Condividi tramite

Esercitazione - Distribuire e configurare Firewall di Azure e criteri in una rete ibrida usando il portale di Azure

Quando si connette la rete locale a una rete virtuale di Azure per creare una rete ibrida, la possibilità di controllare l'accesso alle risorse di rete di Azure è una parte importante di un piano di sicurezza complessivo.

È possibile usare Firewall di Azure e Criteri di Azure per controllare l'accesso alla rete in una rete ibrida usando le regole che definiscono il traffico di rete consentito e negato.

Per questa esercitazione vengono create tre reti virtuali:

  • VNet-Hub: il firewall si trova in questa rete virtuale.
  • VNet-Spoke: la rete virtuale spoke rappresenta il carico di lavoro presente in Azure.
  • VNet-Onprem: rappresenta una rete locale. In una distribuzione reale la connessione può essere effettuata tramite una connessione VPN o ExpressRoute. Per semplicità, questa esercitazione usa una connessione gateway VPN e per rappresentare una rete locale viene usata una rete virtuale ubicata in Azure.

Diagramma del firewall in una rete ibrida.

In questa esercitazione verranno illustrate le procedure per:

  • Creare la rete virtuale dell'hub del firewall
  • Creare la rete virtuale spoke
  • Creare la rete virtuale locale
  • Configurare e distribuire il firewall e i criteri
  • Creare e connettere i gateway VPN
  • Eseguire il peering tra le reti virtuali dell'hub e spoke
  • Creare le route
  • Creare la macchina virtuale
  • Testare il firewall

Se si vuole completare la procedura con Azure PowerShell, vedere Distribuire e configurare Firewall di Azure in una rete ibrida con Azure PowerShell.

Prerequisiti

Una rete ibrida usa il modello di architettura hub-spoke per instradare il traffico tra le reti virtuali di Azure e le reti locali. L'architettura hub-spoke presenta i requisiti seguenti:

  • Per instradare il traffico della subnet spoke attraverso il firewall dell'hub, è possibile usare una route definita dall'utente che punti al firewall con l'opzione Propagazione route del gateway di rete virtuale disabilitata. L'opzione Propagazione route del gateway di rete virtuale disabilitata impedisce la distribuzione delle route alle subnet spoke. Evita anche che le route apprese entrino in conflitto con la route definita dall'utente. Per mantenere abilitata l'opzione Propagazione route del gateway di rete virtuale, assicurarsi di definire route specifiche per il firewall per sostituire quelle pubblicate in locale su BGP.
  • Configurare una route definita dall'utente nella subnet del gateway dell'hub che punti all'indirizzo IP del firewall come hop successivo per le reti spoke. Non è richiesta alcuna route definita dall'utente nella subnet di Firewall di Azure, dal momento che le route vengono apprese dal protocollo BGP.

Vedere la sezione Creare route in questa esercitazione per vedere come vengono create le route.

Note

Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite BGP è necessario sostituirla con una route UDR 0.0.0.0/0 con il valore NextHopType impostato come Internet per mantenere connettività diretta a Internet.

È possibile configurare Firewall di Azure per supportare il tunneling forzato. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.

Note

Il traffico tra reti virtuali direttamente con peering viene instradato direttamente anche se una route definita dall'utente punta al firewall di Azure come gateway predefinito. Per inviare il traffico da subnet a subnet al firewall in questo scenario, una route definita dall'utente deve contenere il prefisso di rete subnet di destinazione in modo esplicito su entrambe le subnet.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare la rete virtuale dell'hub del firewall

Prima di tutto, creare un gruppo di risorse per contenere tutte le risorse per questa esercitazione:

  1. Accedere al portale di Azure.
  2. Nella home page del portale di Azure selezionare Gruppi di risorse>Crea.
  3. In Sottoscrizione selezionare la propria sottoscrizione.
  4. In Nome gruppo di risorse digitare FW-Hybrid-Test.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali. Tutte le risorse create in seguito devono trovarsi nella stessa località.
  6. Selezionare Rivedi e crea.
  7. Selezionare Crea.

