VPN]。
- 在 [VPN 類型] 中,選取 [路由式]。
- 針對 [SKU],選取 [基本]。
- 針對 [虛擬網络],選取 [VNet-Hub]。
- 針對 [公用 IP 位址],選取 [ 新建 ],然後輸入 VNet-Hub-GW-pip 以取得名稱。
- 針對 [ 啟用主動-主動模式],選取 [ 已停用]。
- 接受其餘預設值,然後選取 [ 檢閱 + 建立]。
- 檢閱設定,然後選取 [建立]。
建立虛擬網路的 VPN 內部部署閘道
建立內部部署虛擬網路的 VPN 閘道。 網路對網路組態需要路由型 VPN 類型。 根據您選取的 SKU,建立 VPN 閘道通常需要 45 分鐘以上的時間。
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 虛擬網路閘道。
- 選取 [虛擬網络網關],然後選取 [ 建立]。
- 針對 [ 名稱],輸入 GW-Onprem。
- 在 [區域] 中,選取您先前使用的相同區域。
- 在 [閘道類型] 中,選取 [VPN]。
- 在 [VPN 類型] 中,選取 [路由式]。
- 針對 [SKU],選取 [基本]。
- 在 [虛擬網路] 中,選取 [VNet-Onprem]。
- 針對 [公用 IP 位址],選取 [新建 ],然後輸入 VNet-Onprem-GW-pip 以取得名稱。
- 針對 [ 啟用主動-主動模式],選取 [ 已停用]。
- 接受其餘預設值,然後選取 [ 檢閱 + 建立]。
- 檢閱設定,然後選取 [建立]。
建立 VPN 連線
您現在可以建立中樞與內部部署閘道之間的 VPN 連線。
在下列步驟中,您會建立從中樞虛擬網路到內部部署虛擬網路的連線。 這些範例顯示共用金鑰,但您可以針對共用密鑰使用您自己的值。 但請務必確認該共用金鑰必須適用於這兩個連線。 建立連線可能需要一段時間才能完成。
- 開啟 RG-fw-hybrid-test 資源群組,然後選取 GW-hub 網關。
- 選取左欄中的 [連線]。
- 選取 [新增]。
- 針對連線名稱,輸入 Hub to-Onprem。
- 針對 [連線 ion 類型],選取 [VNet 對 VNet]。
- 選取 [下一步]。
- 針對 [ 第一個虛擬網路網關],選取 [GW-hub]。
- 針對 [ 第二個虛擬網络網關],選取 [GW-Onprem]。
- 針對 [共用密鑰 ][PSK],輸入 AzureA1b2C3。
- 選取 [檢閱 + 建立] 。
- 選取 建立。
建立內部部署與中樞之間的虛擬網路連線。 下列步驟與先前的步驟類似,不同之處在於您建立從 VNet-Onprem 到 VNet-Hub 的連線。 請確定共用金鑰相符。 聯機會在幾分鐘后建立。
- 開啟 RG-fw-hybrid-test 資源群組,然後選取 GW-Onprem 閘道。
- 選取左欄中的 [連線]。
- 選取 [新增]。
- 針對連線名稱,輸入 Onprem-to-Hub。
- 針對 連線 類型,選取 [VNet 對 VNet]。
- 選取 [下一步]:設定。
- 針對 [ 第一個虛擬網络網關],選取 [GW-Onprem]。
- 針對 [ 第二個虛擬網路網關],選取 [GW-hub]。
- 針對 [共用密鑰 ][PSK],輸入 AzureA1b2C3。
- 選取 [檢閱 + 建立] 。
- 選取 建立。
驗證連線
大約五分鐘之後,應該 連線 這兩個連線的狀態。
對等互連中樞與輪輻虛擬網路
現在,對等互連中樞和輪輻虛擬網路:
開啟 RG-fw-hybrid-test 資源群組,然後選取 VNet-Hub 虛擬網路。
在左欄中選取 [對等互連]。
選取 [新增]。
在 [此虛擬網路] 底下:
設定名稱 設定 對等互連連結名稱 輸入 HubtoSpoke。 對遠端虛擬網路的流量 選取允許。 從遠端虛擬網路轉送的流量 選取允許。 虛擬網路閘道 選取 [ 使用此虛擬網络的閘道]。 在 [遠端虛擬網路] 底下:
