Condividi tramite

Esercitazione: Proteggere la rete virtuale hub con Firewall di Azure Manager

  • Articolo

Quando si connette la rete locale a una rete virtuale di Azure per creare una rete ibrida, la possibilità di controllare l'accesso alle risorse di rete di Azure è una parte importante di un piano di sicurezza complessivo.

Gestione firewall di Azure consente di creare una rete virtuale hub per proteggere il traffico di rete ibrido destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. È possibile usare Gestione firewall di Azure per controllare l'accesso alla rete in una rete ibrida usando criteri che definiscono il traffico di rete consentito e negato.

Gestione firewall supporta anche un'architettura dell'hub virtuale protetto. Per un confronto delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.

Per questa esercitazione vengono create tre reti virtuali:

  • VNet-Hub: in questa rete virtuale si trova la rete virtuale.
  • VNet-Spoke: la rete virtuale spoke rappresenta il carico di lavoro che si trova in Azure.
  • VNet-Onprem: rappresenta una rete locale. In una distribuzione effettiva, può essere connessa usando una connessione VPN o ExpressRoute. Per semplicità, questa esercitazione usa una connessione gateway VPN e per rappresentare una rete locale viene usata una rete virtuale ubicata in Azure.

Hybrid network

In questa esercitazione apprenderai a:

  • Creare criteri firewall
  • Creare le reti virtuali
  • Configurare e distribuire il firewall
  • Creare e connettere i gateway VPN
  • Eseguire il peering tra le reti virtuali dell'hub e spoke
  • Creare le route
  • Creare le macchine virtuali
  • Testare il firewall

Prerequisiti

Una rete ibrida usa il modello di architettura hub-spoke per instradare il traffico tra reti virtuali di Azure e reti locali. L'architettura hub-spoke presenta i requisiti seguenti:

  • Impostare AllowGatewayTransit quando si esegue il peering dell'hub di rete virtuale con lo spoke di rete virtuale. Nell'architettura di rete hub-spoke il transito tramite gateway consente alle reti virtuali spoke di condividere il gateway VPN nell'hub invece di distribuire gateway VPN in ogni rete virtuale spoke.

    Inoltre, le route alle reti virtuali connesse al gateway o alle reti locali vengono propagate automaticamente alle tabelle di routing per le reti virtuali con peering usando il transito del gateway. Per altre informazioni, vedere Configurare il transito tramite gateway VPN per il peering di reti virtuali.

  • Impostare UseRemoteGateways quando si esegue il peering dello spoke di rete virtuale con l'hub di rete virtuale. Se è impostata l'opzione UseRemoteGateways ed è impostata anche l'opzione AllowGatewayTransit nel peering remoto, la rete virtuale spoke usa i gateway della rete virtuale remota per il transito.

  • Per instradare il traffico della subnet spoke attraverso il firewall dell'hub, è necessaria una route definita dall'utente che punti al firewall con l'impostazione Propagazione route del gateway di rete virtuale disabilitata. Questa opzione impedisce la distribuzione delle route alle subnet spoke. Evita anche che le route apprese entrino in conflitto con la route definita dall'utente.

  • Configurare una route definita dall'utente nella subnet del gateway dell'hub che punti all'indirizzo IP del firewall come hop successivo per le reti spoke. Non è richiesta alcuna route definita dall'utente nella subnet di Firewall di Azure, dal momento che le route vengono apprese dal protocollo BGP.

Vedere la sezione Creare route in questa esercitazione per vedere come vengono create le route.

Nota

Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite BGP è necessario sostituirla con una route UDR 0.0.0.0/0 con il valore NextHopType impostato come Internet per mantenere connettività diretta a Internet.

È possibile configurare Firewall di Azure per supportare il tunneling forzato. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.

Nota

Il traffico tra reti virtuali direttamente con peering viene instradato direttamente anche se una route definita dall'utente punta al firewall di Azure come gateway predefinito. Per inviare il traffico da subnet a subnet al firewall in questo scenario, una route definita dall'utente deve contenere il prefisso di rete subnet di destinazione in modo esplicito su entrambe le subnet.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare criteri firewall

  1. Accedi al portale di Azure.

  2. Nella barra di ricerca del portale di Azure digitare Gestione firewall e premere INVIO.

  3. Nella pagina Firewall di Azure Manager, in Sicurezza selezionare Criteri firewall di Azure.

    Screenshot showing Firewall Manager main page.

