Udostępnij za pośrednictwem

Samouczek: zabezpieczanie sieci wirtualnej centrum przy użyciu usługi Azure Firewall Manager

  • Artykuł

W przypadku łączenia sieci lokalnej z siecią wirtualną platformy Azure w celu utworzenia sieci hybrydowej ważną częścią ogólnego planu zabezpieczeń jest możliwość kontrolowania dostępu do zasobów sieciowych platformy Azure.

Za pomocą usługi Azure Firewall Manager można utworzyć sieć wirtualną koncentratora w celu zabezpieczenia ruchu sieciowego hybrydowego przeznaczonego do prywatnych adresów IP, usługi Azure PaaS i Internetu. Aby kontrolować dostęp do sieci hybrydowej korzystającej z zasad, które definiują dozwolony i zabroniony ruch sieciowy, możesz użyć usługi Azure Firewall Manager.

Menedżer zapory obsługuje również zabezpieczoną architekturę koncentratora wirtualnego. Aby zapoznać się z porównaniem typów architektury zabezpieczonego koncentratora wirtualnego i koncentratora sieci wirtualnej, zobacz Jakie są opcje architektury usługi Azure Firewall Manager?

W tym samouczku zostaną utworzone trzy sieci wirtualne:

  • VNet-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VNet-Spoke — sieć wirtualna będąca szprychą reprezentuje pakiet roboczy na platformie Azure.
  • VNet-Onprem — lokalna sieć wirtualna reprezentuje sieć lokalną. W rzeczywistym wdrożeniu można nawiązać połączenie przy użyciu połączenia sieci VPN lub usługi ExpressRoute. Dla ułatwienia w tym samouczku zostanie wykorzystane połączenie za pośrednictwem bramy VPN Gateway, a do reprezentowania sieci lokalnej zostanie wykorzystana sieć wirtualna zlokalizowana na platformie Azure.

Diagram sieci hybrydowej koncentratora usługi Azure Firewall Manager.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie zasad zapory
  • Tworzenie sieci wirtualnych
  • Konfigurowanie i wdrażanie zapory
  • Tworzenie i łączenie bram sieci VPN
  • Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy
  • Tworzenie tras
  • Tworzenie maszyn wirtualnych
  • Testowanie zapory

Wymagania wstępne

Sieć hybrydowa używa modelu architektury piasty i szprych do kierowania ruchu między sieciami wirtualnymi platformy Azure i sieciami lokalnymi. Architektura piasty i szprych ma następujące wymagania:

  • Aby kierować ruch podsieci szprych przez zaporę piasty, musisz mieć trasę zdefiniowaną przez użytkownika (UDR), która wskazuje zaporę z wyłączonym ustawieniem propagacji trasy bramy sieci wirtualnej. Ta opcja uniemożliwia dystrybucję tras do podsieci szprych. Zapobiega to konfliktowi tras poznanych z trasą zdefiniowaną przez użytkownika.
  • Skonfiguruj trasę zdefiniowaną przez użytkownika w podsieci bramy piasty, która wskazuje adres IP zapory jako następny przeskok do sieci szprych. W podsieci usługi Azure Firewall nie jest wymagana trasa zdefiniowana przez użytkownika, ponieważ uzyskuje ona informacje o trasach na podstawie protokołu BGP.

Zapoznaj się z sekcją Tworzenie tras w tym samouczku, aby poznać sposób tworzenia tych tras.

Uwaga

Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja sieć AzureFirewallSubnet poznaje domyślną trasę do sieci lokalnej za pośrednictwem protokołu BGP, należy zastąpić ją trasą zdefiniowaną przez użytkownika 0.0.0.0/0 z wartością NextHopType ustawioną jako Internet, aby zachować bezpośrednią łączność z Internetem .

Usługę Azure Firewall można skonfigurować do obsługi wymuszonego tunelowania. Aby uzyskać więcej informacji, zobacz Wymuszone tunelowanie usługi Azure Firewall.