Creare la rete virtuale:

Note

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. In Rete selezionare Rete virtuale.
  3. Selezionare Crea.
  4. In Gruppo di risorse selezionare FW-Hybrid-Test.
  5. In Nome digitare VNet-hub.
  6. Selezionare Avanti nella scheda Sicurezza.
  7. Per Spazio indirizzi IPv4, digitare 10.5.0.0/16.
  8. In Subnet, selezionare predefinita.
  9. Per Scopo subnet selezionare Firewall di Azure.
  10. In Indirizzo iniziale, digitare 10.5.0.0/26.
  11. Selezionare Salva.
  12. Selezionare Rivedi e crea.
  13. Selezionare Crea.

A questo punto creare una seconda subnet per il gateway.

  1. Nella pagina VNet-hub selezionare Subnet.
  2. Selezionare +Subnet.
  3. Per Scopo subnet, selezionare Gateway di rete virtuale.
  4. In Indirizzo iniziale, digitare 10.5.2.0/26.
  5. Selezionare Aggiungi.

Creare la rete virtuale spoke

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. In Rete selezionare Rete virtuale.
  3. Selezionare Crea.
  4. In Gruppo di risorse selezionare FW-Hybrid-Test.
  5. In Nome digitare VNet-Spoke.
  6. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  7. Selezionare Avanti.
  8. Selezionare Avanti nella scheda Sicurezza.
  9. Per Spazio indirizzi IPv4 digitare 10.6.0.0/16.
  10. In Subnet, selezionare predefinita.
  11. In Nome digitare SN-Workload.
  12. In Indirizzo iniziale, digitare 10.6.0.0/24.
  13. Selezionare Salva.
  14. Selezionare Rivedi e crea.
  15. Selezionare Crea.

Creare la rete virtuale locale

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. In Rete selezionare Rete virtuale.
  3. In Gruppo di risorse selezionare FW-Hybrid-Test.
  4. In Nome digitare VNet-OnPrem.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  6. Selezionare Avanti.
  7. Selezionare Avanti nella scheda Sicurezza.
  8. Per Spazio indirizzi IPv4 digitare 192.168.0.0/16.
  9. In Subnet, selezionare predefinita.
  10. In Nome digitare SN-Corp.
  11. In Indirizzo iniziale, digitare 192.168.1.0/24.
  12. Selezionare Salva.
  13. Selezionare Rivedi e crea.
  14. Selezionare Crea.

A questo punto creare una seconda subnet per il gateway.

  1. Nella pagina VNet-Onprem selezionare Subnet.
  2. Selezionare +Subnet.
  3. Per Scopo subnet, selezionare Gateway di rete virtuale.
  4. In Indirizzo iniziale, digitare 192.168.2.0/24.
  5. Selezionare Aggiungi.

Configurare e distribuire il firewall

A questo punto distribuire il firewall nella rete virtuale dell'hub del firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Nella colonna a sinistra selezionare Rete, cercare e selezionare Firewall, quindi selezionare Crea.

  3. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione valore
    Subscription <sottoscrizione utente>
    Resource group FW-Hybrid-Test
    Nome AzFW01
    Region Stati Uniti orientali
    Livello firewall Standard
    Firewall Management Usare criteri firewall per gestire il firewall
    Criterio firewall Aggiungi nuove:
    hybrid-test-pol
    Stati Uniti orientali
    Scegliere una rete virtuale Use existing (Usa esistente):
    VNet-hub
    Indirizzo IP pubblico Aggiungere un nuovo:
    fw-pip

  4. Selezionare Avanti: tag.

  5. Selezionare Avanti: Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse FW-Hybrid-Test e selezionare il firewall AzFW01.

  8. Annotare l'indirizzo IP privato. Sarà necessario più avanti per la creazione della route predefinita.

Configurare le regole di rete

Aggiungere innanzitutto una regola di rete per consentire il traffico Web.

  1. Nel gruppo di risorse FW-Hybrid-Test selezionare il criterio firewall hybrid-test-pol.
  2. In Impostazioni selezionare Regole di rete.
  3. Selezionare Aggiungi una raccolta regole.
  4. In Nome digitare RCNet01.
  5. In Priorità digitare 100.
  6. Per Azione della raccolta regole selezionare Consenti.
  7. In Regole digitare AllowWeb in Nome.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. In Origine digitare 192.168.1.0/24.
  10. In Protocollo selezionare TCP.
  11. In Porte di destinazione digitare 80.
  12. Per Tipo di destinazione selezionare Indirizzo IP.
  13. In Destinazione digitare 10.6.0.0/16.