  4. Selezionare Crea criterio firewall di Azure.

  5. Selezionare la sottoscrizione e per Gruppo di risorse selezionare Crea nuovo e creare un gruppo di risorse denominato FW-Hybrid-Test.

  6. Come nome del criterio digitare Pol-Net01.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti: Impostazioni DNS.

  9. Selezionare Avanti : Ispezione TLS

  10. Selezionare Avanti: Regole.

  11. Selezionare Aggiungi una raccolta regole.

  12. In Nome digitare RCNet01.

  13. In Tipo di raccolta regole selezionare Rete.

  14. In Priorità digitare 100.

  15. In Azione selezionare Consenti.

  16. In Regole digitare AllowWeb in Nome.

  17. In Origine digitare 192.168.1.0/24.

  18. In Protocollo selezionare TCP.

  19. In Porte di destinazione digitare 80.

  20. In Tipo di destinazione selezionare Indirizzo IP.

  21. In Destinazione digitare 10.6.0.0/16.

  22. Nella riga successiva della regola immettere le informazioni seguenti:

    Nome: digitare AllowRDP
    Origine: digitare 192.168.1.0/24.
    Protocollo: selezionare TCP
    Porte di destinazione: digitare 3389
    Tipo di destinazione: selezionare Indirizzo IP
    Destinazione: digitare 10.6.0.0/16

  23. Seleziona Aggiungi.

  24. Selezionare Rivedi e crea.

  25. Rivedere i dettagli e quindi selezionare Crea.

Creare la rete virtuale dell'hub del firewall

Nota

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Cercare Rete virtuale e quindi selezionare Rete virtuale.

  3. Seleziona Crea.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. In Gruppo di risorse selezionare FW-Hybrid-Test.

  6. In Nome digitare VNet-hub.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti.

  9. In Sicurezza selezionare Avanti.

  10. Per Spazio indirizzi IPv4 digitare 10.5.0.0/16.

  11. In Subnet selezionare predefinito.

  12. Per Modello subnet selezionare Firewall di Azure.

  13. Per Indirizzo iniziale digitare 10.5.0.0/26.

  14. Accettare le altre impostazioni predefinite e quindi selezionare Salva.

  15. Selezionare Rivedi e crea.

  16. Seleziona Crea.

Aggiungere un'altra subnet denominata GatewaySubnet con uno spazio indirizzi 10.5.1.0/27. Questa subnet viene usata per il gateway VPN.

Creare la rete virtuale spoke

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Cercare Rete virtuale e quindi selezionare Rete virtuale.
  3. Seleziona Crea.
  4. Seleziona la tua sottoscrizione in Sottoscrizione.
  5. In Gruppo di risorse selezionare FW-Hybrid-Test.
  6. In Nome digitare VNet-Spoke.
  7. In Area selezionare Stati Uniti orientali.
  8. Selezionare Avanti.
  9. Nella pagina Sicurezza selezionare Avanti.
  10. Selezionare Avanti: Indirizzi IP.
  11. Per Spazio indirizzi IPv4 digitare 10.6.0.0/16.
  12. In Subnet selezionare predefinito.
  13. Modificare il nome in SN-Workload.
  14. Per Indirizzo iniziale digitare 10.6.0.0/24.
  15. Accettare le altre impostazioni predefinite e quindi selezionare Salva.
  16. Selezionare Rivedi e crea.
  17. Seleziona Crea.

Creare la rete virtuale locale

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Cercare Rete virtuale e quindi selezionare Rete virtuale.

  3. Seleziona Crea.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. In Gruppo di risorse selezionare FW-Hybrid-Test.

  6. In Nome rete virtuale digitare VNet-OnPrem.

  7. In Area selezionare Stati Uniti orientali.

  8. Selezionare Avanti.

  9. Nella pagina Sicurezza selezionare Avanti.

  10. Per Spazio indirizzi IPv4 digitare 192.168.0.0/16.

  11. In Subnet selezionare predefinito.

  12. Modificare Il nome in SN-Corp.

  13. Per Indirizzo iniziale digitare 192.168.1.0/24.

  14. Accettare le altre impostazioni predefinite e quindi selezionare Salva.

  15. Selezionare Aggiungi una subnet.

  16. Per Modello subnet selezionare Rete virtuale Gateway.

  17. Per Indirizzo iniziale digitare 192.168.2.0/27.

  18. Seleziona Aggiungi.

  19. Selezionare Rivedi e crea.

  20. Seleziona Crea.

Configurare e distribuire il firewall

Quando i criteri di sicurezza sono associati a un hub, viene definito rete virtuale hub.