設定名稱 值 對等互連連結名稱 輸入 SpoketoHub。 虛擬網路部署模型 選擇資源管理員。 訂用帳戶 選取您的訂用帳戶。 虛擬網路 選取 [VNet 輪輻]。 對遠端虛擬網路的流量 選取允許。 從遠端虛擬網路轉送的流量 選取允許。 虛擬網路閘道 選取 [ 使用遠端虛擬網路的閘道]。 選取 [新增]。
下列螢幕快照顯示對等中樞和輪輻虛擬網路時要使用的設定:
建立路由
在下列步驟中,您會建立下列路由:
- 透過防火牆 IP 位址,從中樞閘道子網路到輪輻子網路的路由
- 透過防火牆 IP 位址,從輪輻子網路開始的預設路由
若要建立路由:
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 路由表。
- 選取 [路由表],然後選取 [ 建立]。
- 針對資源群組,選取 [RG-fw-hybrid-test]。
- 針對 [區域],選取您先前使用的相同位置。
- 針對名稱,輸入 UDR-Hub-Spoke。
- 選取 [檢閱 + 建立] 。
- 選取 建立。
- 建立路由表之後,請將其選取,以開啟 [路由表] 頁面。
- 選取左欄中的 [路由]。
- 選取 [新增]。
- 針對路由名稱,輸入 ToSpoke。
- 針對 [ 目的地類型],選取 [ IP 位址]。
- 針對 [ 目的地 IP 位址/CIDR 範圍],輸入 10.6.0.0/16。
- 針對下一個躍點類型,選取 [虛擬設備]。
- 針對下一個躍點位址,輸入您稍早注意到的防火牆私人IP位址。
- 選取 [新增]。
現在,將路由與子網產生關聯:
- 在 [UDR-Hub-Spoke - Routes] 頁面上,選取 [子網路]。
- 選取 [+ 建立關聯]。
- 在 [虛擬網络] 底下,選取 [VNet-Hub]。
- 在 [子網路] 之下,選取 [GatewaySubnet]。
- 選取 [確定]。
從輪輻子網建立預設路由:
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在搜尋方塊中,輸入 路由表。
- 選取 [路由表],然後選取 [ 建立]。
- 針對資源群組,選取 [RG-fw-hybrid-test]。
- 針對 [區域],選取您先前使用的相同位置。
- 針對名稱,輸入 UDR-DG。
- 針對 [傳播閘道路由],選取 [否]。
- 選取 [檢閱 + 建立] 。
- 選取 建立。
- 建立路由表之後,請將其選取,以開啟 [路由表] 頁面。
- 選取左欄中的 [路由]。
- 選取 [新增]。
- 針對路由名稱,輸入 ToHub。
- 針對 [ 目的地類型],選取 [ IP 位址]。
- 針對 [目的地 IP 位址/CIDR 範圍],輸入 0.0.0.0/0。
- 針對下一個躍點類型,選取 [虛擬設備]。
- 針對下一個躍點位址,輸入您稍早注意到的防火牆私人IP位址。
- 選取 [新增]。
將路由關聯至子網:
- 在 [UDR-DG - Routes] 頁面上,選取 [子網路]。
- 選取 [+ 建立關聯]。
- 在 [虛擬網络] 底下,選取 [VNet-Spoke]。
- 在 [子網路] 之下,選取 [SN-Workload]。
- 選取 [確定]。
建立虛擬機器
建立輪輻工作負載和內部部署虛擬機,並將其放在適當的子網中。
建立工作負載虛擬機器
在輪輻虛擬網路中建立執行 網際網路資訊服務 (IIS) 且沒有公用 IP 位址的虛擬機:
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在 [熱門 Marketplace 產品] 底下,選取 [Windows Server 2019 Datacenter]。
- 依虛擬機器輸入這些值:
- 資源群組:選取 [RG-fw-hybrid-test]。
- 虛擬機名稱:輸入 VM-Spoke-01。
- 區域:選取您先前使用的相同區域。
- 使用者名稱:輸入用戶名稱。
- 密碼:輸入密碼。
- 針對 [公用輸入埠],選取 [允許選取的埠],然後選取 [HTTP][80] 和 [RDP][3389]。
- 完成時,選取 [下一步: 磁碟]。
- 接受預設值,然後選取 [下一步: 網路]。
