Compartir a través de

Implementación y configuración de Azure Firewall en una red híbrida con Azure PowerShell

Cuando conecta la red local a una red virtual de Azure para crear una red híbrida, la capacidad de controlar el acceso a los recursos de la red de Azure es parte importante de un plan de seguridad global.

Puede usar Azure Firewall para controlar el acceso de red en una red híbrida con reglas que definen el tráfico de red que se permite o que se rechaza.

En este artículo se crearán tres redes virtuales:

  • VNet-Hub: el firewall está en esta red virtual.
  • VNet-Spoke: La red virtual Spoke representa la carga de trabajo ubicada en Azure.
  • VNet-Onprem: la red virtual local representa una red local. En una implementación real, puede conectarse a ella mediante una conexión de red privada virtual (VPN) o una conexión de Azure ExpressRoute. Para simplificar, este artículo usa una conexión de puerta de enlace de VPN y una red virtual ubicada en Azure para representar una red local.

Diagrama que muestra un firewall en una red híbrida.

Si quiere usar Azure Portal en su lugar para completar los procedimientos de este artículo, consulte Implementación y configuración de Azure Firewall en una red híbrida mediante Azure Portal.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Requisitos previos

En este artículo es necesario ejecutar PowerShell en local. Debe tener instalados el módulo de Azure PowerShell. Ejecute Get-Module -ListAvailable Az para encontrar la versión. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell. Después de verificar la versión de PowerShell, ejecute Connect-AzAccount para crear una conexión con Azure.

Tres requisitos clave garantizan que este escenario funcione correctamente:

  • Una ruta definida por el usuario (UDR) en la subred spoke apunta a la dirección IP del Azure Firewall como puerta de enlace predeterminada. Debe deshabilitar la propagación de las rutas de puerta de enlace de red virtual en esta tabla de rutas.

  • Una ruta definida por el usuario en la subred de la puerta de enlace del centro apunta a la dirección IP del firewall como próximo salto para las redes de radio.

  • No se requiere ninguna UDR en la subred de Azure Firewall, ya que aprende rutas del Protocolo de puerta de enlace de borde (BGP).

  • Establezca AllowGatewayTransit al emparejar VNet-Hub con VNet-Spoke. Establezca UseRemoteGateways cuando esté conectando VNet-Spoke a VNet-Hub.

La sección Crear las rutas más adelante en este artículo muestra cómo crear estas rutas.

Nota:

Azure Firewall debe tener conectividad directa a Internet. Si la subred de AzureFirewallSubnet aprende una ruta predeterminada a la red local mediante BGP, debe configurar Azure Firewall en el modo de tunelización forzada. Si se trata de una instancia de Azure Firewall existente que no se puede volver a configurar en modo de tunelización forzada, agregue una UDR 0.0.0.0/0 en la subred AzureFirewallSubnet con el NextHopType valor establecido como Internet para mantener la conectividad directa a Internet.

Para más información, consulte Tunelización forzada de Azure Firewall.

El tráfico entre redes virtuales emparejadas directamente se enruta de manera directa, incluso si un UDR señala a Azure Firewall como la puerta de enlace predeterminada. Para enviar tráfico de subred a subred al firewall en este escenario, una UDR debe contener el prefijo de red de la subred de destino de forma explícita en ambas subredes.

Use New-AzFirewall como cmdlet principal para implementar y configurar el firewall en este artículo.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Declaración de las variables

En el ejemplo siguiente se declaran las variables con los valores para este artículo. En algunos casos, puede que tenga que reemplazar algunos valores por sus valores propios para trabajar en su suscripción. Si es necesario, modifique las variables y después cópielas y péguelas en la consola de PowerShell.

