Comment bloquer le trafic réseau avec Azure Virtual Network Manager : Portail Azure

  • Article

Cet article explique comment créer une règle d’administration de la sécurité pour bloquer le trafic réseau entrant sur le port RDP 3389 que vous pouvez ajouter à une collection de règles. Pour plus d’informations, consultez Règles d’administration de la sécurité.

Important

Azure Virtual Network Manager est en disponibilité générale pour Virtual Network Manager, les configurations de connectivité hub-and-spoke et les configurations de sécurité avec des règles d’administration de sécurité. Les configurations de connectivité de maillage restent en préversion publique.

Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Prérequis

Avant de commencer à configurer les règles d’administration de la sécurité, vérifiez que vous avez effectué les étapes suivantes :

Créer une configuration SecurityAdmin

  1. Sous Paramètres, sélectionnez Configurations, puis choisissez + Créer.

    Capture d’écran de l’ajout d’une configuration de l’administration de la sécurité.

  2. Sélectionnez Configuration de la sécurité dans le menu déroulant.

    Capture d’écran du menu déroulant d’ajout d’une configuration.

  3. Sous l’onglet Informations de base, entrez un N pour identifier cette configuration de sécurité, puis sélectionnez Suivant : Collections de règles.

    Capture d’écran du champ de nom de la configuration de sécurité.

Ajouter une collection de règles

  1. Entrez un Nom pour identifier cette collection de règles, puis sélectionnez les Groupes de réseaux cibles auxquels vous voulez appliquer cet ensemble de règles.

    Capture d’écran du nom de la collection de règles et des groupes de réseaux cibles.

Ajouter une règle de sécurité

  1. Sélectionnez + Ajouter dans la page Ajouter une collection de règles.

    Capture d’écran du bouton ajouter une règle.

  2. Entrez ou sélectionnez les informations suivantes, puis sélectionnez Ajouter pour ajouter la règle à la collection de règles.

    Capture d’écran de la page Ajouter une règle.

    Paramètre Valeur
    Nom Entrez le nom Deny_RDP pour le nom de la règle.
    Description Entrez la description de la règle.
    Priorité* Entrez une valeur comprise entre 0 et 99 pour déterminer la priorité de la règle. Plus la valeur est faible, plus la priorité est élevée. Entrez 1 pour cet exemple.
    Action* Sélectionnez Refuser pour bloquer le trafic. Pour plus d’informations, consultez Action.
    Direction* Sélectionnez Entrant, comme vous souhaitez refuser le trafic entrant avec cette règle.
    Protocole* Sélectionnez le protocole TCP. HTTP et HTTPs sont des ports TCP.
    Source
    Type de source Sélectionnez le type de source adresse IP ou balises de service.
    Adresses IP sources Ce champ s’affiche lorsque vous sélectionnez le type de source Adresse IP. Entrez une adresse IPv4 ou IPv6 ou une plage à l’aide de la notation CIDR. Lors de la définition de plusieurs adresses ou blocs d’adresses séparés par une virgule. Laissez le champ vide pour cet exemple.
    Balise du service source Ce champ s’affiche lorsque vous sélectionnez le type de source Étiquette de service. Sélectionnez la ou les balises de service pour les services que vous souhaitez spécifier comme source. Pour obtenir la liste des balises prises en charge, consultez balises de service disponibles.
    Port source Entrez un numéro de port unique ou une plage de ports, par exemple (1024-65535). Lorsque vous définissez plusieurs ports ou plages de ports, séparez-les par une virgule. Pour spécifier n’importe quel port, entrez *. Laissez le champ vide pour cet exemple.
    Destination
    Type de destination Sélectionnez le type de destination Adresse IP ou Balises de service.
    Adresses IP de destination Ce champ s’affiche lorsque vous sélectionnez le type de destination Adresse IP. Entrez une adresse IPv4 ou IPv6 ou une plage à l’aide de la notation CIDR. Lors de la définition de plusieurs adresses ou blocs d’adresses séparés par une virgule.
    Identification de destination Ce champ s’affiche lorsque vous sélectionnez le type de destination Étiquette de service. Sélectionnez la ou les balises de service pour les services que vous souhaitez spécifier comme destination. Pour obtenir la liste des balises prises en charge, consultez balises de service disponibles.
    Port de destination Entrez un numéro de port unique ou une plage de ports, par exemple (1024-65535). Lorsque vous définissez plusieurs ports ou plages de ports, séparez-les par une virgule. Pour spécifier n’importe quel port, entrez *. Entrez 3389 pour cet exemple.

  3. Répétez les étapes 1-3 pour ajouter d’autres règles à la collection de règles.

  4. Une fois que vous êtes satisfait de toutes les règles que vous voulez créer, sélectionnez Enregistrer pour ajouter la collection de règles à la configuration d’administration de la sécurité.

    Capture d’écran d’une collection de règles.

  5. Sélectionnez ensuite Vérifier + créer, puis Créer pour terminer la configuration de sécurité.

Déployer la configuration de l’administration de la sécurité

Si vous venez de créer une nouvelle configuration d’administrateur de sécurité, veillez à déployer cette configuration pour l’appliquer aux réseaux virtuels du groupe réseau.

  1. Sélectionnez Déploiements sous Paramètres, puis Déployer une configuration.

    Capture d’écran du bouton Déployer une configuration.

  2. Activez la case à cocher Inclure l’administration de la sécurité dans votre état visé et choisissez la configuration de sécurité que vous avez créée dans la dernière section du menu déroulant. Choisissez ensuite la ou les régions où vous voulez déployer cette configuration.

    Capture d’écran montrant le déploiement d’une configuration de sécurité.

  3. Sélectionnez Suivant et Déployer pour déployer la configuration d’administration de la sécurité.

Mettre à jour la configuration de l’administration de la sécurité existante

  • Si la configuration de l’administration de la sécurité que vous mettez à jour est appliquée à un groupe réseau contenant des membres statiques, vous devez redéployer la configuration pour qu’elle prenne effet.
  • Les configurations d’administration de la sécurité sont appliquées automatiquement aux membres dynamiques dans un groupe réseau.

Vérifier les règles d’administration de la sécurité

Accédez aux paramètres de réseau pour une des machines virtuelles dans l’un des réseaux virtuels auxquels vous avez appliqué les règles d’administration de la sécurité. Si vous n’en avez pas, déployez une machine virtuelle de test dans l’un des réseaux virtuels. La machine virtuelle comporte une nouvelle section sous les règles de groupe de sécurité réseau, notamment les règles de sécurité appliquées par Azure Virtual Network Manager.

Capture d’écran des règles d’administration de sécurité dans les paramètres réseau de la machine virtuelle.

Étapes suivantes

En savoir plus sur les Règles d’administration de la sécurité.