Déployez et configurez un Pare-feu Azure dans un réseau hybride depuis le portail Azure

  • Article

Lorsque vous connectez votre réseau local à un réseau virtuel Azure pour créer un réseau hybride, la possibilité de contrôler l’accès à vos ressources réseau Azure représente une part importante dans un plan de sécurité générale.

Vous pouvez utiliser le pare-feu Azure pour contrôler l’accès réseau d’un réseau hybride à l’aide de règles qui définissent le trafic réseau autorisé et refusé.

Pour cet article, vous créerez trois réseaux virtuels :

  • VNet-Hub : le pare-feu se trouve dans ce réseau virtuel.
  • VNet-Spoke : le réseau virtuel spoke correspond à la charge de travail sur Azure.
  • VNet-Onprem : le réseau virtuel local représente un réseau local. Dans un déploiement réel, vous pouvez vous y connecter à l’aide d’une connexion de réseau privé virtuel (VPN) ou d’une connexion Azure ExpressRoute. Par souci de simplicité, cet article utilise une connexion de passerelle VPN et un réseau virtuel sur Azure représente un réseau local.

Diagramme qui montre un pare-feu dans un réseau hybride.

Si vous souhaitez plutôt utiliser Azure PowerShell pour suivre les procédures de cet article, consultez Déployer et configurer le pare-feu Azure dans un réseau hybride à l’aide d’Azure PowerShell.

Remarque

Cet article utilise des règles de pare-feu Azure classiques pour gérer le pare-feu. La méthode recommandée consiste à utiliser une stratégie Azure Firewall Manager. Pour suivre cette procédure en utilisant une stratégie Azure Firewall, consultez Tutoriel : déployer et configurer le pare-feu Azure et une stratégie de pare-feu dans un réseau hybride en utilisant le portail Azure.

Prérequis

Un réseau hybride utilise le modèle d’architecture hub et spoke pour router le trafic entre des réseaux virtuels Azure et des réseaux locaux. L’architecture Hub and Spoke présente les conditions suivantes :

  • Définissez Utiliser cette passerelle ou ce serveur de routes de ce réseau virtuel pendant le peering du hub de réseau virtuel au VNet-Spoke. Dans une architecture réseau Hub and Spoke, le transit par passerelle permet aux réseaux virtuels spoke d’exploiter la passerelle VPN du hub, évitant ainsi de devoir déployer des passerelles VPN dans chaque réseau virtuel spoke.

    De plus, les routes vers les réseaux locaux ou les réseaux virtuels connectés à la passerelle sont propagés automatiquement aux tables de routage pour les réseaux virtuels homologués en utilisant le transit par passerelle. Pour plus d’informations, consultez Configurer le transit par passerelle VPN pour le peering de réseaux virtuels.

  • Définissez Utiliser les passerelles ou le serveur de routes du réseau virtuel distant pendant le peering du VNet-Spoke au hub de réseau virtuel. Si Utiliser les passerelles ou le serveur de routes du réseau virtuel distant est défini en même temps que Utiliser la passerelle ou le serveur de routes de ce réseau virtuel sur le peering distant, le réseau virtuel spoke utilise les passerelles du réseau virtuel distant pour le transit.

  • Pour router le trafic de sous-réseau spoke par le biais du pare-feu de hub, vous pouvez utiliser une route définie par l’utilisateur (UDR) qui pointe vers le pare-feu avec l’option désactivée Propagation de la route de la passerelle de réseau virtuel. La désactivation de cette option empêche la distribution des itinéraires vers les sous-réseaux spoke. Les itinéraires appris ne peuvent donc pas entrer en conflit avec votre UDR. Si vous souhaitez conserver la Propagation de la route de la passerelle de réseau virtuel activée, veillez à définir des routes spécifiques vers le pare-feu pour remplacer celles qui sont publiées à partir du site local sur Border Gateway Protocol (BGP).

  • Vous devez configurer une UDR sur le sous-réseau de passerelle hub qui pointe vers l’adresse IP du pare-feu comme prochain tronçon vers les réseaux spoke. Aucun UDR n’est requis sur le sous-réseau du Pare-feu Azure, puisqu’il apprend les itinéraires à partir de BGP.

La section Créer les itinéraires plus loin dans cet article montre comment créer ces itinéraires.

