Share via

Tutoriel : Sécuriser votre réseau virtuel hub à l’aide d’Azure Firewall Manager

  • Article

Lorsque vous connectez votre réseau local à un réseau virtuel Azure pour créer un réseau hybride, la possibilité de contrôler l’accès à vos ressources réseau Azure représente une part importante dans un plan de sécurité générale.

À l’aide d’Azure Firewall Manager, vous pouvez créer un réseau virtuel hub pour sécuriser le trafic de votre réseau hybride à destination d’adresses IP privées, d’Azure PaaS et d’Internet. Vous pouvez utiliser Azure Firewall Manager pour contrôler l’accès réseau d’un réseau hybride à l’aide de stratégies définissant le trafic réseau autorisé et refusé.

Firewall Manager prend également en charge une architecture de hub virtuel sécurisé. Pour obtenir une comparaison des types d’architectures de hub virtuel sécurisé et de réseau virtuel hub, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?

Pour ce tutoriel, vous créez trois réseaux virtuels :

  • VNet-Hub : Le pare-feu se trouve dans ce réseau virtuel.
  • VNet-Spoke : Le réseau virtuel spoke correspond à la charge de travail sur Azure.
  • VNet-Onprem : Le réseau virtuel local représente un réseau local. Dans un déploiement réel, il peut être connecté à l'aide d'une connexion VPN ou ExpressRoute. Par souci de simplicité, ce tutoriel utilise une connexion de passerelle VPN, sachant qu’un réseau virtuel situé sur Azure est utilisé pour représenter un réseau local.

Hybrid network

Dans ce tutoriel, vous allez apprendre à :

  • Créer une stratégie de pare-feu
  • Créer les réseaux virtuels
  • Configurer et déployer le pare-feu
  • Créer et connecter les passerelles VPN
  • Appairer les réseaux virtuels hub et spoke
  • Créer les itinéraires
  • Créer les machines virtuelles
  • Tester le pare-feu

Prérequis

Un réseau hybride utilise le modèle d’architecture Hub and Spoke pour router le trafic entre des réseaux virtuels Azure et des réseaux locaux. L’architecture Hub and Spoke présente les conditions suivantes :

  • Vous devez définir AllowGatewayTransit lors du Peering de VNet-Hub à VNet-Spoke. Dans une architecture réseau Hub and Spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi de devoir déployer des passerelles VPN dans chaque réseau virtuel spoke.

    De plus, les routes vers les réseaux virtuels connectés à la passerelle ou les réseaux sur site sont automatiquement propagées vers les tables de routage des réseaux virtuels appairés à l'aide du transit de passerelle. Pour plus d’informations, consultez Configurer le transit par passerelle VPN pour le peering de réseaux virtuels.

  • Vous devez définir UseRemoteGateways lors du Peering de VNet-Spoke à VNet-Hub. Si UseRemoteGateways avec est défini et que AllowGatewayTransit sur le Peering distant est également défini, le réseau virtuel spoke utilise les passerelles du réseau virtuel distant pour le transit.

  • Pour router le trafic de sous-réseau spoke par le biais du pare-feu de hub, vous avez besoin d’une route définie par l’utilisateur (UDR, User-Defined Route) qui pointe vers le pare-feu avec le paramètre Propagation de la route de la passerelle de réseau virtuel activé. Cette option empêche la distribution des routes vers les sous-réseaux spoke. Cela empêche que les routes apprises entrent en conflit avec votre UDR.

  • Vous devez configurer une UDR sur le sous-réseau de passerelle hub qui pointe vers l’adresse IP du pare-feu comme prochain tronçon vers les réseaux spoke. Aucun UDR n’est requis sur le sous-réseau du Pare-feu Azure, puisqu’il apprend les itinéraires à partir de BGP.

Consultez la section Créer des itinéraires de ce didacticiel pour voir comment ces itinéraires sont créés.

