Bagikan melalui

Menyebarkan dan mengonfigurasi Azure Firewall dalam jaringan hibrid dengan menggunakan Azure PowerShell

  • Artikel

Saat Anda menyambungkan jaringan lokal Anda ke jaringan virtual Azure untuk membuat jaringan hibrid, kemampuan untuk mengontrol akses ke sumber daya jaringan Azure adalah bagian penting dari rencana keamanan keseluruhan.

Anda dapat menggunakan Azure Firewall untuk mengontrol akses jaringan di jaringan hibrid dengan menggunakan aturan yang menentukan lalu lintas jaringan yang diizinkan dan ditolak.

Untuk tutorial ini, Anda membuat tiga jaringan virtual:

  • VNet-Hub: Firewall berada di jaringan virtual ini.
  • VNet-Spoke: Jaringan virtual spoke mewakili beban kerja yang terletak di Azure.
  • VNet-Onprem: Jaringan virtual lokal mewakili jaringan lokal. Dalam penyebaran aktual, Anda dapat menyambungkannya dengan menggunakan koneksi jaringan privat virtual (VPN) atau koneksi Azure ExpressRoute. Untuk kesederhanaan, artikel ini menggunakan koneksi gateway VPN, dan jaringan virtual yang terletak di Azure mewakili jaringan lokal.

Diagram yang memperlihatkan firewall dalam jaringan hibrid.

Jika Anda ingin menggunakan portal Azure sebagai gantinya untuk menyelesaikan prosedur dalam artikel ini, lihat Menyebarkan dan mengonfigurasi Azure Firewall dalam jaringan hibrid dengan menggunakan portal Azure.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Prasyarat

Artikel ini mengharuskan Anda menjalankan Azure PowerShell secara lokal. Anda harus menginstal modul Azure PowerShell. Jalankan Get-Module -ListAvailable Az untuk menemukan versinya. Jika Anda perlu peningkatan, lihat Memasang modul Azure PowerShell. Setelah versi PowerShell dipastikan, jalankan Login-AzAccount untuk membuat koneksi dengan Azure.

Ada tiga persyaratan utama agar skenario ini berfungsi dengan benar:

  • Rute yang ditentukan pengguna (UDR) pada subnet spoke yang menunjuk ke alamat IP Azure Firewall sebagai gateway default. Penyebaran rute gateway jaringan virtual harus dinonaktifkan pada tabel rute ini.

  • UDR pada subnet gateway hub harus menunjuk ke alamat IP firewall sebagai hop berikutnya ke jaringan spoke.

    Tidak ada UDR yang diperlukan pada subnet Azure Firewall, karena mempelajari rute dari Border Gateway Protocol (BGP).

  • Pastikan untuk mengatur AllowGatewayTransit saat Anda melakukan peering VNet-Hub ke VNet-Spoke. Atur UseRemoteGateways saat Anda melakukan peering VNet-Spoke ke VNet-Hub.

Bagian Buat rute nanti dalam artikel ini memperlihatkan cara membuat rute ini.

Catatan

Azure Firewall harus memiliki konektivitas Internet langsung. Jika subnet AzureFirewallSubnet mempelajari rute default ke jaringan lokal Anda melalui BGP, Anda harus mengonfigurasi Azure Firewall dalam mode penerowongan paksa. Jika ini adalah instans Azure Firewall yang sudah ada yang tidak dapat dikonfigurasi ulang dalam mode penerowongan paksa, kami sarankan Anda menambahkan UDR 0.0.0.0/0 pada subnet AzureFirewallSubnet dengan NextHopType nilai yang ditetapkan sebagai Internet untuk mempertahankan konektivitas internet langsung.

Untuk informasi selengkapnya, lihat penerowongan paksa Azure Firewall.

Lalu lintas antara jaringan virtual yang di-peering langsung dirutekan secara langsung, bahkan jika UDR menunjuk ke Azure Firewall sebagai gateway default. Untuk mengirim lalu lintas subnet-ke-subnet ke firewall dalam skenario ini, UDR harus berisi awalan jaringan subnet target secara eksplisit pada kedua subnet.

Untuk meninjau dokumentasi referensi Azure PowerShell terkait, lihat New-AzFirewall.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Mendeklarasikan variabel

Contoh berikut mendeklarasikan variabel dengan menggunakan nilai untuk artikel ini. Dalam beberapa kasus, Anda mungkin perlu mengganti beberapa nilai dengan nilai Anda sendiri agar berfungsi di langganan Anda. Ubah variabel jika diperlukan, lalu salin dan tempelkan ke konsol PowerShell Anda.