Creare e connettere i gateway VPN

Le reti virtuali dell'hub e locale sono connesse tramite gateway VPN.

Creare un gateway VPN per la rete virtuale dell'hub

Creare ora un gateway VPN per la rete virtuale dell'hub. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-hub.
  5. In Area selezionare la stessa area usata in precedenza.
  6. In Tipo di gateway selezionare VPN.
  7. In SKU, selezionare VpnGw1.
  8. In Rete virtuale selezionare VNet-hub.
  9. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-hub-GW-pip per il nome.
  10. In Secondo indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-hub-GW-pip2 per il nome.
  11. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  12. Esaminare la configurazione e quindi selezionare Crea.

Creare un gateway VPN per la rete virtuale locale

Creare ora un gateway VPN per la rete virtuale locale. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale e premere INVIO.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-Onprem.
  5. In Area selezionare la stessa area usata in precedenza.
  6. In Tipo di gateway selezionare VPN.
  7. In SKU, selezionare VpnGw1.
  8. In Rete virtuale, selezionare VNet-Onprem.
  9. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-Onprem-GW-pip per il nome.
  10. In Secondo indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-Onprem-GW-pip2 per il nome.
  11. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  12. Esaminare la configurazione e quindi selezionare Crea.

Creare le connessioni VPN

A questo punto è possibile creare le connessioni VPN tra gateway locali e hub.

In questo passaggio si crea la connessione dalla rete virtuale dell'hub alla rete virtuale locale. Una chiave condivisa viene usata negli esempi. È possibile utilizzare i propri valori specifici per la chiave condivisa. L'importante è che la chiave condivisa corrisponda per entrambe le configurazioni. Il completamento della creazione di una connessione può richiedere un po' di tempo.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-hub.
  2. Nella colonna a sinistra, in Impostazioni selezionare Connessioni.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione digitare Hub-to-Onprem.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. Selezionare Avanti: Impostazioni.
  7. In Primo gateway di rete virtuale selezionare GW-hub.
  8. In Secondo gateway di rete virtuale selezionare GW-Onprem.
  9. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Selezionare Crea.

Creare la connessione dalla rete virtuale locale alla rete virtuale dell'hub. Questo passaggio è simile a quello precedente, con la differenza che viene creata la connessione da VNet-Onprem a VNet-hub. Assicurarsi che le chiavi condivise corrispondano. Dopo alcuni minuti la connessione verrà stabilita.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-Onprem.
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione digitare Onprem-to-Hub.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. Selezionare Avanti: Impostazioni.
  7. In Primo gateway di rete virtuale selezionare GW-Onprem.
  8. In Secondo gateway di rete virtuale selezionare GW-hub.
  9. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Selezionare Crea.

Verificare la connessione

Dopo circa cinque minuti lo stato di entrambe le connessioni dovrebbe essere Connesso.

Eseguire il peering tra le reti virtuali dell'hub e spoke

Eseguire ora il peering tra le reti virtuali dell'hub e spoke.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare la rete virtuale VNet-hub.

  2. Nella colonna di sinistra selezionare Peering.

  3. Selezionare Aggiungi.

  4. In Riepilogo rete virtuale remota:

  5. In Riepilogo rete virtuale remota:

    Nome impostazione valore
    Nome del collegamento di peering SpoketoHub
    Modello di distribuzione della rete virtuale Gestione risorse
    Subscription <sottoscrizione utente>
    Rete virtuale VNet-Spoke
    Consentire a "VNet-Spoke" di accedere a "VNet-hub" selezionato
    Consentire a "VNet-Spoke" di ricevere traffico inoltrato da "VNet-Hub" selezionato
    Consentire al gateway o al server di route in "VNet-Spoke" di inoltrare il traffico a "VNet-Hub" non selezionato
    Abilitare "VNet-Spoke" per l'uso del gateway remoto o del server di route "VNet-hub" selezionato

  6. In Riepilogo rete virtuale locale:

    Nome impostazione valore
    Nome del collegamento di peering HubtoSpoke
    Consentire a "VNet-hub" di accedere a "VNet-Spoke" selezionato
    Consentire a "VNet-hub" di ricevere traffico inoltrato da "VNet-Spoke" selezionato
    Consentire al gateway o al server di route in "VNet-Hub" di inoltrare il traffico a "VNet-Spoke" selezionato
    Abilitare "VNet-hub" per l'uso del gateway remoto o del server di route "VNet-Spoke" non selezionato

  7. Selezionare Aggiungi.

    Screenshot che mostra il peering di rete.