$RG1 = "FW-Hybrid-Test"
$Location1 = "East US"

# Variables for the firewall hub virtual network

$VNetnameHub = "VNet-Hub"
$SNnameHub = "AzureFirewallSubnet"
$VNetHubPrefix = "10.5.0.0/16"
$SNHubPrefix = "10.5.0.0/24"
$SNGWHubPrefix = "10.5.1.0/24"
$GWHubName = "GW-hub"
$GWHubpipName = "VNet-Hub-GW-pip"
$GWIPconfNameHub = "GW-ipconf-hub"
$ConnectionNameHub = "hub-to-Onprem"

# Variables for the spoke virtual network

$VnetNameSpoke = "VNet-Spoke"
$SNnameSpoke = "SN-Workload"
$VNetSpokePrefix = "10.6.0.0/16"
$SNSpokePrefix = "10.6.0.0/24"
$SNSpokeGWPrefix = "10.6.1.0/24"

# Variables for the on-premises virtual network

$VNetnameOnprem = "Vnet-Onprem"
$SNNameOnprem = "SN-Corp"
$VNetOnpremPrefix = "192.168.0.0/16"
$SNOnpremPrefix = "192.168.1.0/24"
$SNGWOnpremPrefix = "192.168.2.0/24"
$GWOnpremName = "GW-Onprem"
$GWIPconfNameOnprem = "GW-ipconf-Onprem"
$ConnectionNameOnprem = "Onprem-to-hub"
$GWOnprempipName = "VNet-Onprem-GW-pip"

$SNnameGW = "GatewaySubnet"

Creación de las redes virtuales

Creación de una red virtual de centro

Use New-AzResourceGroup para crear el grupo de recursos para este artículo:

New-AzResourceGroup `
    -Name $RG1 `
    -Location $Location1

Use New-AzVirtualNetworkSubnetConfig y New-AzVirtualNetwork para definir las subredes y crear la red virtual del centro:

$FWsub = New-AzVirtualNetworkSubnetConfig `
    -Name $SNnameHub `
    -AddressPrefix $SNHubPrefix

$GWsub = New-AzVirtualNetworkSubnetConfig `
    -Name $SNnameGW `
    -AddressPrefix $SNGWHubPrefix

$VNetHub = New-AzVirtualNetwork `
    -Name $VNetnameHub `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AddressPrefix $VNetHubPrefix `
    -Subnet $FWsub,$GWsub

Use New-AzPublicIpAddress para solicitar una dirección IP pública para la puerta de enlace de VPN. Establezca el valor AllocationMethod a Dynamic, lo que significa que Azure asigna dinámicamente la dirección.

$gwpip1 = New-AzPublicIpAddress `
    -Name $GWHubpipName `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AllocationMethod Dynamic

Crear la red virtual de tipo hub-and-spoke

Utilice New-AzVirtualNetworkSubnetConfig y New-AzVirtualNetwork para definir las subredes y crear la red virtual nodo.

$Spokesub = New-AzVirtualNetworkSubnetConfig `
    -Name $SNnameSpoke `
    -AddressPrefix $SNSpokePrefix
$GWsubSpoke = New-AzVirtualNetworkSubnetConfig `
    -Name $SNnameGW `
    -AddressPrefix $SNSpokeGWPrefix
$VNetSpoke = New-AzVirtualNetwork `
    -Name $VnetNameSpoke `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AddressPrefix $VNetSpokePrefix `
    -Subnet $Spokesub,$GWsubSpoke

Crear la red virtual local

Use New-AzVirtualNetworkSubnetConfig y New-AzVirtualNetwork para definir las subredes y crear la red virtual local:

$Onpremsub = New-AzVirtualNetworkSubnetConfig `
    -Name $SNNameOnprem `
    -AddressPrefix $SNOnpremPrefix
$GWOnpremsub = New-AzVirtualNetworkSubnetConfig `
    -Name $SNnameGW `
    -AddressPrefix $SNGWOnpremPrefix
$VNetOnprem = New-AzVirtualNetwork `
    -Name $VNetnameOnprem `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AddressPrefix $VNetOnpremPrefix `
    -Subnet $Onpremsub,$GWOnpremsub

Use New-AzPublicIpAddress para solicitar una dirección IP pública para la puerta de enlace de red virtual local:

$gwOnprempip = New-AzPublicIpAddress `
    -Name $GWOnprempipName `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AllocationMethod Dynamic

Configuración e implementación del firewall

Use New-AzPublicIpAddress y New-AzFirewall para implementar el firewall en la red virtual del concentrador:

# Get a public IP for the firewall
$FWpip = New-AzPublicIpAddress `
    -Name "fw-pip" `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -AllocationMethod Static `
    -Sku Standard
# Create the firewall
$Azfw = New-AzFirewall `
    -Name AzFW01 `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -VirtualNetworkName $VNetnameHub `
    -PublicIpName fw-pip

# Save the firewall private IP address for future use
$AzfwPrivateIP = $Azfw.IpConfigurations.privateipaddress
$AzfwPrivateIP

Use New-AzFirewallNetworkRule y New-AzFirewallNetworkRuleCollection para configurar reglas de red. A continuación, use Set-AzFirewall para aplicarlos:

$Rule1 = New-AzFirewallNetworkRule `
    -Name "AllowWeb" `
    -Protocol TCP `
    -SourceAddress $SNOnpremPrefix `
    -DestinationAddress $VNetSpokePrefix `
    -DestinationPort 80

$Rule2 = New-AzFirewallNetworkRule `
    -Name "AllowRDP" `
    -Protocol TCP `
    -SourceAddress $SNOnpremPrefix `
    -DestinationAddress $VNetSpokePrefix `
    -DestinationPort 3389

$Rule3 = New-AzFirewallNetworkRule `
    -Name "AllowPing" `
    -Protocol ICMP `
    -SourceAddress $SNOnpremPrefix `
    -DestinationAddress $VNetSpokePrefix `
    -DestinationPort *

$NetRuleCollection = New-AzFirewallNetworkRuleCollection `
    -Name RCNet01 `
    -Priority 100 `
    -Rule $Rule1,$Rule2,$Rule3 `
    -ActionType "Allow"
$Azfw.NetworkRuleCollections = $NetRuleCollection
Set-AzFirewall -AzureFirewall $Azfw

Creación y conexión de las puertas de enlace de VPN

Conecte el hub y las redes virtuales locales en las instalaciones mediante puertas de enlace VPN.

Creación de una puerta de enlace VPN para la red virtual de centro

Use New-AzVirtualNetworkGatewayIpConfig para crear la configuración de puerta de enlace VPN para la red virtual del centro. La configuración define la subred y la dirección IP pública que se va a usar.

$vnet1 = Get-AzVirtualNetwork `
    -Name $VNetnameHub `
    -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig `
    -Name "GatewaySubnet" `
    -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig `
    -Name $GWIPconfNameHub `
    -Subnet $subnet1 `
    -PublicIpAddress $gwpip1

Use New-AzVirtualNetworkGateway para crear la puerta de enlace VPN para la red virtual hub. Las configuraciones de red a red requieren un valor de VpnType de RouteBased. La creación de una puerta de enlace de VPN suele tardar 45 minutos o más, en función de la SKU que seleccione.

New-AzVirtualNetworkGateway `
    -Name $GWHubName `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -IpConfigurations $gwipconf1 `
    -GatewayType Vpn `
    -VpnType RouteBased `
    -GatewaySku basic

Creación de una puerta de enlace VPN para la red virtual local

Use New-AzVirtualNetworkGatewayIpConfig para crear la configuración de vpn Gateway para la red virtual local. La configuración define la subred y la dirección IP pública que se va a usar.