Uwaga

Ruch między wirtualnymi sieciami równorzędnymi połączonymi bezpośrednio jest kierowany bezpośrednio nawet wtedy, gdy trasa zdefiniowana przez użytkownika wskazuje usługę Azure Firewall jako bramę domyślną. Aby w tym scenariuszu wysyłać ruch między podsieciami do zapory, trasa zdefiniowana przez użytkownika musi jawnie zawierać prefiks podsieci docelowej w obu podsieciach.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie zasad zapory

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania witryny Azure Portal wpisz Firewall Manager i naciśnij Enter.

  3. Na stronie Azure Firewall Manager w obszarze Zabezpieczenia wybierz pozycję Zasady usługi Azure Firewall.

    Zrzut ekranu przedstawiający stronę główną menedżera zapory.

  4. Wybierz pozycję Utwórz zasady usługi Azure Firewall.

  5. Wybierz subskrypcję, a w polu Grupa zasobów wybierz pozycję Utwórz nową i utwórz grupę zasobów o nazwie FW-Hybrid-Test.

  6. Jako nazwę zasad wpisz Pol-Net01.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz pozycję Dalej: Ustawienia DNS.

  9. Wybierz pozycję Dalej: Inspekcja protokołu TLS

  10. Wybierz pozycję Dalej:Reguły.

  11. Wybierz pozycję Dodaj kolekcję reguł.

  12. W polu Nazwa wpisz RCNet01.

  13. W polu Typ kolekcji reguł wybierz pozycję Sieć.

  14. W polu Priorytet wpisz wartość 100.

  15. W polu Akcja wybierz opcję Zezwalaj.

  16. W obszarze Reguły w polu Nazwa wpisz AllowWeb.

  17. W polu Źródło wpisz 192.168.1.0/24.

  18. W polu Protokół wybierz TCP.

  19. W polu Porty docelowe wpisz wartość 80.

  20. W polu Typ docelowy wybierz pozycję Adres IP.

  21. W polu Miejsce docelowe wpisz wartość 10.6.0.0/16.

  22. W następnym wierszu reguły wprowadź następujące informacje:

    Nazwa: wpisz AllowRDP
    Źródło: wpisz 192.168.1.0/24.
    Protokół, wybierz pozycję TCP
    Porty docelowe, wpisz 3389
    Typ docelowy, wybierz pozycję Adres IP
    W polu Miejsce docelowe wpisz 10.6.0.0/16

  23. Wybierz Dodaj.

  24. Wybierz pozycję Przejrzyj i utwórz.

  25. Przejrzyj szczegóły, a następnie wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej koncentratora zapory

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.

  6. W polu Nazwa wpisz VNet-hub.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz Dalej.

  9. W obszarze Zabezpieczenia wybierz pozycję Dalej.

  10. W polu Przestrzeń adresowa IPv4 wpisz 10.5.0.0/16.

  11. W obszarze Podsieci wybierz pozycję domyślne.

  12. W obszarze Cel podsieci wybierz pozycję Azure Firewall.

  13. W polu Adres początkowy wpisz 10.5.0.0/26.

  14. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.

  15. Wybierz pozycję Przejrzyj i utwórz.

  16. Wybierz pozycję Utwórz.

Dodaj kolejną podsieć z celem podsieci ustawioną na bramę sieci wirtualnej z adresem początkowym 10.5.1.0/27. Ta podsieć jest używana dla bramy sieci VPN.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.
  3. Wybierz pozycję Utwórz.
  4. W obszarze Subskrypcja wybierz swoją subskrypcję.
  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.
  6. W polu Nazwa wpisz VNet-Spoke.
  7. W obszarze Region wybierz pozycję Wschodnie stany USA.
  8. Wybierz Dalej.
  9. Na stronie Zabezpieczenia wybierz pozycję Dalej.
  10. Wybierz pozycję Dalej: adresy IP.
  11. W polu Przestrzeń adresowa IPv4 wpisz 10.6.0.0/16.
  12. W obszarze Podsieci wybierz pozycję domyślne.
  13. Zmień nazwę na SN-Workload.
  14. W polu Adres początkowy wpisz 10.6.0.0/24.
  15. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.
  16. Wybierz pozycję Przejrzyj i utwórz.
  17. Wybierz pozycję Utwórz.

Tworzenie lokalnej sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Sieć wirtualna, a następnie wybierz pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję FW-Hybrid-Test.

