Zelfstudie: Azure Firewall en beleid implementeren en configureren in een hybride netwerk met behulp van Azure Portal
Als u het on-premises netwerk verbindt met een virtueel Azure-netwerk om een hybride netwerk te maken, is de mogelijkheid om de toegang tot uw Azure-netwerkresources te beheren een belangrijk onderdeel van een algemeen beveiligingsplan.
U kunt Azure Firewall en Firewall-beleid gebruiken om netwerktoegang in een hybride netwerk te beheren met behulp van regels die toegestaan en geweigerd netwerkverkeer definiëren.
Voor deze zelfstudie maakt u drie virtuele netwerken:
- VNet-Hub: de firewall bevindt zich in dit virtuele netwerk.
- VNet-spoke: het virtuele spoke-netwerk vertegenwoordigt de workload die zich bevindt in Azure.
- VNet-Onprem: het on-premises virtuele netwerk vertegenwoordigt een on-premises netwerk. In een werkelijke implementatie kan deze worden verbonden met behulp van een VPN- of ExpressRoute-verbinding. Om het eenvoudig te houden wordt in deze zelfstudie een VPN-gatewayverbinding gebruikt en wordt een on-premises netwerk vertegenwoordigd door een virtueel Azure-netwerk.
In deze zelfstudie leert u het volgende:
- Het virtuele hub-netwerk voor de firewall maken
- Het virtuele spoke-netwerk maken
- Het on-premises virtuele netwerk maken
- De firewall en het beleid configureren en implementeren
- De VPN-gateways maken en verbinden
- De hub- en virtuele spoke-netwerken koppelen
- De routes maken
- De virtuele machines maken
- De firewall testen
Als u in plaats daarvan Azure PowerShell wilt gebruiken om deze procedure te voltooien, raadpleegt u Azure Firewall implementeren en configureren in een hybride netwerk met Azure PowerShell.
Vereisten
Een hybride netwerk maakt gebruik van het hub-and-spoke-architectuurmodel om verkeer tussen Azure VNets en on-premises netwerken te routeren. De hub-en-spoke-architectuur heeft de volgende vereisten:
- Om het verkeer van het spoke-subnet te routeren via de hub-firewall, kunt u een door de gebruiker gedefinieerde route (UDR) gebruiken die naar de firewall wijst en waarvoor de optie Doorgifte van route van virtuele netwerkgateway is uitgeschakeld. De uitgeschakelde optie Doorgifte van route van virtuele netwerkgateway voorkomt routedistributie naar de spoke-subnetten. Hierdoor veroorzaken geleerde routes geen conflicten met uw UDR. Als u routepropagatie van de virtuele netwerkgateway ingeschakeld wilt houden, moet u ervoor zorgen dat specifieke routes naar de firewall worden gedefinieerd om de routes te overschrijven die on-premises zijn gedefinieerd vanuit BGP.
- Configureer een UDR in het subnet van de hubgateway die verwijst naar het IP-adres van de firewall als de volgende hop naar de spoke-netwerken. Er is geen door de gebruiker gedefinieerde route (UDR) nodig in het Azure Firewall-subnet, omdat het de routes overneemt van BGP.
Zie het gedeelte Routes maken in deze zelfstudie voor informatie over hoe deze routes worden gemaakt.
Notitie
Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.
Azure Firewall kan worden geconfigureerd voor ondersteuning van geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.
Notitie
Verkeer tussen rechtstreeks gepeerde VNets wordt rechtstreeks gerouteerd, zelfs als de UDR naar Azure Firewall als standaardgateway wijst. Als u in dit scenario subnet-naar-subnet-verkeer wilt verzenden, moet een UDR het voorvoegsel van het doelsubnetwerk expliciet op beide subnetten bevatten.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Het virtuele hub-netwerk voor de firewall maken
Maak eerst de resourcegroep voor de resources in deze zelfstudie:
- Meld u aan bij het Azure-portaal.
- Selecteer Op de startpagina van Azure Portal de optie Resourcegroepen>maken.
- Selecteer uw abonnement bij Abonnement.
- Geef voor Resourcegroep de naam FW-Hybrid-Test op.
- Selecteer bij Regio (VS) VS - oost. Alle resources die u later maakt, moeten zich op dezelfde locatie bevinden.
- Selecteer Controleren + maken.
- Selecteer Maken.
Maak nu het virtuele netwerk:
Notitie
De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Selecteer Virtueel netwerk onder Netwerken.