Creare le route

Creare quindi due route:

  • Una route dalla subnet del gateway dell'hub alla subnet spoke attraverso l'indirizzo IP del firewall
  • Una route predefinita dalla subnet spoke attraverso l'indirizzo IP del firewall
  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di route.
  4. Selezionare Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare la stessa località usata in precedenza.
  7. Per il nome digitare UDR-Hub-Spoke.
  8. Selezionare Rivedi e crea.
  9. Selezionare Crea.
  10. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  11. Nella colonna a sinistra, in Impostazioni selezionare Route.
  12. Selezionare Aggiungi.
  13. Come nome della route digitare ToSpoke.
  14. Per Tipo di destinazione selezionare Indirizzi IP.
  15. In Indirizzi IP di destinazione/intervalli CIDR digitare 10.6.0.0/16.
  16. Come tipo hop successivo selezionare Appliance virtuale.
  17. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  18. Selezionare Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-Hub-Spoke - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-hub.
  4. In Subnet selezionare GatewaySubnet.
  5. Selezionare OK.

A questo punto creare la route predefinita dalla subnet spoke.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di route.
  4. Selezionare Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare la stessa località usata in precedenza.
  7. Per il nome digitare UDR-DG.
  8. Per Propaga route del gateway selezionare No.
  9. Selezionare Rivedi e crea.
  10. Selezionare Crea.
  11. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  12. Selezionare Route nella colonna di sinistra.
  13. Selezionare Aggiungi.
  14. Come nome della route digitare ToHub.
  15. In Tipo di destinazione selezionare Indirizzi IP.
  16. In Indirizzi IP di destinazione/intervalli CIDR digitare 0.0.0.0/0.
  17. Come tipo hop successivo selezionare Appliance virtuale.
  18. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  19. Selezionare Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-DG - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-spoke.
  4. In Subnet selezionare SN-Workload.
  5. Selezionare OK.

Creare macchine virtuali

Creare ora le macchine virtuali locali e per il carico di lavoro spoke e posizionarle nelle subnet appropriate.

Creare la macchina virtuale per il carico di lavoro

Creare una macchina virtuale nella rete virtuale spoke, eseguendo NGINX, senza indirizzo IP pubblico.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. In Prodotti Marketplace più diffusi selezionare Ubuntu Server 22.04 LTS.
  3. Immettere i valori seguenti per la macchina virtuale:
    • Gruppo di risorse: selezionare FW-Hybrid-Test.
    • Identità macchina virtuale: VM-Spoke-01
    • Area - Stessa area usata in precedenza
    • Immagine - Ubuntu Server 22.04 LTS - x64 Gen2
    • Dimensioni - Standard_B2s
    • Tipo di autenticazione - Chiave pubblica SSH
    • Nome utente: azureuser
    • Origine chiave pubblica SSH - Generare una nuova coppia di chiavi
    • Nome della coppia di chiavi - VM-Spoke-01_key
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Selezionare Avanti: Dischi.
  6. Accettare le impostazioni predefinite e selezionare Next:Networking.
  7. Selezionare VNet-Spoke per la rete virtuale. La subnet è SN-Workload.
  8. In IP pubblico selezionare Nessuno.
  9. Selezionare Next:Management.
  10. Selezionare Avanti: Monitoraggio.
  11. In Diagnostica di avvio selezionare Disabilita.
  12. Selezionare Rivedi e crea, esaminare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.
  13. Nella finestra di dialogo Genera nuova coppia di chiavi selezionare Scarica chiave privata e crea risorsa. Salvare il file di chiave come VM-Spoke-01_key.pem.

Installare Nginx

Dopo aver creato la macchina virtuale, installare il server Web Nginx.

  1. Dal portale di Azure aprire Cloud Shell e assicurarsi che sia impostato su Bash.

  2. Eseguire il comando seguente per installare Nginx nella macchina virtuale:

    az vm run-command invoke \
   --resource-group FW-Hybrid-Test \
   --name VM-Spoke-01 \
   --command-id RunShellScript \
   --scripts "sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>'$(hostname)'</h1>' | sudo tee /var/www/html/index.html"

Creare la macchina virtuale locale

Si tratta di una macchina virtuale usata per connettersi con Azure Bastion. Da qui ci si connette al server spoke tramite il firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. In Prodotti Marketplace più diffusi selezionare Ubuntu Server 22.04 LTS.