$vnet2 = Get-AzVirtualNetwork `
    -Name $VNetnameOnprem `
    -ResourceGroupName $RG1
$subnet2 = Get-AzVirtualNetworkSubnetConfig `
    -Name "GatewaySubnet" `
    -VirtualNetwork $vnet2
$gwipconf2 = New-AzVirtualNetworkGatewayIpConfig `
    -Name $GWIPconfNameOnprem `
    -Subnet $subnet2 `
    -PublicIpAddress $gwOnprempip

Use New-AzVirtualNetworkGateway para crear la puerta de enlace de VPN para la red virtual local:

New-AzVirtualNetworkGateway `
    -Name $GWOnpremName `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -IpConfigurations $gwipconf2 `
    -GatewayType Vpn `
    -VpnType RouteBased `
    -GatewaySku basic

Cree las conexiones VPN

Cree las conexiones de VPN entre el hub y las puertas de enlace locales.

Creación de las conexiones

Use Get-AzVirtualNetworkGateway para recuperar los objetos de puerta de enlace y, a continuación, use New-AzVirtualNetworkGatewayConnection para crear las conexiones. Los ejemplos muestran una clave compartida, pero puede usar sus propios valores. Lo importante es que la clave compartida coincida con ambas conexiones. Se tardará unos momentos en terminar de crear la conexión.

$vnetHubgw = Get-AzVirtualNetworkGateway `
    -Name $GWHubName `
    -ResourceGroupName $RG1
$vnetOnpremgw = Get-AzVirtualNetworkGateway `
    -Name $GWOnpremName `
    -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection `
    -Name $ConnectionNameHub `
    -ResourceGroupName $RG1 `
    -VirtualNetworkGateway1 $vnetHubgw `
    -VirtualNetworkGateway2 $vnetOnpremgw `
    -Location $Location1 `
    -ConnectionType Vnet2Vnet `
    -SharedKey 'AzureA1b2C3'

Cree la conexión de red virtual desde el entorno local al centro de conectividad. Este paso es similar al anterior, salvo que se crea la conexión desde VNet-Onprem a VNet-Hub. Asegúrese de que coincidan las claves compartidas. Después de unos minutos, se establece la conexión.

New-AzVirtualNetworkGatewayConnection `
    -Name $ConnectionNameOnprem `
    -ResourceGroupName $RG1 `
    -VirtualNetworkGateway1 $vnetOnpremgw `
    -VirtualNetworkGateway2 $vnetHubgw `
    -Location $Location1 `
    -ConnectionType Vnet2Vnet `
    -SharedKey 'AzureA1b2C3'

Comprobación de la conexión

Puede comprobar una conexión correcta mediante el cmdlet Get-AzVirtualNetworkGatewayConnection, con o sin -Debug.

Use el siguiente ejemplo de cmdlet, pero configure los valores para que coincidan con los suyos propios. Si se le solicita, seleccione A para ejecutar All. En el ejemplo, -Name es el nombre de la conexión que desea probar.

Get-AzVirtualNetworkGatewayConnection `
    -Name $ConnectionNameHub `
    -ResourceGroupName $RG1

Cuando el cmdlet termine, consulte los valores. En el ejemplo siguiente se muestra un estado de conexión de Connected, junto con bytes de entrada y salida:

"connectionStatus": "Connected",
"ingressBytesTransferred": 33509044,
"egressBytesTransferred": 4142431

Emparejar las redes virtuales de tipo hub-and-spoke

Utilice Add-AzVirtualNetworkPeering para emparejar las redes virtuales de concentrador y radio.

# Peer hub to spoke
Add-AzVirtualNetworkPeering `
    -Name HubtoSpoke `
    -VirtualNetwork $VNetHub `
    -RemoteVirtualNetworkId $VNetSpoke.Id `
    -AllowGatewayTransit

# Peer spoke to hub
Add-AzVirtualNetworkPeering `
    -Name SpoketoHub `
    -VirtualNetwork $VNetSpoke `
    -RemoteVirtualNetworkId $VNetHub.Id `
    -AllowForwardedTraffic `
    -UseRemoteGateways

Creación de las rutas

Use los siguientes comandos para crear estas rutas:

  • Una ruta desde la subred de puerta de enlace de concentrador a la subred de radio mediante la dirección IP del firewall.
  • Una ruta predeterminada desde la subred spoke a través de la dirección IP del firewall.

