Oefening: netwerkverkeer routeren via Azure Firewall
In de vorige oefening hebt u Azure Firewall geïmplementeerd. Nu moet u al het netwerkverkeer via de firewall routeren en het verkeer filteren met behulp van firewallregels. Wanneer u klaar bent, beveiligt Azure Firewall uitgaand netwerkverkeer voor Azure Virtual Desktop.
Al het verkeer routeren via de firewall
Configureer voor het subnet dat de hostgroep gebruikt de uitgaande standaardroute om door de firewall te gaan. U voert de volgende drie stappen uit:
- Maak een routetabel in dezelfde resourcegroep als de VM's en firewall van uw hostgroep.
- Koppel de routetabel aan het subnet dat uw hostgroep-VM's gebruiken.
- Voeg in de routetabel de route toe aan de firewall.
Nadat u deze stappen hebt voltooid, wordt al het verkeer doorgestuurd naar Azure Firewall.
Routetabel maken
Eerst maakt u een routetabel met de naam firewallroute.
Zoek en selecteer routetabellen in Azure Portal.
Selecteer + Maken.
Gebruik de volgende waarden:
Veld Waarde Abonnement Uw abonnement Resourcegroep learn-firewall-rg Regio Selecteer dezelfde locatie die u eerder hebt gebruikt. Naam firewall-route 
Selecteer Beoordelen en maken>Maken.
Nadat de implementatie is voltooid, selecteert u Ga naar de resource.
Routetabel koppelen aan het subnet van de workload
Nu koppelt u firewallroute aan het subnet van de hostgroep.
Selecteer subnetten onder Instellingen op firewallroute.
Selecteer + Koppelen.
Selecteer de volgende waarden:
Veld Waarde Virtueel netwerk hostVNet Subnet hostSubnet Selecteer OK en wacht totdat de koppeling is toegevoegd.
Route toevoegen aan routetabel
De laatste stap is het toevoegen van een route aan Azure Firewall in de routetabel. Nadat u deze stap hebt voltooid, wordt al het netwerkverkeer in het virtuele netwerk van de hostgroep gerouteerd via Azure Firewall.
Selecteer Routes onder Instellingen.
Selecteer +Toevoegen.
Voer de volgende waarden in:
Veld Waarde Routenaam fw-rt Doeltype IP-adressen DOEL-IP-adressen/CIDR-bereiken 0.0.0.0/0 Volgend hoptype Virtueel apparaat Adres van de volgende hop Plak het privé-IP-adres van de firewall uit de vorige oefeningseenheid. Deze vindt u op uw firewallpagina, vermeld als privé-IP-adres van de firewall. 
Selecteer Toevoegen.
Een toepassingsregelverzameling maken
Standaard weigert de firewall de toegang tot alles, dus u moet voorwaarden configureren waaronder verkeer wordt toegestaan via de firewall.
Maak een verzameling toepassingsregels met regels om Azure Virtual Desktop toegang te geven tot verschillende FQDN's (Fully Qualified Domain Names).
Zoek en selecteer firewalls in Azure Portal.
Selecteer de learn-fw-firewall .
Selecteer Onder Instellingen regels (klassiek).
Selecteer het tabblad Verzameling toepassingsregel en selecteer Toepassingsregelverzameling toevoegen.
Voer de volgende informatie in:
Veld Weergegeven als Naam app-coll01 Prioriteit 200 Actie Toestaan Voer onder Regels in de sectie FQDN-tags de volgende informatie in:
Veld Weergegeven als Naam allow-virtual-desktop Source type IP-adres Bron Adresruimte voor hostVNet, zoals 10.0.0.0/16 FQDN-tags Windows Virtual Desktop Voer onder Regels in de sectie Doel-FQDN's de volgende gegevens in:
Veld Weergegeven als Naam allow-storage-service-bus-accounts Source type IP-adres Bron Adresruimte voor hostVNet, zoals 10.0.0.0/16 Protocol:Poort https Doel-FQDN's *xt.blob.core.windows.net, ,*eh.servicebus.windows.net*xt.table.core.windows.netWanneer u klaar bent, ziet het formulier eruit als de volgende afbeelding:
Selecteer Toevoegen.
Een netwerkregelverzameling maken
Stel dat ons scenario gebruikmaakt van Microsoft Entra Domain Services (Microsoft Entra Domain Services), dus u hoeft geen netwerkregel te maken om DNS toe te staan. U moet echter wel een regel maken om verkeer van uw Azure Virtual Desktop-VM's naar de Windows-activeringsservice toe te staan. Gebruik voor onze netwerkregel key management services (KMS) het doel-IP-adres van de KMS-server voor de globale Azure-cloud.
Selecteer bij learn-fw-regels>(klassiek) de verzameling Netwerkregels.
Selecteer het tabblad Verzameling netwerkregels en selecteer vervolgens Verzameling netwerkregels toevoegen.
Voer de volgende informatie in:
Veld Weergegeven als Naam net-coll01 Prioriteit 200 Actie Toestaan Voer onder Regels in de sectie IP-adressen de volgende gegevens in:
Veld Weergegeven als Naam allow-kms Protocol TCP Source type IP-adres Bron Adresruimte voor hostVNet, zoals 10.0.0.0/16 Doeltype IP-adres Doeladres 23.102.135.246 Doelpoorten 1688 Wanneer u klaar bent, ziet het formulier eruit als de volgende afbeelding:
Selecteer Toevoegen.
Controleer uw werk
Op dit moment hebt u al het netwerkverkeer voor Azure Virtual Desktop gerouteerd via de firewall. Laten we controleren of de firewall werkt zoals verwacht. Uitgaand netwerkverkeer van de hostgroep moet worden gefilterd via de firewall naar de Azure Virtual Desktop-service. U kunt controleren of de firewall verkeer naar de service toestaat door de status van de serviceonderdelen te controleren.
Voer in Azure Cloud Shell de volgende opdracht uit:
"rdgateway", "rdbroker","rdweb"|% ` {Invoke-RestMethod -Method:Get ` -Uri https://$_.wvd.microsoft.com/api/health}|ft ` -Property Health,TimeStamp,ClusterUrlU krijgt ongeveer de volgende resultaten, waarbij alle drie de onderdeelservices als in orde worden vermeld:
Health TimeStamp ClusterUrl ------ --------- ---------- RDGateway is Healthy 7/2/2021 6:00:00 PM https://rdgateway-c101-cac-r1.wvd.microsoft.com/ RDBroker is Healthy 7/2/2021 6:00:00 PM https://rdbroker-c100-cac-r1.wvd.microsoft.com/ RDWeb is Healthy 7/2/2021 6:00:00 PM https://rdweb-c100-cac-r1.wvd.microsoft.com/Als een of meer onderdelen niet in orde zijn, werkt de firewall niet zoals verwacht.