Tutoriel : Déployer et configurer le Pare-feu Azure et une stratégie de pare-feu dans un réseau hybride en utilisant le portail Azure

  • Article

Lorsque vous connectez votre réseau local à un réseau virtuel Azure pour créer un réseau hybride, la possibilité de contrôler l’accès à vos ressources réseau Azure représente une part importante dans un plan de sécurité générale.

Vous pouvez utiliser le Pare-feu Azure et une stratégie de pare-feu pour contrôler l’accès réseau d’un réseau hybride à l’aide de règles qui définissent le trafic réseau autorisé et refusé.

Pour ce tutoriel, vous créez trois réseaux virtuels :

  • VNet-Hub : Le pare-feu se trouve dans ce réseau virtuel.
  • VNet-Spoke : Le réseau virtuel spoke correspond à la charge de travail sur Azure.
  • VNet-Onprem : Le réseau virtuel local représente un réseau local. Dans un déploiement réel, il peut être connecté via un VPN ou une connexion ExpressRoute. Par souci de simplicité, ce tutoriel utilise une connexion de passerelle VPN, sachant qu’un réseau virtuel situé sur Azure est utilisé pour représenter un réseau local.

Pare-feu dans un réseau hybride

Dans ce tutoriel, vous allez apprendre à :

  • Créer le réseau virtuel du hub de pare-feu
  • Créer le réseau virtuel spoke
  • Créer le réseau virtuel local
  • Configurer et déployer le pare-feu et la stratégie
  • Créer et connecter les passerelles VPN
  • Appairer les réseaux virtuels hub et spoke
  • Créer les itinéraires
  • Créer les machines virtuelles
  • Tester le pare-feu

Si vous souhaitez plutôt utiliser Azure PowerShell pour suivre cette procédure, consultez Déployer et configurer un Pare-feu Azure dans un réseau hybride à l’aide d’Azure PowerShell.

Prérequis

Un réseau hybride utilise le modèle d’architecture Hub and Spoke pour router le trafic entre des réseaux virtuels Azure et des réseaux locaux. L’architecture Hub and Spoke présente les conditions suivantes :

  • Définissez Utiliser la passerelle ou le serveur de routes de ce réseau virtuel pendant le peering de VNet-Hub et VNet-Spoke. Dans une architecture réseau Hub and Spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi de devoir déployer des passerelles VPN dans chaque réseau virtuel spoke.

    De plus, les routes vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés automatiquement aux tables de routage pour les réseaux virtuels homologués à l’aide du transit par passerelle. Pour plus d’informations, consultez Configurer le transit par passerelle VPN pour le peering de réseaux virtuels.

  • Définissez Utiliser les passerelles ou le serveur de routes du réseau virtuel distant pendant le peering de VNet-Spoke et VNet-Hub. Si Utiliser les passerelles ou le serveur de routes du réseau virtuel distant est défini en même temps que Utiliser la passerelle ou le serveur de routes de ce réseau virtuel sur le peering distant, le réseau virtuel spoke utilise les passerelles du réseau virtuel distant pour le transit.

  • Pour router le trafic de sous-réseau spoke par le biais du pare-feu de hub, vous pouvez utiliser une route définie par l’utilisateur (UDR, User-Defined Route) qui pointe vers le pare-feu avec l’option Propagation de la route de la passerelle de réseau virtuel désactivée. L’option désactivée Propagation de la route de la passerelle de réseau virtuel empêche la distribution des routes vers les sous-réseaux spoke. Cela empêche que les routes apprises entrent en conflit avec votre UDR. Si vous souhaitez conserver la Propagation de la route de la passerelle de réseau virtuel activée, veillez à définir des routes spécifiques vers le pare-feu pour remplacer celles qui sont publiées à partir du site local sur le protocole BGP.

  • Vous devez configurer une UDR sur le sous-réseau de passerelle hub qui pointe vers l’adresse IP du pare-feu comme prochain tronçon vers les réseaux spoke. Aucun UDR n’est requis sur le sous-réseau du Pare-feu Azure, puisqu’il apprend les itinéraires à partir de BGP.

Consultez la section Créer des itinéraires de ce didacticiel pour voir comment ces itinéraires sont créés.