  6. W polu Nazwa sieci wirtualnej wpisz VNet-OnPrem.

  7. W obszarze Region wybierz pozycję Wschodnie stany USA.

  8. Wybierz Dalej.

  9. Na stronie Zabezpieczenia wybierz pozycję Dalej.

  10. W polu Przestrzeń adresowa IPv4 wpisz 192.168.0.0/16.

  11. W obszarze Podsieci wybierz pozycję domyślne.

  12. Zmień nazwę na SN-Corp.

  13. W polu Adres początkowy wpisz 192.168.1.0/24.

  14. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Zapisz.

  15. Wybierz pozycję Dodaj podsieć.

  16. W obszarze Cel podsieci wybierz pozycję Brama sieci wirtualnej.

  17. W polu Typ adresu początkowego 192.168.2.0/27.

  18. Wybierz Dodaj.

  19. Wybierz pozycję Przejrzyj i utwórz.

  20. Wybierz pozycję Utwórz.

Konfigurowanie i wdrażanie zapory

Gdy zasady zabezpieczeń są skojarzone z koncentratorem, są nazywane siecią wirtualną koncentratora.

Przekonwertuj sieć wirtualną centrum sieci wirtualnej na sieć wirtualną koncentratora i zabezpiecz ją za pomocą usługi Azure Firewall.

  1. Na pasku wyszukiwania witryny Azure Portal wpisz Firewall Manager i naciśnij Enter.

  2. W okienku po prawej stronie wybierz pozycję Przegląd.

  3. Na stronie Azure Firewall Manager w obszarze Dodawanie zabezpieczeń do sieci wirtualnych wybierz pozycję Wyświetl sieci wirtualne centrum.

  4. W obszarze Sieci wirtualne zaznacz pole wyboru dla koncentratora sieci wirtualnej.

  5. Wybierz pozycję Zarządzaj zabezpieczeniami, a następnie wybierz pozycję Wdróż zaporę z zasadami zapory.

  6. Na stronie Konwertowanie sieci wirtualnych w obszarze Warstwa usługi Azure Firewall wybierz pozycję Premium. W obszarze Zasady zapory zaznacz pole wyboru Pol-Net01.

  7. Wybierz pozycję Dalej: Przejrzyj i potwierdź

  8. Przejrzyj szczegóły, a następnie wybierz pozycję Potwierdź.

    Wdrożenie może potrwać kilka minut.

  9. Po zakończeniu wdrażania przejdź do grupy zasobów FW-Hybrid-Test i wybierz zaporę.

  10. Zanotuj prywatny adres IP zapory na stronie Przegląd. Będzie ona używana później podczas tworzenia trasy domyślnej.

Tworzenie i łączenie bram sieci VPN

Sieć wirtualna koncentratora i lokalna sieć wirtualna są połączone za pośrednictwem bram sieci VPN.

Tworzenie bramy sieci VPN dla sieci wirtualnej koncentratora

Teraz utwórz bramę sieci VPN dla sieci wirtualnej koncentratora. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij Enter.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-hub.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Jednostka SKU wybierz pozycję VpnGw2.
  8. W obszarze Generacja wybierz pozycję Generacja2.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  10. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-hub-GW- .
  11. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  12. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  13. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie bramy sieci VPN dla lokalnej sieci wirtualnej

Teraz utwórz bramę sieci VPN dla lokalnej sieci wirtualnej. Konfiguracje połączeń między sieciami wymagają zastosowania wartości RouteBased obiektu VpnType. Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy sieci VPN.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz bramę sieci wirtualnej i naciśnij Enter.
  3. Wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Utwórz.
  4. W polu Nazwa wpisz GW-Onprem.
  5. W obszarze Region wybierz pozycję (STANY USA) Wschodnie stany USA.
  6. W polu Typ bramy wybierz pozycję VPN.
  7. W polu Jednostka SKU wybierz pozycję VpnGw2.
  8. W obszarze Generacja wybierz pozycję Generacja2.
  9. W obszarze Sieć wirtualna wybierz pozycję VNet-Onprem.
  10. W polu Publiczny adres IP wybierz pozycję Utwórz nowy i wpisz nazwę VNet-Onprem-GW- .
  11. W obszarze Włącz tryb aktywny-aktywny wybierz pozycję Wyłączone.
  12. Zaakceptuj pozostałe wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
  13. Przejrzyj konfigurację, a następnie wybierz pozycję Utwórz.