- Selecteer Maken.
- Geef voor Resourcegroep de naam FW-Hybrid-Test op.
- Geef bij Naam VNet-hub op.
- Selecteer Volgende op het tabblad Beveiliging.
- Bij IPv4-adresruimte typt u 10.5.0.0/16.
- Selecteer onder Subnetten de standaardwaarde.
- Selecteer Azure Firewall voor subnetdoeleinden.
- Voor het beginadres typt u 10.5.0.0/26.
- Selecteer Opslaan.
- Selecteer Controleren + maken.
- Selecteer Maken.
Maak nu een tweede subnet voor de gateway.
- Selecteer Subnetten op de pagina VNet-hub.
- Selecteer +Subnet.
- Voor subnetdoel selecteert u Virtuele netwerkgateway.
- Voor beginadrestype 10.5.2.0/26.
- Selecteer Toevoegen.
Het virtuele spoke-netwerk maken
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Selecteer Virtueel netwerk bij Netwerken.
- Selecteer Maken.
- Geef voor Resourcegroep de naam FW-Hybrid-Test op.
- Bij Naam typt u VNet-Spoke.
- Selecteer bij Regio (VS) VS - oost.
- Selecteer Volgende.
- Selecteer Volgende op het tabblad Beveiliging.
- Bij IPv4-adresruimte typt u 10.6.0.0/16.
- Selecteer onder Subnetten de standaardwaarde.
- Voor naamtype SN-workload.
- Voor het beginadres typt u 10.6.0.0/24.
- Selecteer Opslaan.
- Selecteer Controleren + maken.
- Selecteer Maken.
Het on-premises virtuele netwerk maken
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Selecteer Virtueel netwerk bij Netwerken.
- Geef voor Resourcegroep de naam FW-Hybrid-Test op.
- Bij Naam typt u VNet-OnPrem.
- Selecteer bij Regio (VS) VS - oost.
- Selecteer Volgende.
- Selecteer Volgende op het tabblad Beveiliging.
- Bij IPv4-adresruimte typt u 192.168.0.0/16.
- Selecteer onder Subnetten de standaardwaarde.
- Voor het naamtype SN-Corp.
- Voor het beginadres typt u 192.168.1.0/24.
- Selecteer Opslaan.
- Selecteer Controleren + maken.
- Selecteer Maken.
Maak nu een tweede subnet voor de gateway.
- Selecteer op de pagina VNet-Onprem Subnetten.
- Selecteer +Subnet.
- Voor subnetdoel selecteert u Virtuele netwerkgateway.
- Voor beginadrestype 192.168.2.0/24.
- Selecteer Toevoegen.
De firewall configureren en implementeren
Implementeer de firewall nu in het virtuele hub-netwerk voor de firewall.
Selecteer op de startpagina van de Azure-portal Een resource maken.
Selecteer Netwerken in de linkerkolom en zoek en selecteer vervolgens Firewall en selecteer Vervolgens Maken.
Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:
Instelling Weergegeven als Abonnement <uw abonnement> Resourcegroep FW-Hybrid-Test Naam AzFW01 Regio VS - oost Firewalllaag Standaard Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren Firewallbeleid Nieuwe toevoegen:
hybrid-test-pol
VS - oostEen virtueel netwerk kiezen Bestaande gebruiken:
VNet-hubOpenbaar IP-adres Nieuwe toevoegen:
fw-pipSelecteer Volgende: Tags.
Selecteer Volgende: Beoordelen en maken.
Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.
Het implementeren duurt een paar minuten.
Als de implementatie is voltooid, gaat u naar de resourcegroep FW-Hybrid-Test en selecteert u de firewall AzFW01.
Noteer het privé-IP-adres. U zult het later gebruiken wanneer u de standaardroute maakt.
Netwerkregels configureren
Voeg eerst een netwerkregel toe om webverkeer toe te staan.
- Selecteer in de resourcegroep FW-Hybrid-Test het firewallbeleid hybrid-test-pol .
- Selecteer netwerkregels onder Instellingen.
- Selecteer Een regelverzameling toevoegen toevoegen.
- Bij Naam typt u RCNet01.
- Bij Prioriteit typt u 100.
- Selecteer Toestaan voor de actie Regelverzameling.
- Onder Regels typt u bij Naam de naam AllowWeb.
- Selecteer IP-adres bij Brontype.