Convertire la rete virtuale VNet-Hub in una rete virtuale hub e proteggerla con Firewall di Azure.

  1. Nella barra di ricerca del portale di Azure digitare Gestione firewall e premere INVIO.

  2. Nel riquadro destro selezionare Panoramica.

  3. Nella pagina Gestione firewall di Azure selezionare View hub virtual networks (Visualizza reti virtuali hub) in Add security to virtual networks (Aggiungi sicurezza alle reti virtuali).

  4. In Rete virtuale selezionare la casella di controllo per VNet-hub.

  5. Selezionare Gestisci sicurezza, quindi selezionare Distribuisci un firewall con criteri firewall.

  6. Nella pagina Converti reti virtuali, in Firewall di Azure livello selezionare Premium. In Criteri firewall selezionare la casella di controllo per Pol-Net01.

  7. Selezionare Avanti: Rivedi e conferma

  8. Rivedere i dettagli e quindi selezionare Conferma.

    La distribuzione richiede alcuni minuti.

  9. Al termine della distribuzione, passare al gruppo di risorse FW-Hybrid-Test e selezionare il firewall.

  10. Prendere nota del valore di Indirizzo IP privato di Firewall di Azure nella pagina Panoramica. Verrà usato in un secondo momento quando si crea la route predefinita.

Creare e connettere i gateway VPN

Le reti virtuali dell'hub e locale sono connesse tramite gateway VPN.

Creare un gateway VPN per la rete virtuale dell'hub

Creare ora un gateway VPN per la rete virtuale dell'hub. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale e premere INVIO.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-hub.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  6. In Tipo di gateway selezionare VPN.
  7. In Tipo VPN selezionare Basato su route.
  8. Per SKU selezionare VpnGw2.
  9. Per Generazione selezionare Generazione2.
  10. In Rete virtuale selezionare VNet-hub.
  11. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-hub-GW-pip per il nome.
  12. Per Abilita modalità attiva-attiva selezionare Disabilitato.
  13. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  14. Esaminare la configurazione e quindi selezionare Crea.

Creare un gateway VPN per la rete virtuale locale

Creare ora un gateway VPN per la rete virtuale locale. Le configurazioni da rete a rete richiedono un tipo di VpnType RouteBased. La creazione di un gateway VPN spesso richiede anche più di 45 minuti, a seconda della SKU del gateway VPN selezionata.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare gateway di rete virtuale e premere INVIO.
  3. Selezionare Gateway di rete virtuale e selezionare Crea.
  4. In Nome digitare GW-Onprem.
  5. In Area selezionare (Stati Uniti) Stati Uniti orientali.
  6. In Tipo di gateway selezionare VPN.
  7. In Tipo VPN selezionare Basato su route.
  8. Per SKU selezionare VpnGw2.
  9. Per Generazione selezionare Generazione2.
  10. In Rete virtuale, selezionare VNet-Onprem.
  11. In Indirizzo IP pubblico selezionare Crea nuovo e digitare VNet-Onprem-GW-pip per il nome.
  12. Per Abilita modalità attiva-attiva selezionare Disabilitato.
  13. Accettare tutte le altre impostazioni predefinite e quindi selezionare Rivedi e crea.
  14. Esaminare la configurazione e quindi selezionare Crea.

Creare le connessioni VPN

A questo punto è possibile creare le connessioni VPN tra gateway locali e hub.

In questo passaggio si crea la connessione dalla rete virtuale dell'hub alla rete virtuale locale. Negli esempi viene fatto riferimento a una chiave condivisa. È possibile utilizzare i propri valori specifici per la chiave condivisa. L'importante è che la chiave condivisa corrisponda per entrambe le configurazioni. La creazione della connessione richiede tempo.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-hub.
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Seleziona Aggiungi.
  4. Per il nome della connessione digitare Da Hub a Onprem.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. Selezionare Avanti : Impostazioni.
  7. Per Il primo gateway di rete virtuale selezionare GW-hub.
  8. In Secondo gateway di rete virtuale selezionare GW-Onprem.
  9. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  10. Selezionare Rivedi e crea.
  11. Seleziona Crea.