Tworzenie połączeń sieci VPN

Teraz możesz utworzyć połączenia sieci VPN między bramami centrum i lokalnymi.

W tym kroku utworzysz połączenie z sieci wirtualnej koncentratora do lokalnej sieci wirtualnej. W przykładach odwołuje się klucz współużytkowany. Możesz wybrać własne wartości dla klucza współużytkowanego. Ważne jest, aby klucz współużytkowany był zgodny z obydwoma połączeniami. Utworzenie połączenia zajmuje trochę czasu.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-hub .
  2. W lewej kolumnie w obszarze Ustawienia wybierz pozycję Połączenia.
  3. Wybierz Dodaj.
  4. Jako nazwę połączenia wpisz Hub-to-Onprem.
  5. W polu Typ połączenia wybierz pozycję Sieć wirtualna-sieć wirtualna.
  6. Wybierz pozycję Dalej: Ustawienia.
  7. W polu Pierwsza brama sieci wirtualnej wybierz pozycję GW-hub.
  8. W polu Druga brama sieci wirtualnej wybierz pozycję GW-Onprem.
  9. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  10. Wybierz pozycję Przejrzyj i utwórz.
  11. Wybierz pozycję Utwórz.

Utwórz połączenie z lokalnej sieci wirtualnej do sieci wirtualnej koncentratora. Ten krok jest podobny do poprzedniego, jednak w tym przypadku tworzysz połączenie z sieci VNet-Onprem do sieci VNet-hub. Upewnij się, że klucze współużytkowane są zgodne. Po kilku minutach połączenie zostanie ustanowione.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz bramę gw-Onprem .
  2. Wybierz pozycję Połączenia w lewej kolumnie.
  3. Wybierz Dodaj.
  4. Jako nazwę połączenia wpisz Onprem-to-Hub.
  5. W polu Typ połączenia wybierz pozycję Sieć wirtualna-sieć wirtualna.
  6. Wybierz pozycję Dalej: Ustawienia.
  7. W polu Pierwsza brama sieci wirtualnej wybierz pozycję GW-Onprem.
  8. W polu Druga brama sieci wirtualnej wybierz pozycję GW-hub.
  9. W polu Klucz współużytkowany (PSK) wpisz AzureA1b2C3.
  10. Wybierz przycisk OK.

Weryfikowanie połączenia

Po około pięciu minutach lub po wdrożeniu drugiego połączenia sieciowego stan obu połączeń powinien mieć wartość Połączono.

Zrzut ekranu przedstawiający połączenia bramy sieci VPN.

Komunikacja równorzędna pomiędzy sieciami wirtualnymi koncentratora i szprychy

Teraz nawiąż komunikację równorzędną pomiędzy siecią wirtualną koncentratora i siecią wirtualną będącą szprychą.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz sieć wirtualną koncentratora sieci wirtualnej.

  2. W lewej kolumnie wybierz pozycję Komunikacje równorzędne.

  3. Wybierz Dodaj.

  4. W obszarze Podsumowanie zdalnej sieci wirtualnej:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej SpoketoHub
    Model wdrażania sieci wirtualnej Resource Manager
    Subskrypcja <Twoja subskrypcja>
    Sieć wirtualna Sieć wirtualna-szprycha
    Zezwalaj "VNet-Spoke" na dostęp do sieci wirtualnej "VNet-hub" wybrane
    Zezwalaj "VNet-Spoke" na odbieranie przekazywanego ruchu z sieci wirtualnej koncentratora wybrane
    Zezwalaj bramie lub serwerowi tras w sieci wirtualnej i szprychy na przekazywanie ruchu do sieci wirtualnej nie wybrano
    Włącz opcję "VNet-Spoke", aby użyć bramy zdalnej sieci wirtualnej lub serwera tras wybrane