- Typ bij Bron 192.168.1.0/24.
- Bij Protocol selecteert u TCP.
- Typ bij Doelpoorten 80.
- Bij Doeltype selecteert u IP-adres.
- Bij Doel typt u 10.6.0.0/16.
Voeg nu een regel toe om RDP-verkeer toe te staan.
Typ op de rij van de tweede regel de volgende informatie:
- Typ bij Naam AllowRDP.
- Selecteer IP-adres bij Brontype.
- Typ bij Bron 192.168.1.0/24.
- Bij Protocol selecteert u TCP.
- Typ bij Doelpoorten 3389.
- Bij Doeltype selecteert u IP-adres.
- Voor Bestemming typt u 10.6.0.0/16
- Selecteer Toevoegen.
De VPN-gateways maken en verbinden
Het virtuele hub-netwerk en het on-premises virtuele netwerk zijn verbonden via VPN-gateways.
Een VPN-gateway maken voor het virtuele hub-netwerk
Maak nu een VPN-gateway voor het virtuele hub-netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ virtuele netwerkgateway in het zoekvak.
- Selecteer Virtuele netwerkgateway en vervolgens Maken.
- Bij Naam typt u GW-hub.
- Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
- Bij Gatewaytype selecteert u VPN.
- Selecteer VpnGw1 voor SKU.
- Bij Virtueel netwerk selecteert u VNet-hub.
- Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-hub-GW-pip als de naam.
- Als tweede openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-hub-GW-pip2 voor de naam.
- Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
- Controleer de configuratie en selecteer vervolgens Maken.
Een VPN-gateway maken voor het on-premises virtuele netwerk
Maak nu de VPN-gateway voor het on-premises virtuele netwerk. Voor netwerk-naar-netwerk-configuraties is een RouteBased VpnType vereist. Het maken van een VPN-gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde VPN-gateway-SKU.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak virtuele netwerkgateway en druk op Enter.
- Selecteer Virtuele netwerkgateway en vervolgens Maken.
- Bij Naam typt u GW-Onprem.
- Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
- Bij Gatewaytype selecteert u VPN.
- Selecteer VpnGw1 voor SKU.
- Bij Virtueel netwerk selecteert u VNet-Onprem.
- Bij Openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-Onprem-GW-pip als de naam.
- Als tweede openbaar IP-adres selecteert u Nieuwe maken en typt u VNet-Onprem-GW-pip2 voor de naam.
- Accepteer voor de overige instellingen de standaardwaarden en selecteer Beoordelen en maken.
- Controleer de configuratie en selecteer vervolgens Maken.
De VPN-verbindingen maken
U kunt nu de VPN-verbindingen maken tussen de hub-gateway en de on-premises gateway.
In deze stap maakt u de verbinding van het virtuele hub-netwerk naar het on-premises virtuele netwerk. In de voorbeelden wordt een gedeelde sleutel gebruikt. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het kan even duren voordat de verbinding is gemaakt.
- Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-hub.
- Selecteer onder Instellingen de optie Verbindingen in de linkerkolom.
- Selecteer Toevoegen.
- Voor de verbindingsnaam typt u Hub-naar-Onprem.
- Bij Verbindingstype selecteert u VNet-naar-VNet.
- Selecteer Volgende: Instellingen.
- Voor de eerste virtuele netwerkgateway selecteert u GW-hub.
- Bij Tweede virtuele netwerkgateway selecteert u GW-Onprem.
- Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
- Selecteer Controleren + maken.
- Selecteer Maken.
Maak de verbinding van het on-premises virtuele netwerk naar het virtuele hub-netwerk. Deze stap is vergelijkbaar met de vorige, behalve dat u de verbinding maakt vanuit VNet-Onprem naar VNet-hub. Zorg dat de gedeelde sleutels overeenkomen. De verbinding wordt na enkele minuten tot stand gebracht.
- Open de resourcegroep FW-Hybrid-Test en selecteer de gateway GW-Onprem.
- Selecteer Verbindingen in de linkerkolom.
- Selecteer Toevoegen.
- Typ Onprem-to-Hub als de naam van de verbinding.
- Bij Verbindingstype selecteert u VNet-naar-VNet.
- Selecteer Volgende: Instellingen.
- Selecteer GW-Onprem voor de eerste virtuele netwerkgateway.
- Bij Tweede virtuele netwerkgateway selecteert u GW-hub.