  3. Immettere i valori seguenti per la macchina virtuale:

    • Gruppo di risorse: selezionare Usa esistente e quindi FW-Hybrid-Test.
    • Nome macchina virtuale: - VM-Onprem.
    • Area: la stessa area usata in precedenza.
    • Immagine - Ubuntu Server 22.04 LTS - x64 Gen2
    • Dimensioni - Standard_B2s
    • Tipo di autenticazione - Chiave pubblica SSH
    • Nome utente: azureuser
    • Origine chiave pubblica SSH - Generare una nuova coppia di chiavi
    • Nome coppia di chiavi - VM-Onprem_key

  4. Per Porte in ingresso pubblicheselezionare Nessuno

  5. Selezionare Avanti: Dischi.

  6. Accettare le impostazioni predefinite e selezionare Next:Networking.

  7. Selezionare VNet-Onprem per la rete virtuale. La subnet è SN-Corp.

  8. Selezionare Next:Management.

  9. Selezionare Avanti: Monitoraggio.

  10. In Diagnostica di avvio, selezionare Disabilita.

  11. Selezionare Rivedi e crea, esaminare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  12. Nella finestra di dialogo Genera nuova coppia di chiavi selezionare Scarica chiave privata e crea risorsa. Salvare il file di chiave come VM-Onprem_key.pem.

Note

Azure fornisce un indirizzo IP per l'accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio di bilanciamento di Azure Basic interno. Il meccanismo dell'indirizzo IP per l'accesso in uscita predefinito fornisce un indirizzo IP in uscita non configurabile.

L'indirizzo IP per l'accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Un indirizzo IP pubblico viene assegnato alla macchina virtuale.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali nella modalità orchestrazione flessibile non dispongono dell'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Distribuire Azure Bastion

Distribuire ora Azure Bastion per fornire l'accesso sicuro alla macchina virtuale.

  1. Nel menu del portale di Azure selezionare Crea una risorsa.

  2. Nella casella di ricerca digitare Bastion e selezionarlo nei risultati.

  3. Selezionare Crea.

  4. Nella pagina Crea un bastion configurare le impostazioni seguenti:

    Impostazione valore
    Subscription Selezionare la sottoscrizione
    Resource group FW-Hybrid-Test
    Nome Hub-Bastion
    Region Uguale alle altre risorse
    Tier Sviluppatore
    Rete virtuale VNet-hub
    Subnet Selezionare Gestisci configurazione subnet

  5. Nella pagina Subnet selezionare + Subnet.

  6. Configurare la nuova subnet:

    • Nome: AzureBastionSubnet (questo nome è obbligatorio)
    • Intervallo di indirizzi subnet: 10.5.3.0/26

  7. Selezionare Salva e chiudere la pagina delle subnet.

  8. Selezionare Rivedi e crea.

  9. Al termine della convalida, selezionare Crea.

Testare il firewall

  1. Innanzitutto, prendere nota dell'indirizzo IP privato per la macchina virtuale VM-spoke-01.

  2. Dal portale di Azure passare alla macchina virtuale VM-Onprem .

  3. Selezionare Connetti>Connetti tramite Bastion.

  4. Selezionare Usa chiave privata SSH dal file locale.

  5. Per Nome utente digitare azureuser.

  6. Vai a e seleziona il file VM-Onprem_key.pem che hai scaricato in precedenza.

  7. Selezionare Connetti.

  8. Dalla sessione SSH in VM-Onprem testare il server Web nella rete virtuale spoke:

    curl http://<VM-spoke-01 private IP>

Il server Web restituirà una risposta.

Modificare quindi l'azione della raccolta di regole di rete del firewall impostandola su Nega per verificare che le regole del firewall funzionino come previsto.

  1. Selezionare il criterio firewall hybrid-test-pol.
  2. Selezionare Raccolte di regole.
  3. Selezionare la raccolta di regole RCNet01.
  4. In Azione della raccolta regole selezionare Nega.
  5. Selezionare Salva.

Eseguire di nuovo il test. Il test dovrebbe non riuscire questa volta.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse FW-Hybrid-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium

  • Last updated on