Condividi tramite

Esercitazione: Proteggere la rete virtuale hub con Gestione firewall di Azure

  • Articolo

Quando si connette la rete locale a una rete virtuale di Azure per creare una rete ibrida, la possibilità di controllare l'accesso alle risorse di rete di Azure è una parte importante di un piano di sicurezza complessivo.

Gestione firewall di Azure consente di creare una rete virtuale hub per proteggere il traffico di rete ibrido destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. È possibile usare Gestione firewall di Azure per controllare l'accesso alla rete in una rete ibrida usando criteri che definiscono il traffico di rete consentito e negato.

Gestione firewall supporta anche un'architettura dell'hub virtuale protetto. Per un confronto delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.

Per questa esercitazione vengono create tre reti virtuali:

  • VNet-Hub: in questa rete virtuale si trova la rete virtuale.
  • VNet-Spoke: la rete virtuale spoke rappresenta il carico di lavoro che si trova in Azure.
  • VNet-Onprem: rappresenta una rete locale. In una distribuzione reale la connessione può essere effettuata tramite una connessione VPN o ExpressRoute. Per semplicità, questa esercitazione usa una connessione gateway VPN e per rappresentare una rete locale viene usata una rete virtuale ubicata in Azure.

Diagramma di una rete ibrida dell'hub di Gestione firewall di Azure.

In questa esercitazione apprenderai a:

  • Creare criteri firewall
  • Creare le reti virtuali
  • Configurare e distribuire il firewall
  • Creare e connettere i gateway VPN
  • Eseguire il peering tra le reti virtuali dell'hub e spoke
  • Creare le route
  • Creare le macchine virtuali
  • Testare il firewall

Prerequisiti

Una rete ibrida usa il modello di architettura hub-spoke per instradare il traffico tra le reti virtuali di Azure e le reti locali. L'architettura hub-spoke presenta i requisiti seguenti:

  • Per instradare il traffico della subnet spoke attraverso il firewall dell'hub, è necessaria una route definita dall'utente che punti al firewall con l'impostazione Propagazione route del gateway di rete virtuale disabilitata. Questa opzione impedisce la distribuzione delle route alle subnet spoke. Evita anche che le route apprese entrino in conflitto con la route definita dall'utente.
  • Configurare una route definita dall'utente nella subnet del gateway dell'hub che punti all'indirizzo IP del firewall come hop successivo per le reti spoke. Non è richiesta alcuna route definita dall'utente nella subnet di Firewall di Azure, dal momento che le route vengono apprese dal protocollo BGP.

Vedere la sezione Creare route in questa esercitazione per vedere come vengono create le route.

Nota

Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite BGP è necessario sostituirla con una route UDR 0.0.0.0/0 con il valore NextHopType impostato come Internet per mantenere connettività diretta a Internet.

È possibile configurare Firewall di Azure per supportare il tunneling forzato. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.

Nota

Il traffico tra reti virtuali direttamente con peering viene instradato direttamente anche se una route definita dall'utente punta al firewall di Azure come gateway predefinito. Per inviare il traffico da subnet a subnet al firewall in questo scenario, una route definita dall'utente deve contenere il prefisso di rete subnet di destinazione in modo esplicito su entrambe le subnet.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare criteri firewall

  1. Accedere al portale di Azure.

  2. Nella barra di ricerca del portale di Azure digitare Gestione firewall e premere INVIO.

  3. Nella pagina Gestione firewall di Azure, in Sicurezza, selezionare Criteri firewall di Azure.

    Screenshot che mostra la pagina principale di Gestione firewall.

  4. Selezionare Crea criterio firewall di Azure.

  5. Selezionare la sottoscrizione e per Gruppo di risorse selezionare Crea nuovo e creare un gruppo di risorse denominato FW-Hybrid-Test.