- Bij Gedeeld sleutel (PSK) typt u AzureA1b2C3.
- Selecteer Controleren + maken.
- Selecteer Maken.
De verbinding controleren
Na ongeveer vijf minuten moeten beide verbindingen de status Verbonden hebben.
De hub- en virtuele spoke-netwerken koppelen
Koppel nu de virtuele hub- en spoke-netwerken.
Open de resourcegroep FW-Hybrid-Test en selecteer het virtuele netwerk VNet-hub.
Selecteer in de linkerkolom Peerings.
Selecteer Toevoegen.
Onder Samenvatting van extern virtueel netwerk:
Onder Samenvatting van extern virtueel netwerk:
Naam instelling Weergegeven als Naam van peeringkoppeling SpoketoHub Implementatiemodel voor het virtuele netwerk Resourcebeheer Abonnement <uw abonnement> Virtueel netwerk VNet-Spoke 'VNet-Spoke' toegang geven tot 'VNet-hub' geselecteerd Toestaan dat 'VNet-Spoke' doorgestuurd verkeer van 'VNet-Hub' ontvangt geselecteerd Gateway of routeserver in VNet-Spoke toestaan verkeer door te sturen naar 'VNet-Hub' niet geselecteerd VNet-Spoke inschakelen om de externe gateway of routeserver van VNet-hub te gebruiken geselecteerd Onder Samenvatting van het lokale virtuele netwerk:
Naam instelling Weergegeven als Naam van peeringkoppeling HubtoSpoke 'VNet-hub' toegang geven tot 'VNet-Spoke' geselecteerd Toestaan dat 'VNet-hub' doorgestuurd verkeer van 'VNet-Spoke' ontvangt geselecteerd Gateway of routeserver in 'VNet-Hub' toestaan om verkeer door te sturen naar 'VNet-Spoke' geselecteerd VNet-hub inschakelen voor het gebruik van externe gateway of routeserver van VNet-Spoke niet geselecteerd Selecteer Toevoegen.
De routes maken
Maak nu een paar routes:
- Een route van het subnet van de hub-gateway naar het spoke-subnet via het IP-adres van de firewall
- Een standaardroute van het spoke-subnet via het IP-adres van de firewall
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak routeringstabel en druk op Enter.
- Selecteer Routeringstabel.
- Selecteer Maken.
- Selecteer FW-Hybrid-Test als de resourcegroep.
- Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
- Voor de naam typt u UDR-Hub-Spoke.
- Selecteer Controleren + maken.
- Selecteer Maken.
- Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
- Selecteer onder Instellingen de optie Routes in de linkerkolom.
- Selecteer Toevoegen.
- Voor de routenaam typt u ToSpoke.
- Selecteer IP-adressen voor doeltype.
- Voor de DOEL-IP-adressen/CIDR-bereiken typt u 10.6.0.0/16.
- Voor het volgende hoptype selecteert u Virtueel apparaat.
- Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
- Selecteer Toevoegen.
Koppel nu de route aan het subnet.
- Selecteer op de pagina UDR-Hub-Spoke - Routes Subnetten.
- Selecteer Koppelen.
- Onder Virtueel netwerk selecteert u VNet-hub.
- Onder Subnet selecteert u GatewaySubnet.
- Selecteer OK.
Maak nu de standaardroute vanaf het spoke-subnet.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Typ in het zoekvak routeringstabel en druk op Enter.
- Selecteer Routeringstabel.
- Selecteer Maken.
- Selecteer FW-Hybrid-Test als de resourcegroep.
- Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
- Voor de naam typt u UDR-DG.
- Selecteer Nee bij Gatewayroute doorgeven.
- Selecteer Controleren + maken.
- Selecteer Maken.
- Nadat de routeringstabel is gemaakt, selecteert u deze om de pagina Routeringstabel te openen.
- Selecteer Routes in de linkerkolom.
- Selecteer Toevoegen.
- Voor de routenaam typt u ToHub.
- Selecteer IP-adressen voor het doeltype.
- Voor de DOEL-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.
- Voor het volgende hoptype selecteert u Virtueel apparaat.
- Voor het adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
- Selecteer Toevoegen.
Koppel nu de route aan het subnet.
- Selecteer op de pagina UDR-DG - Routes Subnetten.
- Selecteer Koppelen.
- Onder Virtueel netwerk selecteert u VNet-spoke.
- Onder Subnet selecteert u SN-Workload.
- Selecteer OK.