  5. W obszarze Podsumowanie lokalnej sieci wirtualnej:

    Nazwa ustawienia Wartość
    Nazwa łącza komunikacji równorzędnej HubtoSpoke
    Zezwalaj na dostęp do sieci wirtualnej "VNet-Spoke" wybrane
    Zezwalaj "VNet-hub" na odbieranie przekazywanego ruchu z "VNet-Spoke" wybrane
    Zezwalaj bramie lub serwerowi tras w sieci wirtualnej na przekazywanie ruchu do "VNet-Spoke" wybrane
    Włącz opcję "VNet-hub", aby użyć zdalnej bramy lub serwera tras "VNet-Spoke" nie wybrano

  6. Wybierz Dodaj.

    Zrzut ekranu przedstawiający komunikację równorzędną sieci wirtualnych.

Tworzenie tras

Następnie należy utworzyć kilka tras:

  • Trasa z podsieci bramy koncentratora do podsieci będącej szprychą za pośrednictwem adresu IP zapory
  • Trasa domyślna z podsieci będącej szprychą za pośrednictwem adresu IP zapory
  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Jako nazwę wpisz UDR-Hub-Spoke.
  8. Wybierz pozycję Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz.
  10. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  11. Wybierz pozycję Trasy w lewej kolumnie.
  12. Wybierz Dodaj.
  13. Jako nazwę trasy wpisz ToSpoke.
  14. W polu Typ docelowy wybierz pozycję Adresy IP.
  15. W polu Docelowe adresy IP/zakresy CIDR wpisz 10.6.0.0/16.
  16. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  17. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  18. Wybierz Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie Trasa zdefiniowana przez użytkownika-piasta-szprycha — trasy wybierz pozycję Podsieci.
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję VNet-hub.
  4. W obszarze Podsieć wybierz pozycję GatewaySubnet.
  5. Wybierz przycisk OK.

Teraz utwórz trasę domyślną z podsieci szprychy.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W polu tekstowym wyszukiwania wpisz tabelę tras i naciśnij Enter.
  3. Wybierz pozycję Tabela tras.
  4. Wybierz pozycję Utwórz.
  5. Wybierz test hybrydowy FW dla grupy zasobów.
  6. W obszarze Region wybierz pozycję Wschodnie stany USA.
  7. Jako nazwę wpisz UDR-DG.
  8. W obszarze Propagacja tras bramy wybierz pozycję Nie.
  9. Wybierz pozycję Przejrzyj i utwórz.
  10. Wybierz pozycję Utwórz.
  11. Po utworzeniu tabeli tras wybierz ją, aby otworzyć stronę tabeli tras.
  12. Wybierz pozycję Trasy w lewej kolumnie.
  13. Wybierz Dodaj.
  14. Jako nazwę trasy wpisz ToHub.
  15. W polu Typ miejsca docelowego wybierz pozycję Adresy IP
  16. W polu Docelowe adresy IP/zakresy CIDR wpisz 0.0.0.0/0.
  17. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.
  18. W polu Adres następnego przeskoku wpisz zanotowany wcześniej prywatny adres IP zapory.
  19. Wybierz Dodaj.

Teraz skojarz trasę z podsiecią.

  1. Na stronie UDR-DG - Routes (Trasy) wybierz pozycję Subnets (Podsieci).
  2. Wybierz pozycję Skojarz.
  3. W obszarze Sieć wirtualna wybierz pozycję Sieć wirtualna-szprycha.
  4. W obszarze Podsieć wybierz pozycję SN-Workload.
  5. Wybierz przycisk OK.

Tworzenie maszyn wirtualnych

Teraz utwórz maszyny wirtualne pakietu roboczego szprychy i sieci lokalnej, a następnie umieść je w odpowiednich podsieciach.

Tworzenie maszyny wirtualnej pakietu roboczego

Utwórz maszynę wirtualną w sieci wirtualnej będącej szprychą z uruchomionymi usługami IIS bez publicznego adresu IP.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    • Grupa zasobów — wybierz pozycję FW-Hybrid-Test
    • Nazwa maszyny wirtualnej: VM-Spoke-01
    • Region - (USA) Wschodnie stany USA
    • Nazwa użytkownika: wpisz nazwę użytkownika
    • Hasło: wpisz hasło

  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję HTTP (80) i RDP (3389)

  5. Wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  7. Wybierz pozycję VNet-Spoke dla sieci wirtualnej, a podsieć to SN-Workload.