  6. Come nome del criterio digitare Pol-Net01.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti: Impostazioni DNS.

  9. Selezionare Avanti: ispezione TLS

  10. Selezionare Avanti: Regole.

  11. Selezionare Aggiungi una raccolta regole.

  12. In Nome digitare RCNet01.

  13. In Tipo di raccolta regole selezionare Rete.

  14. In Priorità digitare 100.

  15. In Azione selezionare Consenti.

  16. In Regole digitare AllowWeb in Nome.

  17. In Origine digitare 192.168.1.0/24.

  18. In Protocollo selezionare TCP.

  19. In Porte di destinazione digitare 80.

  20. In Tipo di destinazione selezionare Indirizzo IP.

  21. In Destinazione digitare 10.6.0.0/16.

  22. Nella riga successiva della regola immettere le informazioni seguenti:

    Nome: digitare AllowRDP
    Origine: digitare 192.168.1.0/24
    Protocollo: selezionare TCP
    Porte di destinazione: digitare 3389
    Tipo di destinazione: selezionare Indirizzo IP
    Destinazione: digitare 10.6.0.0/16

  23. Selezionare Aggiungi.

  24. Selezionare Rivedi e crea.

  25. Rivedere i dettagli e quindi selezionare Crea.

Creare la rete virtuale dell'hub del firewall

Nota

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Selezionare Rete virtuale, quindi selezionare Rete virtuale.

  3. Seleziona Crea.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. In Gruppo di risorse selezionare FW-Hybrid-Test.

  6. In Nome digitare VNet-hub.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti.

  9. In Sicurezza, selezionare Avanti.

  10. Per spazio indirizzi IPv4, digitare 10.5.0.0/16.

  11. In Subnet, selezionare predefinita.

  12. Per Scopo subnetselezionare Firewall di Azure.

  13. Per Indirizzo iniziale, digitare 10.5.0.0/26.

  14. Accettare le altre impostazioni predefinite e quindi selezionare Salva.

  15. Selezionare Rivedi e crea.

  16. Seleziona Crea.

Aggiungere un'altra subnet con uno scopo subnet impostato su Gateway di rete virtuale con un indirizzo iniziale 10.5.1.0/27. Questa subnet viene usata per il gateway VPN.

Creare la rete virtuale spoke

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Selezionare Rete virtuale, quindi selezionare Rete virtuale.
  3. Seleziona Crea.
  4. Seleziona la tua sottoscrizione in Sottoscrizione.
  5. In Gruppo di risorse selezionare FW-Hybrid-Test.
  6. In Nome digitare VNet-Spoke.
  7. In Area selezionare Stati Uniti orientali.
  8. Selezionare Avanti.
  9. Nella pagina Sicurezza, selezionare Avanti.
  10. Selezionare Avanti: Indirizzi IP.
  11. Per Spazio indirizzi IPv4 digitare 10.6.0.0/16.
  12. In Subnet, selezionare predefinita.
  13. Modificare il Nome in SN-Workload.
  14. Per Indirizzo iniziale, digitare 10.6.0.0/24.
  15. Accettare le altre impostazioni predefinite e quindi selezionare Salva.
  16. Selezionare Rivedi e crea.
  17. Seleziona Crea.

Creare la rete virtuale locale

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Selezionare Rete virtuale, quindi selezionare Rete virtuale.

  3. Seleziona Crea.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. In Gruppo di risorse selezionare FW-Hybrid-Test.

  6. Per Nome rete virtuale, digitare VNet-OnPrem.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti.

  9. Nella pagina Sicurezza, selezionare Avanti.

  10. Per Spazio indirizzi IPv4 digitare 192.168.0.0/16.

  11. In Subnet, selezionare predefinita.

  12. Modificare il Nome in SN-Corp.

  13. Per Indirizzo iniziale, digitare 192.168.1.0/24.

  14. Accettare le altre impostazioni predefinite e quindi selezionare Salva.

  15. Selezionare Aggiungi una subnet.

  16. Per Scopo subnet, selezionare Gateway di rete virtuale.

  17. Per Indirizzo iniziale, digitare 192.168.2.0/27.

  18. Selezionare Aggiungi.

  19. Selezionare Rivedi e crea.

  20. Seleziona Crea.

Configurare e distribuire il firewall

Quando i criteri di sicurezza sono associati a un hub, esso viene definito rete virtuale hub.