Creare la connessione dalla rete virtuale locale alla rete virtuale dell'hub. Questo passaggio è simile a quello precedente, con la differenza che viene creata la connessione da VNet-Onprem a VNet-hub. Assicurarsi che le chiavi condivise corrispondano. Dopo alcuni minuti la connessione verrà stabilita.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare il gateway GW-Onprem.
  2. Selezionare Connessioni nella colonna di sinistra.
  3. Seleziona Aggiungi.
  4. Per il nome della connessione digitare Onprem-to-Hub.
  5. Selezionare Da rete virtuale a rete virtuale in Tipo di connessione.
  6. In Secondo gateway di rete virtuale selezionare GW-hub.
  7. In Chiave condivisa (PSK) digitare AzureA1b2C3.
  8. Seleziona OK.

Verificare la connessione

Dopo circa cinque minuti lo stato di entrambe le connessioni dovrebbe essere Connesso.

Screenshot showing the vpn gateway connections.

Eseguire il peering tra le reti virtuali dell'hub e spoke

Eseguire ora il peering tra le reti virtuali dell'hub e spoke.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare la rete virtuale VNet-hub.

  2. Nella colonna di sinistra selezionare Peering.

  3. Seleziona Aggiungi.

  4. In Questa rete virtuale:

    Nome impostazione Valore
    Nome del collegamento di peering HubtoSpoke
    Consentire il traffico verso la rete virtuale remota selezionato
    Consentire il traffico inoltrato dalla rete virtuale remota (consentire il transito del gateway) selezionato
    Usare il gateway di rete virtuale remoto o il server di route non selezionato

  5. In Rete virtuale remota:

    Nome impostazione Valore
    Nome del collegamento di peering SpoketoHub
    Modello di distribuzione della rete virtuale Gestione risorse
    Subscription <sottoscrizione in uso>
    Rete virtuale VNet-Spoke
    Consentire il traffico verso la rete virtuale corrente selezionato
    Consentire il traffico inoltrato dalla rete virtuale corrente (consentire il transito del gateway) selezionato
    Usare il gateway di rete virtuale corrente o il server di route selezionato

  6. Seleziona Aggiungi.

    Screenshot showing Vnet peering.

Creare le route

Creare quindi due route:

  • Una route dalla subnet del gateway dell'hub alla subnet spoke attraverso l'indirizzo IP del firewall
  • Una route predefinita dalla subnet spoke attraverso l'indirizzo IP del firewall
  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di routing.
  4. Seleziona Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare Stati Uniti orientali.
  7. Per il nome digitare UDR-Hub-Spoke.
  8. Selezionare Rivedi e crea.
  9. Seleziona Crea.
  10. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  11. Selezionare Route nella colonna di sinistra.
  12. Seleziona Aggiungi.
  13. Come nome della route digitare ToSpoke.
  14. In Tipo di destinazione selezionare Indirizzi IP.
  15. Per Indirizzi IP di destinazione/intervalli CIDR digitare 10.6.0.0/16.
  16. Come tipo hop successivo selezionare Appliance virtuale.
  17. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  18. Seleziona Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-Hub-Spoke - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-hub.
  4. In Subnet selezionare GatewaySubnet.
  5. Seleziona OK.

A questo punto creare la route predefinita dalla subnet spoke.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Nella casella di testo di ricerca digitare tabella di route e premere INVIO.
  3. Selezionare Tabella di routing.
  4. Seleziona Crea.
  5. Selezionare FW-Hybrid-Test come gruppo di risorse.
  6. In Area selezionare Stati Uniti orientali.
  7. Per il nome digitare UDR-DG.
  8. Per Propaga route del gateway selezionare No.
  9. Selezionare Rivedi e crea.
  10. Seleziona Crea.
  11. Al termine della creazione della tabella di route, selezionarla per aprire la pagina corrispondente.
  12. Selezionare Route nella colonna di sinistra.
  13. Seleziona Aggiungi.
  14. Come nome della route digitare ToHub.
  15. Per Tipo di destinazione selezionare Indirizzi IP
  16. Per Indirizzi IP di destinazione/intervalli CIDR digitare 0.0.0.0/0.
  17. Come tipo hop successivo selezionare Appliance virtuale.
  18. Come indirizzo hop successivo digitare l'indirizzo IP privato del firewall annotato in precedenza.
  19. Seleziona Aggiungi.

A questo punto associare la route alla subnet.