  8. Wybierz pozycję Dalej:Zarządzanie.

  9. Wybierz pozycję Dalej: Monitorowanie.

  10. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.

  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Instalacja usług IIS

  1. W witrynie Azure Portal otwórz usługę Cloud Shell i upewnij się, że jest ona ustawiona na program PowerShell.

  2. Uruchom następujące polecenie, aby zainstalować usługi IIS na maszynie wirtualnej i w razie potrzeby zmienić lokalizację:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Tworzenie maszyny wirtualnej w środowisku lokalnym

Jest to maszyna wirtualna używana do nawiązywania połączenia przy użyciu pulpitu zdalnego z publicznym adresem IP. Z tego miejsca nawiążesz następnie połączenie z serwerem lokalnym za pośrednictwem zapory.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. W obszarze Popularne wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    • Grupa zasobów — wybierz istniejącą, a następnie wybierz pozycję FW-Hybrid-Test
    • Nazwa - maszyny wirtualnej VM-Onprem
    • Region - (USA) Wschodnie stany USA
    • Nazwa użytkownika: wpisz nazwę użytkownika
    • Hasło: wpisz hasło

  4. W obszarze Publiczne porty wejściowe wybierz pozycję Zezwalaj na wybrane porty, a następnie wybierz pozycję RDP (3389)

  5. Wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne i wybierz pozycję Dalej:Sieć.

  7. Wybierz pozycję VNet-Onprem dla sieci wirtualnej i sprawdź, czy podsieć to SN-Corp.

  8. Wybierz pozycję Dalej:Zarządzanie.

  9. Wybierz pozycję Dalej: Monitorowanie.

  10. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.

  11. Wybierz pozycję Przejrzyj i utwórz, przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

Testowanie zapory

  1. Najpierw zanotuj prywatny adres IP maszyny wirtualnej VM-Spoke-01 na stronie Przegląd maszyny wirtualnej VM-Spoke-01.

  2. W witrynie Azure Portal połącz się z maszyną wirtualną VM-Onprem.

  1. Otwórz przeglądarkę internetową na maszynie wirtualnej VM-Onprem, a następnie przejdź do lokalizacji http://<VM-spoke-01 private IP>.

    Powinna zostać wyświetlona strona internetowa VM-spoke-01 : Zrzut ekranu przedstawiający stronę internetową vm-spoke-01.

  2. Z maszyny wirtualnej VM-Onprem otwórz pulpit zdalny do maszyny wirtualnej VM-spoke-01 pod prywatnym adresem IP.

    Połączenie powinno zakończyć się pomyślnie i powinno być możliwe zalogowanie się.

Teraz sprawdzono, że reguły zapory działają:

  • Możesz przeglądać serwer internetowy w sieci wirtualnej będącej szprychą.
  • Możesz nawiązać połączenie z serwerem w sieci wirtualnej będącej szprychą, korzystając z protokołu RDP.

Następnie zmień ustawienie akcji kolekcji reguł sieci zapory na Odmów, aby sprawdzić, czy reguły zapory działają zgodnie z oczekiwaniami.

  1. Otwórz grupę zasobów FW-Hybrid-Test i wybierz zasady zapory Pol-Net01 .
  2. W obszarze Ustawienia wybierz pozycję Kolekcje reguł.
  3. Wybierz kolekcję reguł RCNet01.
  4. W polu Akcja zbierania reguł wybierz pozycję Odmów.
  5. Wybierz pozycję Zapisz.

Zamknij wszystkie istniejące pulpity zdalne i przeglądarki na maszynie wirtualnej w środowisku lokalnym przed przetestowanie zmienionych reguł. Po zakończeniu aktualizacji kolekcji reguł ponownie uruchom testy. Wszystkie powinny się tym razem nie połączyć.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby dalszego badania lub, jeśli nie są już potrzebne, usuń grupę zasobów FW-Hybrid-Test , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Samouczek: zabezpieczanie wirtualnej sieci WAN przy użyciu usługi Azure Firewall Manager