Convertire la rete virtuale VNet-Hub in una rete virtuale hub e proteggerla con Firewall di Azure.

  1. Nella barra di ricerca del portale di Azure digitare Gestione firewall e premere INVIO.

  2. Nel riquadro destro selezionare Panoramica.

  3. Nella pagina Gestione firewall di Azure selezionare View hub virtual networks (Visualizza reti virtuali hub) in Add security to virtual networks (Aggiungi sicurezza alle reti virtuali).

  4. In Reti virtuali, selezionare la casella di controllo per VNet-hub.

  5. Selezionare Gestisci sicurezza, quindi selezionare Implementare un firewall con Criterio firewall.

  6. Nella pagina Converti reti virtuali, in livello firewall di Azure, selezionare Premium. In Criterio firewall, selezionare la casella di controllo per Pol-Net01.

  7. Selezionare Avanti: Rivedi e conferma.

  8. Rivedere i dettagli e quindi selezionare Conferma.

    La distribuzione richiede alcuni minuti.

  9. Al termine della distribuzione, passare al gruppo di risorse FW-Hybrid-Test e selezionare il firewall.

  10. Prendere nota del valore di Indirizzo IP privato di Firewall di Azure nella pagina Panoramica. Sarà necessario più avanti per la creazione della route predefinita.

Creare e connettere i gateway VPN

Le reti virtuali dell'hub e locale sono connesse tramite gateway VPN.

Creare un gateway VPN per la rete virtuale dell'hub

Creare ora un gateway VPN per la rete virtuale dell'hub. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale e premere INVIO.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-hub.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  6. In Tipo di gateway selezionare VPN.
  7. In SKU, selezionare VpnGw2.
  8. Per Generazione, selezionare Generation2.
  9. In Rete virtuale selezionare VNet-hub.
  10. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-hub-GW-pip per il nome.
  11. Per Abilita la modalità attiva-attiva, selezionare Disabilitata.
  12. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  13. Esaminare la configurazione e quindi selezionare Crea.

Creare un gateway VPN per la rete virtuale locale

Creare ora un gateway VPN per la rete virtuale locale. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale e premere INVIO.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-Onprem.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  6. In Tipo di gateway selezionare VPN.
  7. In SKU, selezionare VpnGw2.
  8. Per Generazione, selezionare Generation2.
  9. In Rete virtuale, selezionare VNet-Onprem.
  10. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-Onprem-GW-pip per il nome.
  11. Per Abilita la modalità attiva-attiva, selezionare Disabilitata.
  12. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  13. Esaminare la configurazione e quindi selezionare Crea.

Creare le connessioni VPN

A questo punto è possibile creare le connessioni VPN tra gateway locali e hub.

In questo passaggio si crea la connessione dalla rete virtuale dell'hub alla rete virtuale locale. È presente una chiave condivisa a cui si fa riferimento negli esempi. È possibile utilizzare i propri valori specifici per la chiave condivisa. L'importante è che la chiave condivisa corrisponda per entrambe le configurazioni. La creazione della nuova connessione richiede tempo.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-hub.
  2. Nella colonna sinistra, in Impostazioni selezionare Connessioni.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione digitare Hub-to-Onprem.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. Selezionare Avanti: Impostazioni.
  7. Per il Primo gateway di rete virtuale, selezionare GW-hub.
  8. In Secondo gateway di rete virtuale selezionare GW-Onprem.
  9. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Seleziona Crea.

Creare la connessione dalla rete virtuale locale alla rete virtuale dell'hub. Questo passaggio è simile a quello precedente, con la differenza che viene creata la connessione da VNet-Onprem a VNet-hub. Assicurarsi che le chiavi condivise corrispondano. Dopo alcuni minuti la connessione verrà stabilita.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-Onprem.
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Selezionare Aggiungi.
  4. Per il nome della connessione digitare Onprem-to-Hub.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. Selezionare Avanti: Impostazioni.
  7. Per il Primo gateway di rete virtuale, selezionare GW-Onprem.
  8. In Secondo gateway di rete virtuale selezionare GW-hub.
  9. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  10. Seleziona OK.