Le Pare-feu Azure doit avoir une connectivité Internet directe. Si votre sous-réseau AzureFirewallSubnet prend connaissance d’un itinéraire par défaut pour votre réseau local via le protocole BGP, vous devez le remplacer en utilisant UDR 0.0.0.0/0 avec la valeur NextHopType définie sur Internet pour garantir une connectivité Internet directe.

Remarque

Vous pouvez configurer le pare-feu Azure pour prendre en charge le tunneling forcé. Pour plus d’informations, consultez la page Tunneling forcé du Pare-feu Azure.

Le trafic entre les réseaux virtuels directement appairés est acheminé directement même si l’UDR pointe vers pare-feu Azure en tant que passerelle par défaut. Pour envoyer un trafic de sous-réseau à sous-réseau au pare-feu dans ce scénario, un UDR doit contenir explicitement le préfixe du réseau cible dans les deux sous-réseaux.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer le réseau virtuel du hub de pare-feu

Commencez par créer le groupe de ressources qui doit contenir les ressources :

  1. Connectez-vous au portail Azure.
  2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources>Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour le groupe de ressources, entrez RG-fw-hybrid-test.
  5. Pour Région, sélectionnez une région. Toutes les ressources que vous créez par la suite doivent se trouver dans la même région.
  6. Sélectionnez Vérifier + créer.
  7. Sélectionnez Create (Créer).

Créez maintenant le réseau virtuel.

Remarque

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez réseau virtuel.
  3. Sélectionnez Réseau virtuel, puis sélectionnez Créer.
  4. Pour Groupe de ressources, sélectionnez RG-fw-hybrid-test.
  5. Pour Nom du réseau virtuel, entrez VNet-Hub.
  6. Pour Région, sélectionnez la région que celle utilisée précédemment.
  7. Cliquez sur Suivant.
  8. Sous l'onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 10.5.0.0/16.
  10. Dans Sous-réseaux, supprimez le sous-réseau par défaut.
  11. Sélectionnez Ajouter un sous-réseau.
  12. Dans la page Ajouter un sous-réseau, pour Modèle de sous-réseau, sélectionnez Pare-feu Azure.
  13. Sélectionnez Ajouter.

Créez un second sous-réseau pour la passerelle :

  1. Sélectionnez Ajouter un sous-réseau.
  2. Pour Modèle de sous-réseau, sélectionnez Passerelle de réseau virtuel.
  3. Pour Adresse de départ, acceptez la valeur par défaut 10.5.1.0.
  4. Pour Taille du sous-réseau, acceptez la valeur par défaut /27.
  5. Sélectionnez Ajouter.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Créer le réseau virtuel spoke

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez réseau virtuel.
  3. Sélectionnez Réseau virtuel, puis sélectionnez Créer.
  4. Pour Groupe de ressources, sélectionnez RG-fw-hybrid-test.
  5. Pour Nom, entrez VNet-Spoke.
  6. Pour Région, sélectionnez la région que celle utilisée précédemment.
  7. Cliquez sur Suivant.
  8. Sous l'onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 10.6.0.0/16.
  10. Dans Sous-réseaux, supprimez le sous-réseau par défaut.
  11. Sélectionnez Ajouter un sous-réseau.
  12. Pour Nom, entrez SN-Workload.
  13. Pour Adresse de départ, acceptez la valeur par défaut 10.6.0.0.
  14. Pour Taille du sous-réseau, acceptez la valeur par défaut /24.
  15. Sélectionnez Ajouter.
  16. Sélectionnez Revoir + créer.
  17. Sélectionnez Create (Créer).

Créer le réseau virtuel local

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez réseau virtuel.
  3. Sélectionnez Réseau virtuel, puis sélectionnez Créer.
  4. Pour Groupe de ressources, sélectionnez RG-fw-hybrid-test.
  5. Pour Nom, entrez VNet-Onprem.
  6. Pour Région, sélectionnez la région que celle utilisée précédemment.
  7. Cliquez sur Suivant.
  8. Sous l'onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, supprimez l’adresse et le type par défaut 192.168.0.0/16.
  10. Dans Sous-réseaux, supprimez le sous-réseau par défaut.
  11. Sélectionnez Ajouter un sous-réseau.
  12. Pour Nom, entrez SN-Corp.
  13. Pour Adresse de départ, acceptez la valeur par défaut 192.168.0.0.
  14. Pour Taille du sous-réseau, acceptez la valeur par défaut /24.
  15. Sélectionnez Ajouter.