Virtuele machines maken
Maak nu de spoke-workloadmachines en on-premises virtuele machines en plaats ze in de toepasselijke subnetten.
De virtuele workloadmachine maken
Maak in het virtuele spoke-netwerk een virtuele machine waarop IIS wordt uitgevoerd, zonder openbaar IP-adres.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
- Voer deze waarden in voor de virtuele machine:
- Resourcegroep - FW-Hybrid-Test selecteren
- Naam van virtuele machine: VM-Spoke-01
- Regio : dezelfde regio die u eerder hebt gebruikt
- Gebruikersnaam: <typ een gebruikersnaam>
- Wachtwoord: <typ een wachtwoord>
- Voor openbare binnenkomende poorten selecteert u Geselecteerde poorten toestaan en selecteert u vervolgens HTTP (80) en RDP (3389).
- Selecteer Volgende: schijven.
- Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
- Selecteer VNet-Spoke voor het virtuele netwerk en het subnet is SN-Workload.
- Selecteer Geen voor Openbaar IP.
- Selecteer Volgende: Beheer.
- Selecteer Volgende: Bewaking.
- Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
- Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.
IIS installeren
Nadat de virtuele machine is gemaakt, installeert u IIS.
Open Cloud Shell via de Azure-portal en controleer of deze is ingesteld op PowerShell.
Voer de volgende opdracht uit om IIS op de virtuele machine te installeren en indien nodig de locatie te wijzigen:
Set-AzVMExtension ` -ResourceGroupName FW-Hybrid-Test ` -ExtensionName IIS ` -VMName VM-Spoke-01 ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location EastUS
De on-premises virtuele machine maken
Dit is een virtuele machine waarmee u verbinding kunt maken met het openbare IP-adres via Extern bureaublad. Vanaf daar maakt u vervolgens verbinding met de on-premises server via de firewall.
- Selecteer op de startpagina van de Azure-portal Een resource maken.
- Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
- Voer deze waarden in voor de virtuele machine:
- Resourcegroep: selecteer Bestaande gebruiken en selecteer vervolgens FW-Hybrid-Test.
- Naam virtuele machine - VM-Onprem.
- Regio : dezelfde regio die u eerder hebt gebruikt.
- Gebruikersnaam: <typ een gebruikersnaam>.
- Wachtwoord: <typ een gebruikerswachtwoord>.
- Selecteer voor Openbare binnenkomende poorten Geselecteerde poorten toestaan en selecteer vervolgens RDP (3389).
- Selecteer Volgende: schijven.
- Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
- Selecteer VNet-Onprem voor het virtuele netwerk en het subnet is SN-Corp.
- Selecteer Volgende: Beheer.
- Selecteer Volgende: Bewaking.
- Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
- Selecteer Beoordelen en maken, controleer de instellingen op de overzichtspagina en selecteer ten slotte Maken.
Notitie
Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.
Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:
- Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
- De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
- Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.
Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.
Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.
De firewall testen
Noteer eerst het privé-IP-adres van de virtuele machine VM-spoke-01.
Maak vanuit de Azure-portal verbinding met de virtuele machine VM-OnPrem.
Open een webbrowser op VM-OnPrem en blader naar http://<privé-IP-adres VM-spoke-01>.
U ziet nu de webpagina VM-spoke-01 :
Maak vanaf de virtuele machine VM-Onprem via Extern bureaublad verbinding met VM-spoke-01 op het privé-IP-adres.
Deze verbinding moet worden gemaakt en u moet zich kunnen aanmelden.
U hebt nu gecontroleerd of de firewallregels werken:
- U kunt de bladeren op de webserver in het virtuele spoke-netwerk.
- U kunt verbinding maken met de server in het virtuele spoke-netwerk met behulp van RDP.
Wijzig vervolgens de verzameling netwerkregels van de firewall in Weigeren om te controleren of de regels werken zoals verwacht.
- Selecteer het firewallbeleid voor hybrid-test-pol .
- Selecteer Regelverzamelingen.
- Selecteer de RCNet01-regelverzameling .
- Selecteer bij Actie regelverzameling de optie Weigeren.
- Selecteer Opslaan.
Sluit eventuele externe bureaubladen voordat u de gewijzigde regels test. Voer nu de tests opnieuw uit. Ze moeten deze keer allemaal mislukken.
Resources opschonen
U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep FW-Hybrid-Test om alle firewall-gerelateerde resources te verwijderen.