$RG1 = "FW-Hybrid-Test"
$Location1 = "East US"

# Variables for the firewall hub virtual network

$VNetnameHub = "VNet-Hub"
$SNnameHub = "AzureFirewallSubnet"
$VNetHubPrefix = "10.5.0.0/16"
$SNHubPrefix = "10.5.0.0/24"
$SNGWHubPrefix = "10.5.1.0/24"
$GWHubName = "GW-hub"
$GWHubpipName = "VNet-Hub-GW-pip"
$GWIPconfNameHub = "GW-ipconf-hub"
$ConnectionNameHub = "hub-to-Onprem"

# Variables for the spoke virtual network

$VnetNameSpoke = "VNet-Spoke"
$SNnameSpoke = "SN-Workload"
$VNetSpokePrefix = "10.6.0.0/16"
$SNSpokePrefix = "10.6.0.0/24"
$SNSpokeGWPrefix = "10.6.1.0/24"

# Variables for the on-premises virtual network

$VNetnameOnprem = "Vnet-Onprem"
$SNNameOnprem = "SN-Corp"
$VNetOnpremPrefix = "192.168.0.0/16"
$SNOnpremPrefix = "192.168.1.0/24"
$SNGWOnpremPrefix = "192.168.2.0/24"
$GWOnpremName = "GW-Onprem"
$GWIPconfNameOnprem = "GW-ipconf-Onprem"
$ConnectionNameOnprem = "Onprem-to-hub"
$GWOnprempipName = "VNet-Onprem-GW-pip"

$SNnameGW = "GatewaySubnet"

Membuat jaringan virtual hub firewall

Pertama, buat grup sumber daya untuk memuat sumber daya untuk artikel ini:

  New-AzResourceGroup -Name $RG1 -Location $Location1

Definisikan subnet yang akan disertakan dalam jaringan virtual:

$FWsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameHub -AddressPrefix $SNHubPrefix
$GWsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNGWHubPrefix

Buat jaringan virtual hub firewall:

$VNetHub = New-AzVirtualNetwork -Name $VNetnameHub -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetHubPrefix -Subnet $FWsub,$GWsub

Minta alamat IP publik untuk dialokasikan ke gateway VPN yang akan Anda buat untuk jaringan virtual Anda. Perhatikan bahwa nilainya AllocationMethod adalah Dynamic. Anda tak bisa menentukan alamat IP yang ingin Anda gunakan. Hal ini dialokasikan secara dinamis ke gateway VPN Anda.

$gwpip1 = New-AzPublicIpAddress -Name $GWHubpipName -ResourceGroupName $RG1 `
-Location $Location1 -AllocationMethod Dynamic

Membuat jaringan virtual spoke

Definisikan subnet yang akan disertakan dalam jaringan virtual spoke:

$Spokesub = New-AzVirtualNetworkSubnetConfig -Name $SNnameSpoke -AddressPrefix $SNSpokePrefix
$GWsubSpoke = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNSpokeGWPrefix

Buat jaringan virtual spoke:

$VNetSpoke = New-AzVirtualNetwork -Name $VnetNameSpoke -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetSpokePrefix -Subnet $Spokesub,$GWsubSpoke

Membuat jaringan virtual lokal

Definisikan subnet yang akan disertakan dalam jaringan virtual:

$Onpremsub = New-AzVirtualNetworkSubnetConfig -Name $SNNameOnprem -AddressPrefix $SNOnpremPrefix
$GWOnpremsub = New-AzVirtualNetworkSubnetConfig -Name $SNnameGW -AddressPrefix $SNGWOnpremPrefix

Buat jaringan virtual lokal:

$VNetOnprem = New-AzVirtualNetwork -Name $VNetnameOnprem -ResourceGroupName $RG1 `
-Location $Location1 -AddressPrefix $VNetOnpremPrefix -Subnet $Onpremsub,$GWOnpremsub

Minta alamat IP publik untuk dialokasikan ke gateway yang akan Anda buat untuk jaringan virtual. Perhatikan bahwa nilainya AllocationMethod adalah Dynamic. Anda tak bisa menentukan alamat IP yang ingin Anda gunakan. Alamat IP dialokasikan secara dinamis ke gateway Anda.