Ensuite, créez un second sous-réseau pour la passerelle :

  1. Sélectionnez Ajouter un sous-réseau.
  2. Pour Modèle de sous-réseau, sélectionnez Passerelle de réseau virtuel.
  3. Pour Adresse de départ, acceptez la valeur par défaut 192.168.1.0.
  4. Pour Taille du sous-réseau, acceptez la valeur par défaut /27.
  5. Sélectionnez Ajouter.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Configurer et déployer le pare-feu

Déployez le pare-feu dans le réseau virtuel du hub de pare-feu :

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Dans la zone de recherche, entrez pare-feu.

  3. Sélectionnez Pare-feu, puis Créer.

  4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Entrez RG-fw-hybrid-test.
    Nom Entrez AzFW01.
    Région Sélectionnez la région que vous avez utilisée précédemment.
    SKU de pare-feu Sélectionnez Standard.
    Gestion de pare-feu Sélectionnez Utiliser des règles de pare-feu (classique) pour gérer ce pare-feu.
    Choisissez un réseau virtuel Sélectionnez Utiliser un réseau virtuel-hub existant>VNet-Hub.
    Adresse IP publique Sélectionnez Ajouter un nouveau>fw-pip.

  5. Sélectionnez Revoir + créer.

  6. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

    Le pare-feu prend quelques minutes à déployer.

  7. Une fois le déploiement terminé, accédez au groupe de ressources RG-fw-hybrid-test, puis sélectionnez le pare-feu AzFW01.

  8. Notez l’adresse IP privée. Vous l’utiliserez plus tard lors de la création de l’itinéraire par défaut.

Configurer des règles de réseau

Tout d’abord, ajoutez une règle de réseau pour autoriser le trafic web :

  1. Sur la page AzFW01, sélectionnez Règles (classiques).
  2. Sélectionnez l’onglet Collection de règles de réseau.
  3. Sélectionnez Ajouter une collection de règles de réseau.
  4. Pour Nom, entrez RCNet01.
  5. Pour Priorité, entrez 100.
  6. Pour Action de collection de règles, sélectionnez Autoriser.
  7. Sous Règles Adresses IP, pour Nom, entrez AllowWeb.
  8. Pour Protocole, sélectionnez TCP.
  9. Pour Type de source, sélectionnez Adresse IP.
  10. Pour Source, entrez 192.168.0.0/24.
  11. Pour Type de destination, sélectionnez Adresse IP.
  12. Pour Adresse de destination, entrez 10.6.0.0/16.
  13. Pour Ports de destination, entrez 80.

Ensuite, ajoutez une règle pour autoriser le trafic RDP. Sur la deuxième ligne de la règle, entrez les informations suivantes :

  1. Pour Nom, entrez AllowRDP.
  2. Pour Protocole, sélectionnez TCP.
  3. Pour Type de source, sélectionnez Adresse IP.
  4. Pour Source, entrez 192.168.0.0/24.
  5. Pour Type de destination, sélectionnez Adresse IP.
  6. Pour Adresse de destination, entrez 10.6.0.0/16.
  7. Pour Ports de destination, entrez 3389.
  8. Sélectionnez Ajouter.

Créer et connecter les passerelles VPN

Les réseaux virtuels hub et local sont connectés via des passerelles VPN.

Créer une passerelle VPN pour le réseau virtuel hub

Créez la passerelle VPN pour le réseau virtuel hub. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type basé sur les itinéraires. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon le SKU sélectionné.

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez passerelle de réseau virtuel.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Pour Nom, entrez GW-Hub.
  5. Pour Région, sélectionnez la même région que celle utilisée précédemment.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour Référence (SKU) , sélectionnez De base.
  9. Pour Réseau virtuel, sélectionnez VNet-Hub.
  10. Pour Adresse IP publique, sélectionnez Créer nouveau, puis entrez le nom VNet-Hub-GW-pip.
  11. Pour Activer le mode Actif-Actif, sélectionnez Désactivé.
  12. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  13. Passez en revue la configuration, puis sélectionnez Créer.