Verificare la connessione

Dopo circa cinque minuti, una volta distribuita la seconda connessione di rete, lo stato di entrambe le connessioni deve essere Connesso.

Screenshot che mostra la pagina connessioni gateway VPN.

Eseguire il peering tra le reti virtuali dell'hub e spoke

Eseguire ora il peering tra le reti virtuali dell'hub e spoke.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare la rete virtuale VNet-hub.

  2. Nella colonna di sinistra selezionare Peering.

  3. Selezionare Aggiungi.

  4. In Riepilogo della rete virtuale remota:

    Nome impostazione Valore
    Nome del collegamento di peering SpoketoHub
    Modello di distribuzione della rete virtuale Gestione risorse
    Subscription <sottoscrizione in uso>
    Rete virtuale VNet-Spoke
    Consentire a"VNet-Spoke" di accedere a"VNet-hub" Opzione selezionata
    Consentire a "VNet-Spoke" di ricevere traffico inoltrato da "VNet-Hub" Opzione selezionata
    Consentire al gateway o al server di route in "VNet-Spoke" di inoltrare il traffico a "VNet-Hub" non selezionato
    Abilitare "VNet-Spoke" per l'uso del gateway remoto o del server di route "VNet-hub" Opzione selezionata

  5. In Riepilogo della rete virtuale locale:

    Nome impostazione Valore
    Nome del collegamento di peering HubtoSpoke
    Consentire a"VNet-hub" di accedere a"VNet-spoke-2" Opzione selezionata
    Consentire a "VNet-hub" di ricevere traffico inoltrato da "VNet-spoke-2" Opzione selezionata
    Consentire al gateway o al server di route in "VNet-Hub" di inoltrare il traffico a "VNet-Spoke" Opzione selezionata
    Abilitare "VNet-hub" per usare il gateway remoto o il server di route "VNet-Spoke" non selezionato

  6. Selezionare Aggiungi.

    Screenshot che mostra il peering delle reti virtuali.

Creare le route

Creare quindi due route:

  • Una route dalla subnet del gateway dell'hub alla subnet spoke attraverso l'indirizzo IP del firewall
  • Una route predefinita dalla subnet spoke attraverso l'indirizzo IP del firewall
  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di routing.
  4. Seleziona Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare Stati Uniti orientali.
  7. Per il nome digitare UDR-Hub-Spoke.
  8. Selezionare Rivedi e crea.
  9. Seleziona Crea.
  10. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  11. Selezionare Route nella colonna di sinistra.
  12. Selezionare Aggiungi.
  13. Come nome della route digitare ToSpoke.
  14. Per Tipo di destinazione, selezionare Indirizzi IP.
  15. Per Indirizzi IP/Intervalli CIDR di destinazione digitare 10.6.0.0/16.
  16. Come tipo hop successivo selezionare Appliance virtuale.
  17. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  18. Selezionare Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-Hub-Spoke - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-hub.
  4. In Subnet selezionare GatewaySubnet.
  5. Seleziona OK.

A questo punto creare la route predefinita dalla subnet spoke.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di routing.
  4. Seleziona Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare Stati Uniti orientali.
  7. Per il nome digitare UDR-DG.
  8. Per Propaga route del gateway, selezionare No.
  9. Selezionare Rivedi e crea.
  10. Seleziona Crea.
  11. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  12. Selezionare Route nella colonna di sinistra.
  13. Selezionare Aggiungi.
  14. Come nome della route digitare ToHub.
  15. Per Tipo di destinazione, selezionare Indirizzi IP
  16. Per Indirizzi IP/Intervalli CIDR di destinazione digitare 0.0.0.0/0.
  17. Come tipo hop successivo selezionare Appliance virtuale.
  18. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  19. Selezionare Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-DG - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-spoke.
  4. In Subnet selezionare SN-Workload.
  5. Seleziona OK.