Notes

Le Pare-feu Azure doit avoir une connectivité Internet directe. Si votre AzureFirewallSubnet prend connaissance d’un itinéraire par défaut pour votre réseau local via le protocole BGP, vous devez le remplacer par un UDR 0.0.0.0/0 avec la valeur NextHopType définie sur Internet pour garantir une connectivité Internet directe.

Le Pare-feu Azure peut être configuré pour prendre en charge le tunneling forcé. Pour plus d’informations, consultez la page Tunneling forcé du Pare-feu Azure.

Notes

Le trafic entre les réseaux virtuels directement appairés est acheminé directement même si l’UDR pointe vers le Pare-feu Azure en tant que passerelle par défaut. Pour envoyer un trafic de sous-réseau à sous-réseau au pare-feu dans ce scénario, un UDR doit contenir explicitement le préfixe du réseau cible dans les deux sous-réseaux.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer le réseau virtuel du hub de pare-feu

Tout d’abord, créez le groupe de ressources qui doit contenir les ressources de ce tutoriel :

  1. Connectez-vous au portail Azure.
  2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources>Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Nom du groupe de ressources, tapez FW-Hybrid-Test.
  5. Pour Région, sélectionnez (États-Unis) USA Est. Toutes les ressources que vous créez par la suite doivent se trouver dans le même emplacement.
  6. Sélectionnez Vérifier + créer.
  7. Sélectionnez Create (Créer).

À présent, créez le réseau virtuel :

Notes

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Sous Mise en réseau, sélectionnez Réseau virtuel.
  3. Sélectionnez Create (Créer).
  4. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.
  5. Dans le champ Nom, tapez VNet-hub.
  6. Sélectionnez Suivant : Adresses IP.
  7. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 10.5.0.0/16.
  8. Sous Nom du sous-réseau, sélectionnez Ajouter un sous-réseau.
  9. Sous Nom du sous-réseau, entrez AzureFirewallSubnet. Le pare-feu se trouvera dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.
  10. Pour Plage d’adresses de sous-réseau, tapez 10.5.0.0/26.
  11. Sélectionnez Ajouter.
  12. Sélectionnez Revoir + créer.
  13. Sélectionnez Create (Créer).

Créer le réseau virtuel spoke

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans Mise en réseau, sélectionnez Réseau virtuel.
  3. Sélectionnez Create (Créer).
  4. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.
  5. Pour Nom, tapez VNet-Spoke.
  6. Pour Région, sélectionnez (États-Unis) USA Est.
  7. Sélectionnez Suivant : Adresses IP.
  8. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 10.6.0.0/16.
  9. Sous Nom du sous-réseau, sélectionnez Ajouter un sous-réseau.
  10. Pour Nom du sous-réseau, tapez SN-Workload.
  11. Pour Plage d’adresses de sous-réseau, tapez 10.6.0.0/24.
  12. Sélectionnez Ajouter.
  13. Sélectionnez Revoir + créer.
  14. Sélectionnez Create (Créer).

Créer le réseau virtuel local

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans Mise en réseau, sélectionnez Réseau virtuel.
  3. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.
  4. Pour Nom, tapez VNet-OnPrem.
  5. Pour Région, sélectionnez (États-Unis) USA Est.
  6. Sélectionnez Suivant : Adresses IP
  7. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 192.168.0.0/16.
  8. Sous Nom du sous-réseau, sélectionnez Ajouter un sous-réseau.
  9. Pour Nom du sous-réseau, tapez SN-Corp.
  10. Pour Plage d’adresses de sous-réseau, tapez 192.168.1.0/24.
  11. Sélectionnez Ajouter.
  12. Sélectionnez Revoir + créer.
  13. Sélectionnez Create (Créer).

À présent, créez un second sous-réseau pour la passerelle.

  1. Sur la page VNet-Onprem, sélectionnez Sous-réseaux.
  2. Sélectionnez +Sous-réseau.
  3. Pour Nom, tapez GatewaySubnet.
  4. Pour Plage d’adresses du sous-réseau, entrez 192.168.2.0/24.
  5. Sélectionnez Enregistrer.

Configurer et déployer le pare-feu

À présent, déployez le pare-feu dans le réseau virtuel du hub de pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Dans la colonne de gauche, sélectionnez Mise en réseau, puis recherchez et sélectionnez Pare-feu, et enfin sélectionnez Créer.