Use New-AzRouteTable y Add-AzRouteConfig para crear la tabla de rutas y configurar la ruta para la subred de puerta de enlace de concentrador. A continuación, use Set-AzVirtualNetworkSubnetConfig y Set-AzVirtualNetwork para asociarlo a la subred:

$routeTableHubSpoke = New-AzRouteTable `
    -Name 'UDR-Hub-Spoke' `
    -ResourceGroupName $RG1 `
    -Location $Location1

Get-AzRouteTable `
    -ResourceGroupName $RG1 `
    -Name UDR-Hub-Spoke `
    | Add-AzRouteConfig `
    -Name "ToSpoke" `
    -AddressPrefix $VNetSpokePrefix `
    -NextHopType "VirtualAppliance" `
    -NextHopIpAddress $AzfwPrivateIP `
    | Set-AzRouteTable

Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $VNetHub `
    -Name $SNnameGW `
    -AddressPrefix $SNGWHubPrefix `
    -RouteTable $routeTableHubSpoke `
    | Set-AzVirtualNetwork

Use New-AzRouteTable y Add-AzRouteConfig para crear la tabla de rutas predeterminada para la subred de spoke. El -DisableBgpRoutePropagation parámetro deshabilita la propagación de rutas de puerta de enlace de red virtual en esta tabla de rutas. A continuación, use Set-AzVirtualNetworkSubnetConfig y Set-AzVirtualNetwork para asociarlo a la subred:

$routeTableSpokeDG = New-AzRouteTable `
    -Name 'UDR-DG' `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -DisableBgpRoutePropagation

Get-AzRouteTable `
    -ResourceGroupName $RG1 `
    -Name UDR-DG `
    | Add-AzRouteConfig `
    -Name "ToFirewall" `
    -AddressPrefix 0.0.0.0/0 `
    -NextHopType "VirtualAppliance" `
    -NextHopIpAddress $AzfwPrivateIP `
    | Set-AzRouteTable

Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $VNetSpoke `
    -Name $SNnameSpoke `
    -AddressPrefix $SNSpokePrefix `
    -RouteTable $routeTableSpokeDG `
    | Set-AzVirtualNetwork

Creación de máquinas virtuales

Cree la carga de trabajo de radio y las máquinas virtuales locales, y colóquelas en las subredes adecuadas.

Crear la máquina virtual de carga de trabajo

Cree una máquina virtual en la red virtual spoke que ejecute Internet Information Services (IIS), no tenga ninguna dirección IP pública y permita pings entrantes. Cuando se le solicite, escriba un nombre de usuario y una contraseña para la máquina virtual.

Use New-AzNetworkSecurityRuleConfig y New-AzNetworkSecurityGroup para crear las reglas de entrada y el grupo de seguridad:

# Create inbound network security group rules for ports 3389 and 80
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
    -Name Allow-RDP `
    -Protocol Tcp `
    -Direction Inbound `
    -Priority 200 `
    -SourceAddressPrefix * `
    -SourcePortRange * `
    -DestinationAddressPrefix $SNSpokePrefix `
    -DestinationPortRange 3389 `
    -Access Allow
$nsgRuleWeb = New-AzNetworkSecurityRuleConfig `
    -Name Allow-web `
    -Protocol Tcp `
    -Direction Inbound `
    -Priority 202 `
    -SourceAddressPrefix * `
    -SourcePortRange * `
    -DestinationAddressPrefix $SNSpokePrefix `
    -DestinationPortRange 80 `
    -Access Allow

# Create the network security group
$nsg = New-AzNetworkSecurityGroup `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -Name NSG-Spoke02 `
    -SecurityRules $nsgRuleRDP,$nsgRuleWeb

Use New-AzNetworkInterface para crear la NIC y adjuntarla al grupo de seguridad:

$NIC = New-AzNetworkInterface `
    -Name spoke-01 `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -SubnetId $VnetSpoke.Subnets[0].Id `
    -NetworkSecurityGroupId $nsg.Id

