# Azure Firewall lab 本次LAB會做到以下測試 - 透過防火牆公用IP遠端桌面連線至後端伺服器 - 限制後端伺服器對外可瀏覽之網頁 - 透過防火牆公用IP連線至後端IIS伺服器 --- 建立防火牆虛擬網路  先不啟用Azure防火牆，這邊建立的話會建立標準SKU的火牆，若是需要其他SKU則需要在Azure防火牆處另外建立  子網路設定，AzureFirewallManagementSubnet及AzureFirewallSubnet都至少需給予/26網段，另外建立測試用的Workload-SN子網路  建立完成  建立測試用的虛擬機器，本次測試會都過Azure防火牆來對此台VM做各種連線，所以不須開啟RDP連線，也不須設定公用IP及網路安全群組  建立完VM後至網路介面修改DNS伺服器為168.95.1.1，修改DNS需重新啟用VM  開始建立Azure防火牆  建立新的防火牆原則  選擇使用前面建立的虛擬網路，會自動找到AzureFirewallSubnet作為子網路  確認沒問題後開始建立Azure防火牆  建立路由表  開啟剛剛建立的Azure防火牆將私人IP記錄下來，公用IP也可以先點選進去記錄下來，後面會用到  記錄公用IP  在路由表中側邊點選路由，並新增路由，目的地IP輸入0.0.0.0/0，下一個躍點類型選擇虛擬設備，也就是我們建立的Azure防火牆，下一個躍點位址輸入我們前面步驟記錄下來的私人IP  路由建立完成  在路由表中側邊點選子網路，並關聯我們建立的Workload-SN子網路  子網路關聯完成  回到Azure防火牆，可以在下方看到目前都還沒有設定任何Rules，點選fwpol1進入防火牆原則開始設定Rules  建立應用程式規則，選擇新增規則集合  新增一條規則，來源設定為我們前面建立的VM的私人IP，通訊協定輸入http,https，目的地輸入www.google.com，設定此條規則後，我們建立的VM就能瀏覽到www.google.com  應用程式規則新增完成  建立網路規則，選擇新增規則集合  來源輸入我們建立的VM私人IP，通訊協定UDP，目的地port輸入53，目的地168.95.1.1，此條規則會將VM的DNS流量導向中華電信的168.95.1.1  網路規則設定完成  建立DNAT規則，選擇新增規則集合  來源IP輸入*或是您的固定IP，通訊協定TCP，目的地port輸入3389，目的地輸入我們前面步驟記錄下來的防火牆公用IP  要轉譯過去的IP輸入我們建立的VM之私人IP，port輸入3389  DNAT規則設定完成  在Azure防火牆概觀頁面可以看到剛剛建立的Rules  使用遠端桌面連線Azure防火牆公用IP  可以發現RDP正確被導向到我們建立的VM  進入VM後查案DNS Server正確指向我們設定的中華電信168.95.1.1  因為我們有設定應用程式規則，開啟瀏覽器連線www.google.com可以正常連線  連線到www.bing.com則無法通過  --- 接下來的內容以文字說明 首先在遠端進去的VM，安裝IIS站台，安裝完成後測試在本機可以瀏覽到IIS歡迎頁面 確認在本機可以正常瀏覽後，找一台任意電腦，開啟瀏覽器輸入防火牆的公用IP，也要可以看到IIS歡迎畫面，本次LAB要達成之測試就都完成了！ 後續還可以做的個人練習： 建立Hub and Spoke之網路架構，將Azure防火牆建立在Hub虛擬網路，IIS站台放置Spoke虛擬網路，需要能透過Azure防火牆公用IP連線至IIS站台之RDP及HTTP服務 結合Application Gateway，就會有很多種玩法了，參考此篇文章，建立Azure防火牆與Application Gateay的平行架構，達到以下表格之流程