  3. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Abonnement <votre abonnement>
    Resource group FW-Hybrid-Test
    Nom AzFW01
    Région USA Est
    Niveau de pare-feu Standard
    Gestion de pare-feu Utiliser une stratégie de pare-feu pour gérer ce pare-feu
    Stratégie de pare-feu Ajouter nouveau :
    hybrid-test-pol
    USA Est
    Choisir un réseau virtuel Utiliser l’existant :
    VNet-hub
    Adresse IP publique Ajouter nouveau :
    fw-pip

  4. Sélectionnez Revoir + créer.

  5. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

    Le déploiement prend quelques minutes.

  6. Une fois le déploiement terminé, accédez au groupe de ressources FW-Hybrid-Test, puis sélectionnez le pare-feu AzFW01.

  7. Notez l’adresse IP privée. Vous l’utiliserez plus tard lors de la création de l’itinéraire par défaut.

Configurer des règles de réseau

Tout d’abord, ajoutez une règle de réseau pour autoriser le trafic web.

  1. Dans le groupe de ressources FW-Hybrid-Test, sélectionnez la stratégie de pare-feu hybrid-test-pol.
  2. Sélectionnez Règles de réseau.
  3. Sélectionnez Ajouter une collection de règles.
  4. Dans le champ Nom, tapez RCNet01.
  5. Pour Priorité, tapez 100.
  6. Pour Action de collection de règles, sélectionnez Autoriser.
  7. Sous Règles, pour Nom, tapez AllowWeb.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, tapez 192.168.1.0/24.
  10. Pour Protocole, sélectionnez TCP.
  11. Pour Ports de destination, tapez 80.
  12. Pour Type de destination, sélectionnez Adresse IP.
  13. Pour Destination, tapez 10.6.0.0/16.

À présent, ajoutez une règle pour autoriser le trafic RDP.

Sur la deuxième ligne de la règle, tapez les informations suivantes :

  1. Pour Nom, tapez AllowRDP.
  2. Pour Type de source, sélectionnez Adresse IP.
  3. Pour Source, tapez 192.168.1.0/24.
  4. Pour Protocole, sélectionnez TCP.
  5. Pour Ports de destination, tapez 3389.
  6. Pour Type de destination, sélectionnez Adresse IP.
  7. Pour Destination, tapez 10.6.0.0/16.
  8. Sélectionnez Ajouter.

Créer et connecter les passerelles VPN

Les réseaux virtuels hub et local sont connectés via des passerelles VPN.

Créer une passerelle VPN pour le réseau virtuel hub

Maintenant, créez la passerelle VPN pour le réseau virtuel hub. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type RouteBased. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle VPN sélectionnée.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, tapez passerelle de réseau virtuel.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Dans le champ Nom, tapez GW-hub.
  5. Pour Région, sélectionnez la même région que celle utilisée précédemment.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour Référence (SKU) , sélectionnez De base.
  9. Pour Réseau virtuel, sélectionnez VNet-hub.
  10. Pour Adresse IP publique, sélectionnez Créer nouveau, puis tapez le nom VNet-hub-GW-pip.
  11. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  12. Vérifiez la configuration, puis sélectionnez Créer.

Créer une passerelle VPN pour le réseau virtuel local

À présent, créez la passerelle VPN pour le réseau virtuel local. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type RouteBased. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle VPN sélectionnée.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez passerelle de réseau virtuel dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Pour Nom, tapez GW-Onprem.
  5. Pour Région, sélectionnez la même région que celle utilisée précédemment.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour Référence (SKU) , sélectionnez De base.
  9. Pour Réseau virtuel, sélectionnez VNet-Onprem.
  10. Pour Adresse IP publique, sélectionnez Créer nouveau, puis tapez le nom VNet-Onprem-GW-pip.
  11. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  12. Vérifiez la configuration, puis sélectionnez Créer.

Créer les connexions VPN

Vous pouvez maintenant créer les connexions VPN entre les passerelles hub et locale.

Dans cette étape, vous créez la connexion entre le réseau virtuel hub et le réseau virtuel local. Une clé partagée est référencée dans les exemples. Vous pouvez utiliser vos propres valeurs pour cette clé partagée. Il est important que la clé partagée corresponde aux deux connexions. La création d’une connexion peut prendre quelques instants.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez la passerelle GW-hub.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, tapez Hub-to-Onprem.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Pour Passerelle du deuxième réseau virtuel, sélectionnez GW-Onprem.
  7. Pour Clé partagée (PSK) , tapez AzureA1b2C3.
  8. Sélectionnez OK.