Créer une passerelle VPN pour le réseau virtuel local

Créez la passerelle VPN pour le réseau virtuel local. Les configurations de réseau virtuel à réseau virtuel nécessitent un VPN de type basé sur les itinéraires. La création d’une passerelle VPN nécessite généralement au moins 45 minutes, selon le SKU sélectionné.

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez passerelle de réseau virtuel.
  3. Sélectionnez Passerelle de réseau virtuel, puis sélectionnez Créer.
  4. Pour Nom, entrez GW-Onprem.
  5. Pour Région, sélectionnez la même région que celle utilisée précédemment.
  6. Pour Type de passerelle, sélectionnez VPN.
  7. Pour Type de VPN, sélectionnez Basé sur itinéraires.
  8. Pour Référence (SKU) , sélectionnez De base.
  9. Pour Réseau virtuel, sélectionnez VNet-Onprem.
  10. Pour Adresse IP publique, sélectionnez Créer nouveau, puis entrez le nom VNet-Onprem-GW-pip.
  11. Pour Activer le mode Actif-Actif, sélectionnez Désactivé.
  12. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.
  13. Passez en revue la configuration, puis sélectionnez Créer.

Créer les connexions VPN

Vous pouvez maintenant créer les connexions VPN entre les passerelles hub et locale.

Dans les étapes suivantes, vous allez créer la connexion à partir du réseau virtuel hub au réseau virtuel local. Les exemples montrent une clé partagée, mais vous pouvez utiliser vos propres valeurs pour la clé partagée. Il est important que la clé partagée corresponde aux deux connexions. La création d’une connexion peut prendre quelques instants.

  1. Ouvrez le groupe de ressources RG-fw-hybrid-test et sélectionnez la passerelle GW-hub.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, entrez Hub-to-Onprem.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Cliquez sur Suivant.
  7. Pour Première passerelle de réseau virtuel, sélectionnez GW-hub.
  8. Pour Deuxième passerelle de réseau virtuel, sélectionnez GW-Onprem.
  9. Pour la clé partagée (PSK), entrez AzureA1b2C3.
  10. Sélectionnez Vérifier + créer.
  11. Sélectionnez Create (Créer).

Créez la connexion de réseau virtuel entre local et le hub. Les étapes suivantes sont similaires aux précédentes, sauf que vous créez la connexion à partir de VNet-Onprem à VNet-Hub. Vérifiez que les clés partagées correspondent. La connexion est établie après quelques minutes.

  1. Ouvrez le groupe de ressources RG-fw-hybrid-test et sélectionnez la passerelle GW-Onprem.
  2. Sélectionnez Connexions dans la colonne de gauche.
  3. Sélectionnez Ajouter.
  4. Pour le nom de la connexion, entrez Onprem-to-Hub.
  5. Pour Type de connexion, sélectionnez Réseau virtuel à réseau virtuel.
  6. Sélectionnez Suivant : Paramètres.
  7. Pour Première passerelle de réseau virtuel, sélectionnez GW-Onprem.
  8. Pour Deuxième passerelle de réseau virtuel, sélectionnez GW-hub.
  9. Pour la clé partagée (PSK), entrez AzureA1b2C3.
  10. Sélectionnez Vérifier + créer.
  11. Sélectionnez Create (Créer).

Vérifier les connexions

Après environ cinq minutes, l’état des deux connexions doit être Connecté.

Capture d’écran qui montre les connexions de passerelle.

Appairer les réseaux virtuels hub et spoke

À présent, appairez les réseaux virtuels hub et spoke :

  1. Ouvrez le groupe de ressources RG-fw-hybrid-test et sélectionnez le réseau virtuel VNet-Hub.

  2. Dans la colonne de gauche, sélectionnez Peerings.

  3. Sélectionnez Ajouter.

  4. Sous Ce réseau virtuel :

    Nom du paramètre Paramètre
    Nom du lien de peering Entrez HubtoSpoke.
    Trafic vers le réseau virtuel distant Sélectionnez Autoriser.
    Trafic transféré à partir du réseau virtuel distant Sélectionnez Autoriser.
    Passerelle de réseau virtuel Sélectionnez Utiliser la passerelle de ce réseau virtuel.