Creare macchine virtuali

Creare ora le macchine virtuali locali e per il carico di lavoro spoke e posizionarle nelle subnet appropriate.

Creare la macchina virtuale per il carico di lavoro

Creare una macchina virtuale nella rete virtuale spoke, con IIS in esecuzione e senza indirizzo IP pubblico.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. In Prodotti più diffusi del marketplace, selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    • Gruppo di risorse: selezionare FW-Hybrid-Test.
    • Identità macchina virtuale: VM-Spoke-01
    • Area - (US) East US
    • Nome utente: digitare un nome utente
    • Password: digitare una password

  4. In Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi selezionare HTTP (80) e RDP (3389)

  5. Selezionare Next:Disks.

  6. Accettare le impostazioni predefinite e selezionare Avanti: Networking.

  7. Selezionare VNet-Spoke per la rete virtuale. La subnet è SN-Workload.

  8. Selezionare Next:Management.

  9. Selezionare Avanti: Monitoraggio.

  10. In Diagnostica di avvio selezionare Disabilita.

  11. Selezionare Rivedi e crea, revisionare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Installare IIS

  1. Nel portale di Azure aprire Cloud Shell e assicurarsi che sia impostato su PowerShell.

  2. Eseguire questo comando per installare IIS nella macchina virtuale e, se necessario, modificare il percorso:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Creare la macchina virtuale locale

Si tratta di una macchina virtuale usata per connettersi all'indirizzo IP pubblico usando Desktop remoto. Da qui, ci si connette al server locale attraverso il firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. In Più diffusi, selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    • Gruppo di risorse: selezionare Usa esistente e quindi FW-Hybrid-Test
    • Identità macchina virtuale: - VM-Onprem
    • Area - (US) East US
    • Nome utente: digitare un nome utente
    • Password: digitare la password.

  4. In Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi selezionare RDP (3389).

  5. Selezionare Next:Disks.

  6. Accettare le impostazioni predefinite e selezionare Next:Networking.

  7. Selezionare VNet-Onprem per la rete virtuale e verificare che la subnet sia SN-Corp.

  8. Selezionare Next:Management.

  9. Selezionare Avanti: Monitoraggio.

  10. In Diagnostica di avvio, selezionare Disabilita.

  11. Selezionare Rivedi e crea, revisionare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Testare il firewall

  1. Innanzitutto, prendere nota dell'indirizzo IP privato per la macchina virtuale VM-spoke-01 nella pagina di panoramica VM-Spoke-01.

  2. Dal portale di Azure connettersi alla macchina virtuale VM-Onprem.

  1. Aprire un Web browser in VM-Onprem e andare a http://<IP privato VM-spoke-01>.

    È necessario utilizzare la pagina Web VM-spoke-01: Screenshot che mostra la pagina Web vm-spoke-01

  2. Nella macchina virtuale VM-Onprem aprire un desktop remoto per VM-spoke-01 all'indirizzo IP privato.

    La connessione dovrebbe avere esito positivo e dovrebbe essere possibile eseguire l'accesso.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile esplorare il Web server nella rete virtuale spoke.
  • È possibile connettersi al server nella rete virtuale spoke con RDP.

Modificare quindi l'azione della raccolta di regole di rete del firewall impostandola su Nega per verificare che le regole del firewall funzionino come previsto.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il criterio firewall Pol-Net01.
  2. In Impostazioni, selezionare Raccolte di regole.
  3. Selezionare la raccolta di schede RCNet01.
  4. In Azione della raccolta regole selezionare Nega.
  5. Seleziona Salva.

Chiudere eventuali browser e desktop remoti esistenti in VM-Onprem prima di testare le regole modificate. Al termine dell'aggiornamento della raccolta di regole, eseguire di nuovo i test La connessione dovrebbe avere esito negativo per tutti.

Pulire le risorse

È possibile conservare le risorse del firewall per ulteriori indagini oppure, se non è più necessario, eliminare il gruppo di risorse FW-Hybrid-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Esercitazione: proteggere la rete WAN virtuale con Gestione firewall di Azure