$gwOnprempip = New-AzPublicIpAddress -Name $GWOnprempipName -ResourceGroupName $RG1 `
-Location $Location1 -AllocationMethod Dynamic

Mengonfigurasi dan menyebarkan firewall

Sekarang, sebarkan firewall ke jaringan virtual hub:

# Get a public IP for the firewall
$FWpip = New-AzPublicIpAddress -Name "fw-pip" -ResourceGroupName $RG1 `
  -Location $Location1 -AllocationMethod Static -Sku Standard
# Create the firewall
$Azfw = New-AzFirewall -Name AzFW01 -ResourceGroupName $RG1 -Location $Location1 -VirtualNetworkName $VNetnameHub -PublicIpName fw-pip

#Save the firewall private IP address for future use

$AzfwPrivateIP = $Azfw.IpConfigurations.privateipaddress
$AzfwPrivateIP

Mengonfigurasi aturan jaringan:

$Rule1 = New-AzFirewallNetworkRule -Name "AllowWeb" -Protocol TCP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort 80

$Rule2 = New-AzFirewallNetworkRule -Name "AllowRDP" -Protocol TCP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort 3389

$Rule3 = New-AzFirewallNetworkRule -Name "AllowPing" -Protocol ICMP -SourceAddress $SNOnpremPrefix `
   -DestinationAddress $VNetSpokePrefix -DestinationPort

$NetRuleCollection = New-AzFirewallNetworkRuleCollection -Name RCNet01 -Priority 100 `
   -Rule $Rule1,$Rule2 -ActionType "Allow"
$Azfw.NetworkRuleCollections = $NetRuleCollection
Set-AzFirewall -AzureFirewall $Azfw

Membuat dan menyambungkan gateway VPN

Hub dan jaringan virtual lokal tersambung melalui gateway VPN.

Membuat gateway VPN untuk jaringan virtual hub

Buat konfigurasi gateway VPN untuk jaringan virtual hub. Konfigurasi gateway VPN mendefinisikan subnet dan alamat IP publik yang akan digunakan.

$vnet1 = Get-AzVirtualNetwork -Name $VNetnameHub -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfNameHub `
-Subnet $subnet1 -PublicIpAddress $gwpip1

Sekarang, buat gateway VPN untuk jaringan virtual hub. Konfigurasi jaringan-ke-jaringan memerlukan VpnType nilai RouteBased. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

New-AzVirtualNetworkGateway -Name $GWHubName -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku basic

Membuat gateway VPN untuk jaringan virtual lokal

Buat konfigurasi gateway VPN untuk jaringan virtual lokal. Konfigurasi gateway VPN mendefinisikan subnet dan alamat IP publik yang akan digunakan.

$vnet2 = Get-AzVirtualNetwork -Name $VNetnameOnprem -ResourceGroupName $RG1
$subnet2 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gwipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfNameOnprem `
-Subnet $subnet2 -PublicIpAddress $gwOnprempip

Sekarang, buat gateway VPN untuk jaringan virtual lokal. Konfigurasi jaringan-ke-jaringan memerlukan VpnType nilai RouteBased. Membuat gateway VPN sering kali membutuhkan waktu 45 menit atau lebih, tergantung pada SKU yang Anda pilih.

New-AzVirtualNetworkGateway -Name $GWOnpremName -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gwipconf2 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku basic

Membuat sambungan VPN

Buat koneksi VPN antara hub dan gateway lokal.

Dapatkan gateway VPN

$vnetHubgw = Get-AzVirtualNetworkGateway -Name $GWHubName -ResourceGroupName $RG1
$vnetOnpremgw = Get-AzVirtualNetworkGateway -Name $GWOnpremName -ResourceGroupName $RG1

Membuat koneksi

Dalam langkah ini, Anda akan membuat koneksi dari jaringan virtual hub ke jaringan virtual lokal. Contoh menunjukkan kunci bersama, tetapi Anda dapat menggunakan nilai Anda sendiri untuk kunci bersama. Yang penting kunci bersama harus cocok untuk kedua koneksi. Membuat sambungan hanya membutuhkan waktu singkat.

New-AzVirtualNetworkGatewayConnection -Name $ConnectionNameHub -ResourceGroupName $RG1 `
-VirtualNetworkGateway1 $vnetHubgw -VirtualNetworkGateway2 $vnetOnpremgw -Location $Location1 `
-ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'

Buat koneksi jaringan virtual dari lokal ke hub. Langkah ini mirip dengan yang sebelumnya, kecuali Anda membuat koneksi dari VNet-Onprem ke VNet-Hub. Pastikan kunci bersama cocok. Koneksi dibuat setelah beberapa menit.