  1. Nella pagina UDR-DG - Route selezionare Subnet.
  2. Selezionare Associa.
  3. In Rete virtuale selezionare VNet-spoke.
  4. In Subnet selezionare SN-Workload.
  5. Seleziona OK.

Creare macchine virtuali

Creare ora le macchine virtuali locali e per il carico di lavoro spoke e posizionarle nelle subnet appropriate.

Creare la macchina virtuale per il carico di lavoro

Creare una macchina virtuale nella rete virtuale spoke, con IIS in esecuzione e senza indirizzo IP pubblico.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. In Prodotti Marketplace più diffusi selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    • Gruppo di risorse - Selezionare FW-Hybrid-Test
    • Nome macchina virtuale: VM-Spoke-01
    • Area - (Stati Uniti) Stati Uniti orientali
    • Nome utente: digitare un nome utente
    • Password: digitare una password

  4. In Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi selezionare HTTP (80) e RDP (3389)

  5. Selezionare Next:Disks.

  6. Accettare le impostazioni predefinite e selezionare Avanti: Rete.

  7. Selezionare VNet-Spoke per la rete virtuale. La subnet è SN-Workload.

  8. Selezionare Next:Management.

  9. Selezionare Avanti : Monitoraggio.

  10. In Diagnostica di avvio selezionare Disabilita.

  11. Selezionare Rivedi e crea, rivedere le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Installare IIS

  1. Nel portale di Azure aprire Cloud Shell e assicurarsi che sia impostato su PowerShell.

  2. Eseguire questo comando per installare IIS nella macchina virtuale e, se necessario, modificare il percorso:

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

Creare la macchina virtuale locale

Si tratta di una macchina virtuale usata per connettersi all'indirizzo IP pubblico usando Desktop remoto. Da qui, ci si connette al server locale attraverso il firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. In Popolare selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    • Gruppo di risorse: selezionare esistente e quindi FW-Hybrid-Test
    • Nome - macchina virtuale VM-Onprem
    • Area - (Stati Uniti) Stati Uniti orientali
    • Nome utente: digitare un nome utente
    • Password: digitare la password.

  4. In Porte in ingresso pubbliche selezionare Consenti porte selezionate e quindi selezionare RDP (3389).

  5. Selezionare Next:Disks.

  6. Accettare le impostazioni predefinite e selezionare Next:Networking.

  7. Selezionare VNet-Onprem per la rete virtuale e verificare che la subnet sia SN-Corp.

  8. Selezionare Next:Management.

  9. Selezionare Avanti : Monitoraggio.

  10. Per Diagnostica di avvio selezionare Disabilita.

  11. Selezionare Rivedi e crea, rivedere le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Testare il firewall

  1. Innanzitutto, prendere nota dell'indirizzo IP privato per la macchina virtuale VM-spoke-01 nella pagina di panoramica VM-Spoke-01.

  2. Dal portale di Azure connettersi alla macchina virtuale VM-Onprem.

  1. Aprire un Web browser in VM-Onprem e andare a http://<IP privato VM-spoke-01>.

    Verrà visualizzata la pagina Web VM-spoke-01 : Screenshot showing vm-spoke-01 web page.

  2. Nella macchina virtuale VM-Onprem aprire un desktop remoto per VM-spoke-01 all'indirizzo IP privato.

    La connessione dovrebbe avere esito positivo e dovrebbe essere possibile eseguire l'accesso.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile esplorare il Web server nella rete virtuale spoke.
  • È possibile connettersi al server nella rete virtuale spoke con RDP.

Modificare quindi l'azione della raccolta di regole di rete del firewall impostandola su Nega per verificare che le regole del firewall funzionino come previsto.

  1. Aprire il gruppo di risorse FW-Hybrid-Test e selezionare i criteri firewall Pol-Net01 .
  2. In Impostazioni selezionare Raccolte regole.
  3. Selezionare la raccolta regole RCNet01 .
  4. In Azione della raccolta regole selezionare Nega.
  5. Seleziona Salva.

Chiudere eventuali browser e desktop remoti esistenti in VM-Onprem prima di testare le regole modificate. Al termine dell'aggiornamento della raccolta di regole, eseguire di nuovo i test Dovrebbero tutti non riuscire a connettersi questa volta.

Pulire le risorse

È possibile mantenere le risorse del firewall per ulteriori indagini o, se non sono più necessarie, eliminare il gruppo di risorse FW-Hybrid-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Esercitazione: Proteggere la rete WAN virtuale con Firewall di Azure Manager