Créez la connexion entre les réseaux virtuels hub et local. Cette étape est similaire à la précédente, sauf que vous créez la connexion du réseau virtuel OnPrem vers le réseau virtuel hub. Vérifiez que les clés partagées correspondent. Après quelques minutes, la connexion est établie.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez la passerelle GW-Onprem.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, tapez Onprem-to-Hub.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Pour Passerelle du deuxième réseau virtuel, sélectionnez GW-hub.
  7. Pour Clé partagée (PSK) , tapez AzureA1b2C3.
  8. Sélectionnez OK.

Vérifier la connexion

Après environ cinq minutes, l’état des deux connexions doit être Connecté.

Connexions de passerelle

Appairer les réseaux virtuels hub et spoke

À présent, appairez les réseaux virtuels hub et spoke.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez le réseau virtuel VNet-hub.

  2. Dans la colonne de gauche, sélectionnez Peerings.

  3. Sélectionnez Ajouter.

  4. Sous Ce réseau virtuel :

    Nom du paramètre Valeur
    Nom du lien de peering HubtoSpoke
    Trafic vers le réseau virtuel distant Autoriser (par défaut)
    Trafic transféré à partir du réseau virtuel distant Autoriser (par défaut)
    Passerelle de réseau virtuel Utiliser la passerelle de ce réseau virtuel

  5. Sous Réseau virtuel distant :

    Nom du paramètre Valeur
    Nom du lien de peering SpoketoHub
    Modèle de déploiement de réseau virtuel Gestionnaire des ressources
    Abonnement <votre abonnement>
    Réseau virtuel VNet-Spoke
    Trafic vers le réseau virtuel distant Autoriser (par défaut)
    Trafic transféré à partir du réseau virtuel distant Autoriser (par défaut)
    Passerelle de réseau virtuel Utiliser la passerelle du réseau virtuel distant

  6. Sélectionnez Ajouter.

    VNET Peering

Créer les itinéraires

Ensuite, créez deux itinéraires :

  • Un itinéraire à partir du sous-réseau de passerelle hub vers le sous-réseau spoke via l’adresse IP du pare-feu
  • Un itinéraire par défaut à partir du sous-réseau spoke via l’adresse IP du pare-feu
  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez table de routage dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Table de routage.
  4. Sélectionnez Create (Créer).
  5. Sélectionnez le groupe de ressources FW-Hybrid-Test.
  6. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  7. Pour le nom, tapez UDR-Hub-Spoke.
  8. Sélectionnez Vérifier + créer.
  9. Sélectionnez Create (Créer).
  10. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  11. Sélectionnez Routes dans la colonne de gauche.
  12. Sélectionnez Ajouter.
  13. Pour le nom de la route, tapez ToSpoke.
  14. Pour Destination du préfixe d’adresse, sélectionnez Adresses IP.
  15. Pour Plages d’adresses IP/CIDR de destination, saisissez 10.6.0.0/16.
  16. Pour le type de tronçon suivant, sélectionnez Appliance virtuelle.
  17. Pour l’adresse du tronçon suivant, tapez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  18. Sélectionnez Ajouter.

À présent, associez la route au sous-réseau.

  1. Sur la page UDR-Hub-Spoke - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-hub.
  4. Sous Sous-réseau, sélectionnez GatewaySubnet.
  5. Sélectionnez OK.

À présent, créez la route par défaut à partir du sous-réseau spoke.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez table de routage dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Table de routage.
  4. Sélectionnez Create (Créer).
  5. Sélectionnez le groupe de ressources FW-Hybrid-Test.
  6. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  7. Pour le nom, tapez UDR-DG.
  8. Pour Propager la route de la passerelle, sélectionnez Non.
  9. Sélectionnez Vérifier + créer.
  10. Sélectionnez Create (Créer).
  11. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  12. Sélectionnez Routes dans la colonne de gauche.
  13. Sélectionnez Ajouter.
  14. Pour le nom de la route, tapez ToHub.
  15. Pour Destination du préfixe d’adresse, sélectionnez Adresses IP.
  16. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.
  17. Pour le type de tronçon suivant, sélectionnez Appliance virtuelle.
  18. Pour l’adresse du tronçon suivant, tapez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  19. Sélectionnez Ajouter.