Notes

Le Pare-feu Azure doit avoir une connectivité Internet directe. Si votre AzureFirewallSubnet prend connaissance d’un itinéraire par défaut pour votre réseau local via le protocole BGP, vous devez le remplacer par un UDR 0.0.0.0/0 avec la valeur NextHopType définie sur Internet pour garantir une connectivité Internet directe.

Le Pare-feu Azure peut être configuré pour prendre en charge le tunneling forcé. Pour plus d’informations, consultez la page Tunneling forcé du Pare-feu Azure.

Notes

Le trafic entre les réseaux virtuels directement appairés est acheminé directement même si l’UDR pointe vers le Pare-feu Azure en tant que passerelle par défaut. Pour envoyer un trafic de sous-réseau à sous-réseau au pare-feu dans ce scénario, un UDR doit contenir explicitement le préfixe du réseau cible dans les deux sous-réseaux.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une stratégie de pare-feu

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche du portail Azure, tapez Firewall Manager, puis appuyez sur Entrée.

  3. Sur la page Azure Firewall Manager, sous Sécurité, sélectionnez Stratégies de pare-feu Azure.

    Screenshot showing Firewall Manager main page.

  4. Sélectionnez Créer une stratégie de pare-feu Azure.

  5. Sélectionnez votre abonnement et, comme Groupe de ressources, sélectionnez Créer et créez un groupe de ressources nommé FW-Hybrid-Test.

  6. Comme nom de la stratégie, tapez Pol-Net01.

  7. Comme Région, sélectionnez USA Est.

  8. Sélectionnez Suivant : Paramètres DNS.

  9. Sélectionnez Suivant : Inspection TLS.

  10. Sélectionnez Suivant : Règles.

  11. Sélectionnez Ajouter une collection de règles.

  12. Dans le champ Nom, tapez RCNet01.

  13. Comme Type de collection de règles, sélectionnez Réseau.

  14. Pour Priorité, tapez 100.

  15. Pour Action, sélectionnez Autoriser.

  16. Sous Règles, pour Nom, tapez AllowWeb.

  17. Pour Source, tapez 192.168.1.0/24.

  18. Pour Protocole, sélectionnez TCP.

  19. Pour Ports de destination, tapez 80.

  20. Pour Type de destination, sélectionnez Adresse IP.

  21. Pour Destination, tapez 10.6.0.0/16.

  22. Sur la ligne suivante de la règle, entrez les informations suivantes :

    Nom : tapez AllowRDP.
    Source : tapez 192.168.1.0/24.
    Protocole : sélectionnez TCP.
    Ports de destination : tapez 3389.
    Type de destination : sélectionnez Adresse IP
    Pour Destination, tapez 10.6.0.0/16.

  23. Sélectionnez Ajouter.

  24. Sélectionnez Vérifier + créer.

  25. Passez en revue les détails, puis sélectionnez Créer.

Créer le réseau virtuel du hub de pare-feu

Notes

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Recherchez Réseau virtuel, puis sélectionnez Réseau virtuel.

  3. Sélectionnez Create (Créer).

  4. Pour Abonnement, sélectionnez votre abonnement.

  5. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.

  6. Dans le champ Nom, tapez VNet-hub.

  7. Pour Région, sélectionnez USA Est.

  8. Cliquez sur Suivant.

  9. Dans la section Sécurité, sélectionnez Suivant.

  10. Pour Espace d’adressage IPv4, tapez 10.5.0.0/16.

  11. Sous Sous-réseaux, sélectionnez par défaut.

  12. Pour Modèle de sous-réseau, sélectionnez Pare-feu Azure.

  13. Pour Adresse de départ, tapez 10.5.0.0/26.

  14. Acceptez les autres paramètres par défaut, puis sélectionnez Enregistrer.

  15. Sélectionnez Revoir + créer.

  16. Sélectionnez Create (Créer).

Ajoutez un autre sous-réseau nommé GatewaySubnet avec un espace d'adressage de 10.5.1.0/27. Ce sous-réseau est utilisé pour la passerelle VPN.