New-AzVirtualNetworkGatewayConnection -Name $ConnectionNameOnprem -ResourceGroupName $RG1 `
-VirtualNetworkGateway1 $vnetOnpremgw -VirtualNetworkGateway2 $vnetHubgw -Location $Location1 `
-ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'

Memverifikasi koneksi

Anda dapat memverifikasi koneksi yang berhasil dengan menggunakan Get-AzVirtualNetworkGatewayConnection cmdlet, dengan atau tanpa -Debug.

Gunakan contoh cmdlet berikut, tetapi konfigurasikan nilai agar sesuai dengan milik Anda sendiri. Jika Diminta, pilih A untuk menjalankan All. Dalam contoh, -Name mengacu pada nama koneksi yang ingin Anda uji.

Get-AzVirtualNetworkGatewayConnection -Name $ConnectionNameHub -ResourceGroupName $RG1

Setelah cmdlet selesai, tampilkan nilainya. Contoh berikut menunjukkan status Connectedkoneksi , bersama dengan byte masuk dan keluar:

"connectionStatus": "Connected",
"ingressBytesTransferred": 33509044,
"egressBytesTransferred": 4142431

Menyerekkan jaringan virtual hub dan spoke

Sekarang, serekan jaringan virtual hub dan spoke:

# Peer hub to spoke
Add-AzVirtualNetworkPeering -Name HubtoSpoke -VirtualNetwork $VNetHub -RemoteVirtualNetworkId $VNetSpoke.Id -AllowGatewayTransit

# Peer spoke to hub
Add-AzVirtualNetworkPeering -Name SpoketoHub -VirtualNetwork $VNetSpoke -RemoteVirtualNetworkId $VNetHub.Id -AllowForwardedTraffic -UseRemoteGateways

Membuat rute

Gunakan perintah berikut untuk membuat rute ini:

  • Rute dari subnet gateway hub ke subnet spoke melalui alamat IP firewall
  • Rute default dari subnet spoke melalui alamat IP firewall
#Create a route table
$routeTableHubSpoke = New-AzRouteTable `
  -Name 'UDR-Hub-Spoke' `
  -ResourceGroupName $RG1 `
  -location $Location1

#Create a route
Get-AzRouteTable `
  -ResourceGroupName $RG1 `
  -Name UDR-Hub-Spoke `
  | Add-AzRouteConfig `
  -Name "ToSpoke" `
  -AddressPrefix $VNetSpokePrefix `
  -NextHopType "VirtualAppliance" `
  -NextHopIpAddress $AzfwPrivateIP `
 | Set-AzRouteTable

#Associate the route table to the subnet

Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $VNetHub `
  -Name $SNnameGW `
  -AddressPrefix $SNGWHubPrefix `
  -RouteTable $routeTableHubSpoke | `
Set-AzVirtualNetwork

#Now, create the default route

#Create a table, with BGP route propagation disabled. The property is now called "Virtual network gateway route propagation," but the API still refers to the parameter as "DisableBgpRoutePropagation."
$routeTableSpokeDG = New-AzRouteTable `
  -Name 'UDR-DG' `
  -ResourceGroupName $RG1 `
  -location $Location1 `
  -DisableBgpRoutePropagation

#Create a route
Get-AzRouteTable `
  -ResourceGroupName $RG1 `
  -Name UDR-DG `
  | Add-AzRouteConfig `
  -Name "ToFirewall" `
  -AddressPrefix 0.0.0.0/0 `
  -NextHopType "VirtualAppliance" `
  -NextHopIpAddress $AzfwPrivateIP `
 | Set-AzRouteTable

#Associate the route table to the subnet

Set-AzVirtualNetworkSubnetConfig `
  -VirtualNetwork $VNetSpoke `
  -Name $SNnameSpoke `
  -AddressPrefix $SNSpokePrefix `
  -RouteTable $routeTableSpokeDG | `
Set-AzVirtualNetwork

Membuat komputer virtual

Buat beban kerja spoke dan komputer virtual lokal, dan letakkan di subnet yang sesuai.

Membuat komputer virtual beban kerja

Buat komputer virtual di jaringan virtual spoke yang berjalan Layanan Informasi Internet (IIS), tidak memiliki alamat IP publik, dan memungkinkan ping masuk. Saat diminta, masukkan nama pengguna dan kata sandi untuk komputer virtual.