À présent, associez la route au sous-réseau.

  1. Sur la page UDR-DG - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-spoke.
  4. Sous Sous-réseau, sélectionnez SN-Workload.
  5. Sélectionnez OK.

Créer des machines virtuelles

Maintenant, créez les machines virtuelles de charge de travail spoke et locale, et placez-les dans les sous-réseaux appropriés.

Créer la machine virtuelle de charge de travail

Créez une machine virtuelle dans le réseau virtuel spoke, exécutant IIS, sans adresse IP publique.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.
  3. Entrez ces valeurs pour la machine virtuelle :
    • Groupe de ressources - Sélectionnez FW-Hybrid-Test
    • Nom de la machine virtuelle : VM-Spoke-01
    • Région : région que vous avez utilisée précédemment
    • Nom d’utilisateur : <tapez un nom d’utilisateur>
    • Mot de passe : <saisissez un mot de passe>.
  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez HTTP (80) et RDP (3389).
  5. Sélectionnez Suivant : Disques.
  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.
  7. Sélectionnez VNet-Spoke pour le réseau virtuel et SN-Workload pour le sous-réseau.
  8. Pour Adresse IP publique, sélectionnez Aucune.
  9. Sélectionnez Suivant : Gestion.
  10. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  11. Sélectionnez Vérifier + Créer, vérifiez les paramètres sur la page de résumé, puis sélectionnez Créer.

Installer IIS

Une fois la machine virtuelle créée, installez IIS.

  1. Dans le portail Azure, ouvrez Cloud Shell et assurez-vous qu’il est défini sur PowerShell.

  2. Exécutez la commande suivante pour installer IIS sur la machine virtuelle et modifier l’emplacement si nécessaire :

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Créer la machine virtuelle locale

Il s’agit d’une machine virtuelle que vous utilisez pour vous connecter au moyen du Bureau à distance et de l’adresse IP publique. À partir de là, vous vous connectez au serveur local via le pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.
  3. Entrez ces valeurs pour la machine virtuelle :
    • Groupe de ressources : sélectionnez Existant, puis FW-Hybrid-Test.
    • Nom de la machine virtuelle - VM-Onprem.
    • Région : région que vous avez utilisée précédemment.
    • Nom d’utilisateur : <tapez un nom d’utilisateur>.
    • Mot de passe : <saisissez un mot de passe d’utilisateur>.
  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez RDP (3389) .
  5. Sélectionnez Suivant : Disques.
  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Réseaux.
  7. Sélectionnez VNet-Onprem pour le réseau virtuel et SN-Corp pour le sous-réseau.
  8. Sélectionnez Suivant : Gestion.
  9. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  10. Sélectionnez Vérifier + Créer, vérifiez les paramètres sur la page de résumé, puis sélectionnez Créer.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Tester le pare-feu

  1. Tout d’abord, notez l’adresse IP privée de la machine virtuelle VM-spoke-01.

  2. À partir du portail Azure, connectez-vous à la machine virtuelle VM-Onprem.

  3. Ouvrez un navigateur web sur VM-Onprem et accédez à http://<adresse IP privée de VM-spoke-01>.

    La page web VM-spoke-01 doit s’afficher : Page web VM-Spoke-01

  4. À partir de la machine virtuelle VM-Onprem, ouvrez une session de Bureau à distance sur VM-spoke-01 à l’adresse IP privée.

    La connexion doit réussir et vous devriez pouvoir vous connecter.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez parcourir le serveur web sur le réseau virtuel spoke.
  • Vous pouvez vous connecter au serveur sur le réseau virtuel spoke à l’aide de RDP.

Modifiez ensuite l’action de collecte des règles du réseau de pare-feu en Refuser pour vérifier que les règles de pare-feu fonctionnent comme prévu.

  1. Sélectionnez la stratégie de pare-feu hybrid-test-pol.
  2. Sélectionnez Collection de règles.
  3. Sélectionnez la collection de règles RCNet01.
  4. Comme Action de collection de règles, sélectionnez Refuser.
  5. Sélectionnez Enregistrer.

Fermez les bureaux à distance existants avant de tester les règles modifiées. Maintenant, réexécutez les tests. Cette fois, ils doivent échouer.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu pour le prochain didacticiel, ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources FW-Hybrid-Test pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Déployer et configurer le Pare-feu Azure Premium