Créer le réseau virtuel spoke

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Recherchez Réseau virtuel, puis sélectionnez Réseau virtuel.
  3. Sélectionnez Create (Créer).
  4. Pour Abonnement, sélectionnez votre abonnement.
  5. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.
  6. Pour Nom, tapez VNet-Spoke.
  7. Pour Région, sélectionnez USA Est.
  8. Cliquez sur Suivant.
  9. Sur la page Sécurité, sélectionnez Suivant.
  10. Sélectionnez Suivant : Adresses IP.
  11. Pour Espace d’adressage IPv4, entrez 10.6.0.0/16.
  12. Sous Sous-réseaux, sélectionnez par défaut.
  13. Remplacez le Nom par SN-Workload.
  14. Pour Adresse de départ, tapez 10.6.0.0/24.
  15. Acceptez les autres paramètres par défaut, puis sélectionnez Enregistrer.
  16. Sélectionnez Revoir + créer.
  17. Sélectionnez Create (Créer).

Créer le réseau virtuel local

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Recherchez Réseau virtuel, puis sélectionnez Réseau virtuel.

  3. Sélectionnez Create (Créer).

  4. Pour Abonnement, sélectionnez votre abonnement.

  5. Pour Groupe de ressources, sélectionnez FW-Hybrid-Test.

  6. Pour Nom du réseau virtuel, tapez VNet-OnPrem.

  7. Pour Région, sélectionnez USA Est.

  8. Cliquez sur Suivant.

  9. Sur la page Sécurité, sélectionnez Suivant.

  10. Pour Espace d’adressage IPv4, entrez 192.168.0.0/16.

  11. Sous Sous-réseaux, sélectionnez par défaut.

  12. Changez le Nom en SN-Corp.

  13. Pour Adresse de départ, saisissez 192.168.1.0/24.

  14. Acceptez les autres paramètres par défaut, puis sélectionnez Enregistrer.

  15. Sélectionnez Ajouter un sous-réseau.

  16. Pour Modèle de sous-réseau, sélectionnez Passerelle de réseau virtuel.

  17. Pour l'adresse de départ, saisissez 192.168.2.0/27.

  18. Sélectionnez Ajouter.

  19. Sélectionnez Revoir + créer.

  20. Sélectionnez Create (Créer).

Configurer et déployer le pare-feu

Quand les stratégies de sécurité sont associées à un hub, il s’agit d’un réseau virtuel hub.

Convertissez le réseau virtuel VNet-Hub en réseau virtuel hub et sécurisez-le avec le Pare-feu Azure.

  1. Dans la barre de recherche du portail Azure, tapez Firewall Manager, puis appuyez sur Entrée.

  2. Dans le volet de droite, sélectionnez Présentation.

  3. Dans la page Azure Firewall Manager, sous Ajouter la sécurité aux réseaux virtuels, sélectionnez Afficher les réseaux virtuels hub.

  4. Sous Réseaux virtuels, cochez la case VNet-hub.

  5. Sélectionnez Gérer la sécurité, puis Deploy a Firewall with Firewall Policy (Déployer un pare-feu avec une stratégie de pare-feu).

  6. Sur la page Convertir les réseaux virtuels, sous Niveau Pare-feu Azure, sélectionnez Premium. Sous Politique de pare-feu, cochez la case Pol-Net01.

  7. Sélectionnez Suivant : Vérifier + confirmer

  8. Passez en revue les détails, puis sélectionnez Confirmer.

    Le déploiement prend quelques minutes.

  9. Une fois le déploiement terminé, accédez au groupe de ressources FW-Hybrid-Test, puis sélectionnez le pare-feu.

  10. Notez l’adresse IP privée du pare-feu dans la page Vue d’ensemble. Vous l’utiliserez plus tard lors de la création de l’itinéraire par défaut.

Créer et connecter les passerelles VPN

Les réseaux virtuels hub et local sont connectés via des passerelles VPN.

