Fonctionnalités du service Pare-feu Azure de base

  • Article

Le Pare-feu Azure de base est un service de sécurité réseau cloud managé qui protège vos ressources de réseau virtuel Azure.

Diagram showing Firewall Basic.

Le Pare-feu Azure de base inclut les fonctionnalités suivantes :

  • Haute disponibilité intégrée
  • Zones de disponibilité
  • Règles de filtrage des noms de domaine complets de l’application
  • Règles de filtrage du trafic réseau
  • Balises FQDN
  • Balises de service
  • Veille des menaces en mode alerte
  • Prise en charge du mode SNAT sortant
  • Prise en charge du trafic DNAT entrant
  • Adresses IP publiques multiples
  • Journalisation d’Azure Monitor
  • Certifications

Pour comparer les fonctionnalités Pare-feu Azure pour toutes les références SKU du pare-feu, consultez Choisir la référence SKU du Pare-feu Azure adaptée à vos besoins.

Haute disponibilité intégrée

Comme la haute disponibilité est intégrée, aucun équilibreur de charge supplémentaire n’est nécessaire, et vous n’avez rien à configurer.

Zones de disponibilité

Le Pare-feu Azure peut être configuré pendant le déploiement pour couvrir plusieurs zones de disponibilité afin de fournir une disponibilité supérieure. Vous pouvez également associer le Pare-feu Azure à une zone spécifique pour des raisons de proximité. Pour plus d’informations sur la disponibilité, consultez Contrat de niveau de service (SLA) du Pare-feu Azure.

Il n’existe aucun coût supplémentaire pour un pare-feu déployé dans plusieurs zones de disponibilité. Par contre, il existe des coûts supplémentaires pour les transferts de données entrants et sortants associés aux Zones de disponibilité Azure. Pour plus d’informations, consultez Détails de la tarification de la bande passante.

Les Zones de disponibilité de Pare-feu Azure sont disponibles dans les régions prenant en charge les Zones de disponibilité. Pour plus d’informations, consultez les Régions prenant en charge les zones de disponibilité dans Azure.

Règles de filtrage des noms de domaine complets de l’application

Vous pouvez limiter le trafic HTTP/S sortant ou le trafic SQL Azure vers une liste spécifiée de noms de domaine complets (FQDN), y compris des caractères génériques. Cette fonctionnalité ne nécessite pas d’arrêt TLS.

La vidéo suivante montre comment créer une règle d’application :

Règles de filtrage du trafic réseau

Vous pouvez créer de façon centralisée des règles de filtrage réseau autoriser ou refuser par protocole, port et adresse IP source et de destination. Le service Pare-feu Azure étant entièrement avec état, il peut distinguer les paquets légitimes pour différents types de connexions. Les règles sont appliquées et consignées entre plusieurs abonnements et réseaux virtuels.

Le Pare-feu Azure prend en charge le filtrage avec état des protocoles réseau de couche 3 et de couche 4. Les protocoles IP de couche 3 peuvent être filtrés en sélectionnant n’importe quel protocole dans la règle de réseau et en sélectionnant le caractère générique * pour le port.

Balises FQDN

Les balises FQDN vous aident à autoriser le trafic réseau du service Azure connu via votre pare-feu. Par exemple, supposons que vous souhaitez autoriser le trafic réseau Windows Update via votre pare-feu. Vous créez une règle d’application et incluez la balise Windows Update. Le trafic réseau provenant de Windows Update peut désormais passer par votre pare-feu.

Balises de service

Une balise de service représente un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité. Vous ne pouvez pas créer votre propre balise de service, ni spécifier les adresses IP incluses dans une balise. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Informations sur les menaces

Le Filtrage basé sur la veille des menaces peut être activé pour que votre pare-feu lance des alertes relatives au trafic depuis ou vers des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence.

Prise en charge du mode SNAT sortant

Toutes les adresses IP du trafic réseau virtuel sortant sont traduites en adresse IP publique de Pare-feu Azure (Source Network Address Translation). Vous pouvez identifier et autoriser le trafic entre votre réseau virtuel et des destinations Internet distantes. Le Pare-feu Azure ne traduit pas l’adresse réseau source (SNAT) quand l’adresse IP de destination correspond à une plage d’adresses IP privées selon le document IANA RFC 1918.

Si votre organisation utilise une plage d’adresses IP publiques pour les réseaux privés, Pare-feu Azure traduit l’adresse réseau source du trafic en une des adresses IP privées du pare-feu dans AzureFirewallSubnet. Vous pouvez configurer Pare-feu Azure pour qu’il n’effectue pas une telle traduction. Pour plus d’informations, consultez Plages d’adresses IP privées SNAT du Pare-feu Azure.

Vous pouvez surveiller l’utilisation des ports SNAT dans les métriques du pare-feu Azure. Pour plus d’informations et voir notre recommandation sur l’utilisation des ports SNAT, consultez notre documentation sur les métriques et les journaux de pare-feu.

Pour plus d’informations détaillées sur les comportements NAT du Pare-feu Azure, consultez Comportements NAT du Pare-feu Azure.

Prise en charge du trafic DNAT entrant

Le trafic Internet entrant vers votre adresse IP publique de pare-feu est traduit (Destination Network Address Translation ou DNAT) et filtré selon les adresses IP privées sur vos réseaux virtuels.

Adresses IP publiques multiples

Vous pouvez associer plusieurs adresses IP publiques à votre pare-feu.

Cela donne accès aux scénarios suivants :

  • DNAT -Vous pouvez traduire plusieurs instances de ports standard vers vos serveurs principaux. Par exemple, si vous avez deux adresses IP publiques, vous pouvez traduire le port TCP 3389 (RDP) pour ces deux adresses IP.
  • SNAT - Des ports supplémentaires sont disponibles pour les connexions SNAT sortantes, réduisant ainsi le risque de pénurie de ports SNAT. À ce stade, Pare-feu Azure sélectionne aléatoirement l’adresse IP publique source à utiliser pour une connexion. Si votre réseau est doté d’un filtrage en aval, vous devez autoriser toutes les adresses IP publiques associées à votre pare-feu. Envisagez d’utiliser un préfixe d’adresse IP publique pour simplifier cette configuration.

Journalisation d’Azure Monitor

Tous les événements sont intégrés à Azure Monitor, ce qui vous permet d’archiver les journaux d’activité dans un compte de stockage, de transmettre en continu des événements à votre hub d’événements ou de les envoyer à des journaux d’activité Azure Monitor. Pour obtenir des exemples de journaux Azure Monitor, consultez Journaux Azure Monitor pour le Pare-feu Azure.

Pour plus d’informations, consultez Didacticiel : superviser les journaux du Pare-feu Azure et les métriques.

Le classeur Pare-feu Azure constitue un canevas flexible pour l’analyse de données du Pare-feu Azure. Il permet de créer des rapports visuels enrichis au sein du Portail Azure. Pour plus d’informations, consultez Monitoring des journaux avec un classeur Pare-feu Azure.

Certifications

Le service Pare-feu Azure est conforme aux normes PCI (Payment Card Industry), SOC (Service Organization Controls) et ISO (Organisation internationale de normalisation). Pour plus d’informations, consultez Certifications de conformité du pare-feu Azure.