Use New-AzVMConfig, Set-AzVMOperatingSystem y Add-AzVMNetworkInterface para definir la configuración de la máquina virtual y, a continuación, use New-AzVM para crear la máquina virtual:

$VirtualMachine = New-AzVMConfig `
    -VMName VM-Spoke-01 `
    -VMSize "Standard_DS2"
$VirtualMachine = Set-AzVMOperatingSystem `
    -VM $VirtualMachine `
    -Windows `
    -ComputerName Spoke-01 `
    -ProvisionVMAgent `
    -EnableAutoUpdate
$VirtualMachine = Add-AzVMNetworkInterface `
    -VM $VirtualMachine `
    -Id $NIC.Id
$VirtualMachine = Set-AzVMSourceImage `
    -VM $VirtualMachine `
    -PublisherName 'MicrosoftWindowsServer' `
    -Offer 'WindowsServer' `
    -Skus '2016-Datacenter' `
    -Version latest

New-AzVM `
    -ResourceGroupName $RG1 `
    -Location $Location1 `
    -VM $VirtualMachine `
    -Verbose

Use Set-AzVMExtension para instalar IIS y crear una regla de Firewall de Windows para permitir pings:

# Install IIS
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName IIS `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server"}' `
    -Location $Location1

# Create a Windows Firewall rule to allow pings
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName AllowPing `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell New-NetFirewallRule -DisplayName \"Allow ICMPv4-In\" -Protocol ICMPv4"}' `
    -Location $Location1

Creación de la máquina virtual local

Use New-AzVm para crear una máquina virtual sencilla que puede usar para conectarse a través del acceso remoto a la dirección IP pública. Desde allí, puede conectarse al servidor local a través del firewall. Cuando se le solicite, escriba un nombre de usuario y una contraseña para la máquina virtual.

New-AzVm `
    -ResourceGroupName $RG1 `
    -Name "VM-Onprem" `
    -Location $Location1 `
    -VirtualNetworkName $VNetnameOnprem `
    -SubnetName $SNNameOnprem `
    -OpenPorts 3389 `
    -Size "Standard_DS2"

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo de backend de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Probar el firewall

  1. Obtenga y anote la dirección IP privada de la máquina virtual VM-spoke-01 :

    $NIC.IpConfigurations.privateipaddress

  2. En Azure Portal, conéctese a la máquina virtual VM-Onprem.

  3. Abra un símbolo del sistema de Windows PowerShell en VM-Onprem y haga ping a la dirección IP privada de VM-spoke-01. Recibe una respuesta.

  4. Abra un explorador web en VM-Onprem y vaya a http://<VM-spoke-01 private IP>. La página predeterminada de IIS debería abrirse.

  5. Desde VM-Onprem, abra una conexión de acceso remoto a VM-spoke-01 en la dirección IP privada. Se realizará la conexión y podrá iniciar sesión con el nombre de usuario y la contraseña elegidos.

Después de comprobar que las reglas de firewall funcionan, puede hacer lo siguiente:

  • Haga ping al servidor en la red virtual de radio.
  • Vaya al servidor web en la red virtual de radio.
  • Conéctese al servidor de la red virtual de radio mediante RDP.

A continuación, ejecute el siguiente script para cambiar la acción de la colección de reglas de red de firewall a Deny:

$rcNet = $Azfw.GetNetworkRuleCollectionByName("RCNet01")
$rcNet.action.type = "Deny"

Set-AzFirewall -AzureFirewall $Azfw

Cierre las conexiones de acceso remoto existentes. Vuelva a ejecutar las pruebas para probar las reglas modificadas. Esta vez, todas producirán un error.

Limpieza de recursos

Puede conservar los recursos del firewall para el próximo tutorial. Si ya no los necesita, elimine el grupo de recursos FW-Hybrid-Test para eliminar todos los recursos relacionados con el firewall.

Pasos siguientes

Supervisión de los registros de Azure Firewall

  • Last updated on