Créer une passerelle VPN pour le réseau virtuel hub

Maintenant, créez la passerelle VPN pour le réseau virtuel hub. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type RouteBased. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle VPN sélectionnée.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez passerelle de réseau virtuel dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Dans le champ Nom, tapez GW-hub.
  5. Pour Région, sélectionnez (États-Unis) USA Est.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour SKU, sélectionnez VpnGw2.
  9. Pour Génération, sélectionnez Generation2.
  10. Pour Réseau virtuel, sélectionnez VNet-hub.
  11. Pour Adresse IP publique, sélectionnez Créer nouveau, puis tapez le nom VNet-hub-GW-pip.
  12. Pour Activer le mode Actif-Actif, sélectionnez Désactivé.
  13. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  14. Vérifiez la configuration, puis sélectionnez Créer.

Créer une passerelle VPN pour le réseau virtuel local

À présent, créez la passerelle VPN pour le réseau virtuel local. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type RouteBased. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle VPN sélectionnée.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez passerelle de réseau virtuel dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Pour Nom, tapez GW-Onprem.
  5. Pour Région, sélectionnez (États-Unis) USA Est.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour SKU, sélectionnez VpnGw2.
  9. Pour Génération, sélectionnez Generation2.
  10. Pour Réseau virtuel, sélectionnez VNet-Onprem.
  11. Pour Adresse IP publique, sélectionnez Créer nouveau, puis tapez le nom VNet-Onprem-GW-pip.
  12. Pour Activer le mode Actif-Actif, sélectionnez Désactivé.
  13. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  14. Vérifiez la configuration, puis sélectionnez Créer.

Créer les connexions VPN

Vous pouvez maintenant créer les connexions VPN entre les passerelles hub et locale.

Dans cette étape, vous créez la connexion entre le réseau virtuel hub et le réseau virtuel local. Une clé partagée est référencée dans les exemples. Vous pouvez utiliser vos propres valeurs pour cette clé partagée. Il est important que la clé partagée corresponde aux deux connexions. La création de la connexion prend un certain temps.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez la passerelle GW-hub.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, tapez Hub-to-Onprem.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Sélectionnez Suivant : Paramètres.
  7. Pour Première passerelle de réseau virtuel, sélectionnez GW-hub.
  8. Pour Passerelle du deuxième réseau virtuel, sélectionnez GW-Onprem.
  9. Pour Clé partagée (PSK) , tapez AzureA1b2C3.
  10. Sélectionnez Revoir + créer.
  11. Sélectionnez Create (Créer).

Créez la connexion entre les réseaux virtuels hub et local. Cette étape est similaire à la précédente, sauf que vous créez la connexion du réseau virtuel OnPrem vers le réseau virtuel hub. Vérifiez que les clés partagées correspondent. Après quelques minutes, la connexion est établie.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez la passerelle GW-Onprem.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, tapez Onprem-to-Hub.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Pour Passerelle du deuxième réseau virtuel, sélectionnez GW-hub.
  7. Pour Clé partagée (PSK) , tapez AzureA1b2C3.
  8. Sélectionnez OK.

Vérifier la connexion

Après environ cinq minutes, l’état des deux connexions doit être Connecté.

Screenshot showing the vpn gateway connections.

Appairer les réseaux virtuels hub et spoke

À présent, appairez les réseaux virtuels hub et spoke.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test et sélectionnez le réseau virtuel VNet-hub.