- 針對虛擬網路,選取 [VNet-Spoke]。 子網為 SN-Workload。
- 在 [公用 IP] 中,選取 [無]。
- 選取 [ 下一步:管理]。
- 選取 [下一步: 監視]。
- 針對 [開機診斷],選取 [停用]。
- 選取 [檢閱+建立],檢閱 [摘要] 頁面上的設定,然後選取 [建立]。
安裝 IIS
在 Azure 入口網站 上,開啟 Azure Cloud Shell,並確定其設定為 PowerShell。
執行下列命令以在虛擬機上安裝 IIS,並視需要變更位置:
Set-AzVMExtension ` -ResourceGroupName RG-fw-hybrid-test ` -ExtensionName IIS ` -VMName VM-Spoke-01 ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
建立內部部署虛擬機器
建立您用來透過遠端訪問公用IP位址進行連線的虛擬機。 您可以從該處透過防火牆連線到輪輻伺服器。
- 在 Azure 入口網站的首頁中,選取 [建立資源]。
- 在 [熱門] 底下,選取 [Windows Server 2019 Datacenter]。
- 依虛擬機器輸入這些值:
- 資源群組:選取 [現有],然後選取 [RG-fw-hybrid-test]。
- 虛擬機名稱:輸入 VM-Onprem。
- 區域:選取您先前使用的相同區域。
- 使用者名稱:輸入用戶名稱。
- 密碼:輸入用戶密碼。
- 針對 [公用輸入埠],選取 [允許選取的埠],然後選取 [RDP][3389]。
- 完成時,選取 [下一步: 磁碟]。
- 接受預設值,然後選取 [下一步: 網路]。
- 針對虛擬網路,選取 [VNet-Onprem]。 子網為 SN-Corp。
- 選取 [ 下一步:管理]。
- 選取 [下一步: 監視]。
- 針對 [開機診斷],選取 [停用]。
- 選取 [檢閱+建立],檢閱 [摘要] 頁面上的設定,然後選取 [建立]。
注意
Azure 會針對未獲指派公用 IP 位址或位於內部基本 Azure 負載平衡器後端集區中的 VM,提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 系統會指派公用 IP 位址給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網。
在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 不會有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取與針對輸出連線使用來源網路位址轉譯 (SNAT)。
測試防火牆
記下 VM-Spoke-01 虛擬機的私人IP位址。
在 Azure 入口網站 上,連線到 VM-Onprem 虛擬機。
在 VM-Onprem 上開啟網頁瀏覽器,然後瀏覽至
http://<VM-Spoke-01 private IP>。VM-Spoke-01 網頁應該會開啟。
從 VM-Onprem 虛擬機,在私人 IP 位址開啟 VM-Spoke-01 的遠端存取連線。
您的連線應會成功,而且應該能夠登入。
既然您已確認防火牆規則正常運作,您可以:
- 流覽至輪輻虛擬網路上的網頁伺服器。
- 連線 到輪輻虛擬網路上的伺服器,方法是使用 RDP。
接下來,將防火牆網路規則集合的動作變更為 [拒絕],以確認防火牆規則如預期般運作:
- 選取 AzFW01 防火牆。
- 選取 [規則] [傳統]。
- 選取 [ 網络規則集合 ] 索引標籤,然後選取 RCNet01 規則集合。
- 針對 [ 動作],選取 [ 拒絕]。
- 選取 [儲存]。
關閉任何現有的遠端訪問連線。 再次執行測試,以測試變更的規則。 這次所有測試應該都會失敗。
清除資源
您可以保留防火牆資源以進行進一步測試。 如果您不再需要它們,請刪除 RG-fw-hybrid-test 資源群組,以刪除所有防火牆相關資源。