  5. Sous Réseau virtuel distant :

    Nom du paramètre Valeur
    Nom du lien de peering Entrez SpoketoHub.
    Modèle de déploiement de réseau virtuel Sélectionnez Resource Manager.
    Abonnement Sélectionnez votre abonnement.
    Réseau virtuel Sélectionnez VNet-Spoke.
    Trafic vers le réseau virtuel distant Sélectionnez Autoriser.
    Trafic transféré à partir du réseau virtuel distant Sélectionnez Autoriser.
    Passerelle de réseau virtuel Sélectionnez Utiliser la passerelle du réseau virtuel distant.

  6. Sélectionnez Ajouter.

La capture d’écran suivante montre les paramètres à utiliser lorsque vous appairez des réseaux virtuels hub et spoke :

Capture d’écran qui montre les sélections pour les réseaux virtuels hub-and-spoke de peering.

Créer les itinéraires

Dans les étapes suivantes, vous allez créer ces itinéraires :

  • Un itinéraire à partir du sous-réseau de passerelle hub vers le sous-réseau spoke via l’adresse IP du pare-feu
  • Un itinéraire par défaut à partir du sous-réseau spoke via l’adresse IP du pare-feu

Pour créer les itinéraires :

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez table de route.
  3. Sélectionnez Table de route, puis sélectionnez Créer.
  4. Pour Groupe de ressources, sélectionnez RG-fw-hybrid-test.
  5. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  6. Pour le nom, entrez UDR-Hub-Spoke.
  7. Sélectionnez Vérifier + créer.
  8. Sélectionnez Create (Créer).
  9. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  10. Sélectionnez Routes dans la colonne de gauche.
  11. Sélectionnez Ajouter.
  12. Pour le nom de l’itinéraire, entrez ToSpoke.
  13. Pour Type de destination, sélectionnez Adresses IP.
  14. Pour Plages d’adresses IP/CIDR de destination, entrez 10.6.0.0/16.
  15. Pour le tronçon suivant, sélectionnez Appliance virtuelle.
  16. Pour l’adresse du tronçon suivant, entrez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  17. Sélectionnez Ajouter.

Ensuite, associez la route au sous-réseau :

  1. Sur la page UDR-Hub-Spoke - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-Hub.
  4. Sous Sous-réseau, sélectionnez GatewaySubnet.
  5. Cliquez sur OK.

Créez la route par défaut à partir du sous-réseau spoke :

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Dans la zone de recherche, entrez table de route.
  3. Sélectionnez Table de route, puis sélectionnez Créer.
  4. Pour Groupe de ressources, sélectionnez RG-fw-hybrid-test.
  5. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  6. Pour le nom, entrez UDR-DG.
  7. Pour Propager la route de la passerelle, sélectionnez Non.
  8. Sélectionnez Vérifier + créer.
  9. Sélectionnez Create (Créer).
  10. Une fois la table de routage créée, sélectionnez-la pour ouvrir la page correspondante.
  11. Sélectionnez Routes dans la colonne de gauche.
  12. Sélectionnez Ajouter.
  13. Pour le nom de l’itinéraire, entrez ToHub.
  14. Pour Type de destination, sélectionnez Adresses IP.
  15. Pour Plages d’adresses IP/CIDR de destination, entrez 0.0.0.0/0.
  16. Pour le tronçon suivant, sélectionnez Appliance virtuelle.
  17. Pour l’adresse du tronçon suivant, entrez l’adresse IP privée du pare-feu que vous avez notée précédemment.
  18. Sélectionnez Ajouter.

Associez la route au sous-réseau :

  1. Sur la page UDR-DG - Routes, sélectionnez Sous-réseaux.
  2. Sélectionnez Associer.
  3. Sous Réseau virtuel, sélectionnez VNet-Spoke.
  4. Sous Sous-réseau, sélectionnez SN-Workload.
  5. Sélectionnez OK.

Créer des machines virtuelles

Créez les machines virtuelles de charge de travail spoke et locale, et placez-les dans les sous-réseaux appropriés.

