練習 - 建立和設定 Azure 防火牆

  • 15 分鐘

您將使用下列指示來建立和設定 Azure 防火牆和路由表。

部署 Azure 防火牆

請遵循下列指示來建立新的 Azure 防火牆。

az network vnet subnet create  -n AzureFirewallSubnet -g <resource-group-name> --vnet-name <vnet-name>  --address-prefix 10.0.1.0/24

az network public-ip create  -n <name-for-firewall-pip>  -g <resource-group-name>  --version IPv4  --sku Standard

az network firewall create  -n <name-of-firewall>   -g <resource-group-name>  --location <your-preferred-azure-region>

az network firewall ip-config create --firewall-name <name-of-firewall>  --name <firewall-config-name>  --public-ip-address <name-of-firewall-pip>  --resource-group <resource-group-name>  --vnet-name <vnet-name>  

az network firewall update  --name <name-of-firewall>  --resource-group <resource-group-name>

建立路由和路由表

請遵循下列步驟來建立新的路由表和路由。

az network route-table create  --name <firewall-route-table-name>  --resource-group <resource-group-name>  --location <your-preferred-azure-region> --disable-bgp-route-propagation true

下列路由可讓 Azure 防火牆具有直接的網際網路連線能力:

az network route-table route create --resource-group <resource-group-name>  --name <route-name>  --route-table-name <firewall-route-table-name>  --address-prefix 0.0.0.0/0 --next-hop-type Internet

建立路由表與 Azure 防火牆子網路的關聯

使用下列命令在子網路 (其用來部署 Azure 防火牆) 上套用路由表和路由:

az network vnet subnet update  --name AzureFirewallSubnet  --resource-group <resource-group-name>   --vnet-name <vnet-name>  --route-table <firewall-route-table-name>

設定 Azure 防火牆之後,您將在下一個單元中了解如何產生預設的路由,其可通過 Azure 防火牆來啟用網際網路連線。

知識檢定

1.

如果未使用 UDR (其將網際網路當作為預設路由的下一個躍點) 設定 AzureFirewallSubnet,會發生什麼情況?

2.

當您需要 IDPS (入侵偵測和保護系統) 功能時,哪種 Azure 防火牆 SKU 適合?