  2. Dans la colonne de gauche, sélectionnez Peerings.

  3. Sélectionnez Ajouter.

  4. Sous Ce réseau virtuel :

    Nom du paramètre Valeur
    Nom du lien de peering HubtoSpoke
    Autoriser le trafic vers le réseau virtuel distant sélectionné
    Autoriser le trafic transféré à partir du réseau virtuel distant (autoriser le transit par passerelle) sélectionné
    Utiliser une passerelle de réseau virtuel distant ou un serveur de routage non sélectionné(s)

  5. Sous Réseau virtuel distant :

    Nom du paramètre Valeur
    Nom du lien de peering SpoketoHub
    Modèle de déploiement de réseau virtuel Gestionnaire de ressources
    Abonnement <votre abonnement>
    Réseau virtuel VNet-Spoke
    Autoriser le trafic vers le réseau virtuel actuel sélectionné
    Autoriser le trafic transféré à partir du réseau virtuel actuel (autoriser le transit par passerelle) sélectionné
    Utiliser la passerelle ou le serveur de routes du réseau virtuel actuel sélectionné

  6. Sélectionnez Ajouter.

    Screenshot showing Vnet peering.

Créer les itinéraires

Ensuite, créez deux itinéraires :

  • Un itinéraire à partir du sous-réseau de passerelle hub vers le sous-réseau spoke via l’adresse IP du pare-feu
  • Un itinéraire par défaut à partir du sous-réseau spoke via l’adresse IP du pare-feu
  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez table de routage dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Table de routage.
  4. Sélectionnez Create (Créer).
  5. Sélectionnez le groupe de ressources FW-Hybrid-Test.
  6. Pour Région, sélectionnez USA Est.
  7. Pour le nom, tapez UDR-Hub-Spoke.
  8. Sélectionnez Vérifier + créer.
  9. Sélectionnez Create (Créer).
  10. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  11. Sélectionnez Routes dans la colonne de gauche.
  12. Sélectionnez Ajouter.
  13. Pour le nom de la route, tapez ToSpoke.
  14. Pour Type de destination, sélectionnez Adresses IP.
  15. Pour Adresses IP de destination/plages CIDR, tapez 10.6.0.0/16.
  16. Pour le type de tronçon suivant, sélectionnez Appliance virtuelle.
  17. Pour l’adresse du tronçon suivant, tapez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  18. Sélectionnez Ajouter.

À présent, associez la route au sous-réseau.

  1. Sur la page UDR-Hub-Spoke - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-hub.
  4. Sous Sous-réseau, sélectionnez GatewaySubnet.
  5. Sélectionnez OK.

À présent, créez la route par défaut à partir du sous-réseau spoke.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Tapez table de routage dans la zone de recherche, puis appuyez sur Entrée.
  3. Sélectionnez Table de routage.
  4. Sélectionnez Create (Créer).
  5. Sélectionnez le groupe de ressources FW-Hybrid-Test.
  6. Pour Région, sélectionnez USA Est.
  7. Pour le nom, tapez UDR-DG.
  8. Pour Propager des routes de passerelle, sélectionnez Non.
  9. Sélectionnez Revoir + créer.
  10. Sélectionnez Create (Créer).
  11. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  12. Sélectionnez Routes dans la colonne de gauche.
  13. Sélectionnez Ajouter.
  14. Pour le nom de la route, tapez ToHub.
  15. Pour Type de destination, sélectionnez Adresses IP
  16. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.
  17. Pour le type de tronçon suivant, sélectionnez Appliance virtuelle.
  18. Pour l’adresse du tronçon suivant, tapez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  19. Sélectionnez Ajouter.

À présent, associez la route au sous-réseau.

  1. Sur la page UDR-DG - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-spoke.
  4. Sous Sous-réseau, sélectionnez SN-Workload.
  5. Sélectionnez OK.

Créer des machines virtuelles

Maintenant, créez les machines virtuelles de charge de travail spoke et locale, et placez-les dans les sous-réseaux appropriés.

Créer la machine virtuelle de charge de travail

Créez une machine virtuelle dans le réseau virtuel spoke, exécutant IIS, sans adresse IP publique.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.

  3. Entrez ces valeurs pour la machine virtuelle :

    • Groupe de ressources - Sélectionnez FW-Hybrid-Test
    • Nom de la machine virtuelle : VM-Spoke-01
    • Région - (États-Unis) USA Est
    • Nom d’utilisateur : tapez un nom d’utilisateur
    • Mot de passe : tapez un mot de passe

  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez HTTP (80) et RDP (3389) .