# Create an inbound network security group rule for ports 3389 and 80
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name Allow-RDP  -Protocol Tcp `
  -Direction Inbound -Priority 200 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix $SNSpokePrefix -DestinationPortRange 3389 -Access Allow
$nsgRuleWeb = New-AzNetworkSecurityRuleConfig -Name Allow-web  -Protocol Tcp `
  -Direction Inbound -Priority 202 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix $SNSpokePrefix -DestinationPortRange 80 -Access Allow

# Create a network security group
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $RG1 -Location $Location1 -Name NSG-Spoke02 -SecurityRules $nsgRuleRDP,$nsgRuleWeb

#Create the NIC
$NIC = New-AzNetworkInterface -Name spoke-01 -ResourceGroupName $RG1 -Location $Location1 -SubnetId $VnetSpoke.Subnets[0].Id -NetworkSecurityGroupId $nsg.Id

#Define the virtual machine
$VirtualMachine = New-AzVMConfig -VMName VM-Spoke-01 -VMSize "Standard_DS2"
$VirtualMachine = Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName Spoke-01 -ProvisionVMAgent -EnableAutoUpdate
$VirtualMachine = Add-AzVMNetworkInterface -VM $VirtualMachine -Id $NIC.Id
$VirtualMachine = Set-AzVMSourceImage -VM $VirtualMachine -PublisherName 'MicrosoftWindowsServer' -Offer 'WindowsServer' -Skus '2016-Datacenter' -Version latest

#Create the virtual machine
New-AzVM -ResourceGroupName $RG1 -Location $Location1 -VM $VirtualMachine -Verbose

#Install IIS on the VM
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName IIS `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server"}' `
    -Location $Location1

#Create a host firewall rule to allow pings in
Set-AzVMExtension `
    -ResourceGroupName $RG1 `
    -ExtensionName IIS `
    -VMName VM-Spoke-01 `
    -Publisher Microsoft.Compute `
    -ExtensionType CustomScriptExtension `
    -TypeHandlerVersion 1.4 `
    -SettingString '{"commandToExecute":"powershell New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4"}' `
    -Location $Location1

Membuat komputer virtual lokal

Buat komputer virtual sederhana yang dapat Anda gunakan untuk terhubung melalui akses jarak jauh ke alamat IP publik. Dari sana, Anda dapat terhubung ke server lokal melalui firewall. Saat diminta, masukkan nama pengguna dan kata sandi untuk komputer virtual.

New-AzVm `
    -ResourceGroupName $RG1 `
    -Name "VM-Onprem" `
    -Location $Location1 `
    -VirtualNetworkName $VNetnameOnprem `
    -SubnetName $SNNameOnprem `
    -OpenPorts 3389 `
    -Size "Standard_DS2"

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Menguji firewall

  1. Dapatkan lalu catat alamat IP privat untuk komputer virtual VM-spoke-01 :

    $NIC.IpConfigurations.privateipaddress

  2. Dari portal Microsoft Azure, sambungkan ke komputer virtual VM-Onprem.

  3. Buka prompt perintah Windows PowerShell pada VM-Onprem, dan ping IP privat untuk VM-spoke-01. Anda harus mendapatkan balasan.

  4. Buka browser web di VM-Onprem, dan telusuri ke http://<VM-spoke-01 private IP>. Halaman default IIS harus terbuka.

  5. Dari VM-Onprem, buka koneksi akses jarak jauh ke VM-spoke-01 di alamat IP privat. Koneksi Anda akan berhasil, dan Anda harus dapat masuk dengan menggunakan nama pengguna dan kata sandi yang Anda pilih.

Sekarang setelah Anda memverifikasi bahwa aturan firewall berfungsi, Anda dapat:

  • Ping server di jaringan virtual spoke.
  • Telusuri ke server web pada jaringan virtual spoke.
  • Sambungkan ke server di jaringan virtual spoke dengan menggunakan RDP.

Selanjutnya, jalankan skrip berikut untuk mengubah tindakan pengumpulan aturan jaringan firewall menjadi Deny:

$rcNet = $azfw.GetNetworkRuleCollectionByName("RCNet01")
$rcNet.action.type = "Deny"

Set-AzFirewall -AzureFirewall $azfw

Tutup koneksi akses jarak jauh yang ada. Jalankan pengujian lagi untuk menguji aturan yang diubah. Mereka semua harus gagal kali ini.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya. Jika Anda tidak lagi membutuhkannya, hapus grup sumber daya FW-Hybrid-Test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Memantau log Azure Firewall