Créer la machine virtuelle de charge de travail

Créez une machine virtuelle dans le réseau virtuel spoke qui exécute Internet Information Services (IIS), et qui n’a aucune adresse IP publique :

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.
  3. Entrez ces valeurs pour la machine virtuelle :
    • Groupe de ressources : sélectionnez RG-fw-hybrid-test.
    • Nom de la machine virtuelle : entrez VM-Spoke-01.
    • Région : sélectionnez la même région que celle utilisée précédemment.
    • Nom d’utilisateur : entrez un nom d’utilisateur.
    • Mot de passe : entrez un mot de passe.
  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez HTTP (80) et RDP (3389).
  5. Sélectionnez Suivant : Disques.
  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.
  7. Pour le réseau virtuel, sélectionnez VNet-Spoke. Le sous-réseau est SN-Workload.
  8. Pour Adresse IP publique, sélectionnez Aucune.
  9. Sélectionnez Suivant : gestion.
  10. Sélectionnez Suivant : Supervision.
  11. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  12. Sélectionnez Vérifier + Créer, vérifiez les paramètres sur la page de résumé, puis sélectionnez Créer.

Installer IIS

  1. Dans le portail Azure, ouvrez Aure Cloud Shell et assurez-vous qu’il est défini sur PowerShell.

  2. Exécutez la commande suivante pour installer IIS sur la machine virtuelle et modifier l’emplacement si nécessaire :

    Set-AzVMExtension `
        -ResourceGroupName RG-fw-hybrid-test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Créer la machine virtuelle locale

Créez une machine virtuelle simple que vous pouvez utiliser pour vous connecter via l’accès à distance à l’adresse IP publique. À partir de là, vous pouvez vous connectez au serveur spoke via le pare-feu.

  1. Sur la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Sous Populaire, sélectionnez Windows Server 2019 Datacenter.
  3. Entrez ces valeurs pour la machine virtuelle :
    • Groupe de ressources : sélectionnez Existant, puis RG-fw-hybrid-test.
    • Nom de la machine virtuelle : entrez VM-Onprem.
    • Région : sélectionnez la même région que celle utilisée précédemment.
    • Nom d’utilisateur : entrez un nom d’utilisateur.
    • Mot de passe: entrez un mot de passe utilisateur.
  4. Pour Ports d’entrée publics, sélectionnez Autoriser les ports sélectionnés, puis sélectionnez RDP (3389).
  5. Sélectionnez Suivant : Disques.
  6. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.
  7. Pour réseau virtuel, sélectionnez VNet-Onprem. Le sous-réseau est SN-Corp.
  8. Sélectionnez Suivant : gestion.
  9. Sélectionnez Suivant : Supervision.
  10. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  11. Sélectionnez Vérifier + Créer, vérifiez les paramètres sur la page de résumé, puis sélectionnez Créer.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Tester le pare-feu

  1. Notez l’adresse IP privée de la machine virtuelle VM-Spoke-01.

  2. Dans le portail Azure, connectez-vous à la machine virtuelle VM-Onprem.

  3. Ouvrez un navigateur web sur VM-Onprem et accédez à http://<VM-Spoke-01 private IP>.

    La page web VM-Spoke-01 doit s’ouvrir.

    Capture d’écran qui montre la page web de la machine virtuelle spoke.

  4. À partir de la machine virtuelle VM-Onprem, ouvrez une connexion d’accès à distance sur VM-Spoke-01 à l’adresse IP privée.

    La connexion doit réussir et vous devriez pouvoir vous connecter.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent, vous pouvez :

  • Parcourir le serveur web sur le réseau virtuel spoke.
  • Vous connecter au serveur sur le réseau virtuel spoke à l’aide de RDP.

Modifiez ensuite l’action pour la collection de règles de réseau du pare-feu en Refuser pour vérifier que les règles de pare-feu fonctionnent comme prévu :

  1. Sélectionnez le pare-feu AzFW01.
  2. Sélectionnez Règles (classiques).
  3. Sélectionnez l’onglet Collection de règles de réseau, puis sélectionnez la collection de règles RCNet01.
  4. Pour Action, sélectionnez Refuser.
  5. Cliquez sur Enregistrer.

Fermez les connexions d’accès à distance existantes. Réexécutez les tests pour tester les règles modifiées. Cette fois, ils doivent échouer.

Nettoyer les ressources

Vous pouvez conserver vos ressources de pare-feu pour des tests supplémentaires. Si vous n’en avez plus besoin, supprimez le groupe de ressources RG-fw-hybrid-test pour supprimer toutes les ressources liées au pare-feu.

Étapes suivantes

Surveiller les journaux d’activité de pare-feu Azure