  5. Sélectionnez Suivant : Disques.

  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Sélectionnez VNet-Spoke pour le réseau virtuel et SN-Workload pour le sous-réseau.

  8. Sélectionnez Suivant : Gestion.

  9. Sélectionnez Suivant : Supervision.

  10. Pour Diagnostics de démarrage, sélectionnez Désactiver.

  11. Sélectionnez Vérifier + Créer, vérifiez les paramètres de la page récapitulative, puis sélectionnez Créer.

Installer IIS

  1. Dans le portail Azure, ouvrez Cloud Shell et assurez-vous qu’il est défini sur PowerShell.

  2. Exécutez la commande suivante pour installer IIS sur la machine virtuelle et modifier l’emplacement si nécessaire :

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Créer la machine virtuelle locale

Il s’agit d’une machine virtuelle que vous utilisez pour vous connecter au moyen du Bureau à distance et de l’adresse IP publique. À partir de là, vous vous connectez au serveur local via le pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Sous Populaire, sélectionnez Windows Server 2019 Datacenter.

  3. Entrez ces valeurs pour la machine virtuelle :

    • Groupe de ressources - Sélectionnez Existant, puis FW-Hybrid-Test
    • Nom de la machine virtuelle - VM-Onprem
    • Région - (États-Unis) USA Est
    • Nom d’utilisateur : tapez un nom d’utilisateur
    • Mot de passe : tapez votre mot de passe.

  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez RDP (3389) .

  5. Sélectionnez Suivant : Disques.

  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Réseaux.

  7. Sélectionnez VNet-Onprem comme réseau virtuel et vérifiez que le sous-réseau est SN-Corp.

  8. Sélectionnez Suivant : Gestion.

  9. Sélectionnez Suivant : Supervision.

  10. Pour Diagnostics de démarrage, sélectionnez Désactiver.

  11. Sélectionnez Vérifier + Créer, vérifiez les paramètres de la page récapitulative, puis sélectionnez Créer.

Tester le pare-feu

  1. Tout d’abord, notez l’adresse IP privée de la machine virtuelle VM-spoke-01 dans la page Vue d’ensemble de VM-Spoke-01.

  2. À partir du portail Azure, connectez-vous à la machine virtuelle VM-Onprem.

  1. Ouvrez un navigateur web sur VM-Onprem et accédez à http://<adresse IP privée de VM-spoke-01>.

    La page web VM-spoke-01 doit s’afficher : Screenshot showing vm-spoke-01 web page.

  2. À partir de la machine virtuelle VM-Onprem, ouvrez une session de Bureau à distance sur VM-spoke-01 à l’adresse IP privée.

    La connexion doit réussir et vous devriez pouvoir vous connecter.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez parcourir le serveur web sur le réseau virtuel spoke.
  • Vous pouvez vous connecter au serveur sur le réseau virtuel spoke à l’aide de RDP.

Modifiez ensuite l’action de collecte des règles du réseau de pare-feu en Refuser pour vérifier que les règles de pare-feu fonctionnent comme prévu.

  1. Ouvrez le groupe de ressources FW-Hybrid-Test, puis sélectionnez la stratégie de pare-feu Pol-Net01.
  2. Sous Paramètres, sélectionnez Collections de règles.
  3. Sélectionnez la collection de règles RCNet01.
  4. Comme Action de collection de règles, sélectionnez Refuser.
  5. Sélectionnez Enregistrer.

Fermez tous les navigateurs et bureaux distants existants sur VM-Onprem avant de tester les règles modifiées. Une fois la mise à jour de la collection de règles terminée, réexécutez les tests. Cette fois, aucune connexion ne doit aboutir.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu pour des investigations plus poussées, ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources FW-Hybrid-Test afin de supprimer toutes les ressources liées au pare-feu.

Étapes suivantes

Tutoriel : Sécuriser votre réseau étendu virtuel avec Azure Firewall Manager