Déployer et configurer le Pare-feu Azure De base et une stratégie à l’aide du portail Azure

  • Article

Le Pare-feu Azure De base offre la protection essentielle dont les PME ont besoin à un niveau de prix abordable. Cette solution est recommandée pour les environnements de PME dont les exigences en matière de débit sont inférieures à 250 Mbits/s. Il est recommandé de déployer la référence (SKU) Standard pour des environnements dont les exigences en matière de débit sont supérieures à 250 Mbits/s, et la référence (SKU) Premium pour une protection avancée contre les menaces.

Le filtrage du trafic réseau et des applications est une partie importante d’un plan de sécurité réseau global. Par exemple, vous pouvez souhaiter limiter l’accès aux sites web. Vous pouvez aussi vouloir limiter l’accès à certaines adresses IP et à certains ports sortants.

Vous pouvez contrôler l’accès réseau entrant et sortant à partir d’un sous-réseau Azure avec un Pare-feu Azure et une stratégie de pare-feu. Avec le Pare-feu Azure et une stratégie de pare-feu, vous pouvez configurer :

  • Règles d’application qui définissent des noms de domaine complets (FQDN) accessibles depuis un sous-réseau.
  • Règles réseau qui définissent l’adresse source, le protocole, le port de destination et l’adresse de destination.
  • Règles DNAT pout traduire et filtrer le trafic Internet entrant vers vos sous-réseaux.

Le trafic réseau est soumis aux règles de pare-feu configurées lorsque vous routez votre trafic réseau vers le pare-feu en tant que sous-réseau de passerelle par défaut.

Dans le cadre de ce guide pratique, vous créez un réseau virtuel simplifié avec trois sous-réseaux pour un déploiement facile. Le Pare-feu Azure De base doit obligatoirement être configuré avec une carte réseau de gestion.

  • AzureFirewallSubnet : le pare-feu est dans ce sous-réseau.
  • AzureFirewallManagementSubnet pour le trafic de management des services.
  • Workload-SN : le serveur de la charge de travail est dans ce sous-réseau. Le trafic réseau de ce sous-réseau traverse le pare-feu.

Notes

Étant donné que le Pare-feu Azure De base a un trafic limité par rapport à la référence SKU Pare-feu Azure Standard ou Premium, AzureFirewallManagementSubnet doit séparer le trafic client du trafic de gestion Microsoft afin d’éviter toute interruption. Ce trafic de gestion est nécessaire pour la communication des mises à jour et des métriques d’intégrité qui se produit automatiquement vers et depuis Microsoft uniquement. Aucune autre connexion n’est autorisée sur cette adresse IP.

Pour les déploiements de production, un modèle Hub and Spoke, dans lequel le pare-feu est dans son propre réseau virtuel, est recommandé. Les serveurs de la charge de travail se trouvent dans des réseaux virtuels appairés dans la même région avec un ou plusieurs sous-réseaux.

Nous expliquons ici comment :

  • Configurer un environnement réseau de test
  • Déployer un pare-feu de base et une stratégie de pare-feu de base
  • Créer un itinéraire par défaut
  • Configurer une règle d’application pour autoriser l’accès à www.google.com
  • Configurer une règle de réseau pour autoriser l’accès aux serveurs DNS externes
  • Configurer une règle NAT pour autoriser la connexion d’un Bureau à distance au serveur de test
  • Tester le pare-feu

Si vous préférez, vous pouvez suivre cette procédure en utilisant Azure PowerShell.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

Le groupe de ressources contient toutes les ressources pour le guide pratique.

  1. Connectez-vous au portail Azure.
  2. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Ensuite, sélectionnez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Dans Nom du groupe de ressources, entrez Test-FW-RG.
  5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Déployer le pare-feu et la stratégie

Déployez le pare-feu et créez l’infrastructure réseau associée.

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

  2. Tapez pare-feu dans la zone de recherche, puis appuyez sur Entrée.

  3. Sélectionnez Pare-feu, puis Créer.

  4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Abonnement <votre abonnement>
    Resource group Test-FW-RG
    Nom Test-FW01
    Région Sélectionnez le même emplacement que celui utilisé précédemment
    Niveau de pare-feu De base
    Gestion de pare-feu Utiliser une stratégie de pare-feu pour gérer ce pare-feu
    Stratégie de pare-feu Ajouter nouveau :
    fw-test-pol
    Votre région sélectionnée
    Le niveau de stratégie par défaut devrait être De base
    Choisir un réseau virtuel Création
    Nom : Test-FW-VN
    Espace d’adressage : 10.0.0.0/16
    Espace d’adressage de sous-réseau : 10.0.0.0/26
    Adresse IP publique Ajouter nouveau :
    Nom : fw-pip
    Gestion - Espace d’adressage de sous-réseau 10.0.1.0/26
    Adresse IP publique de gestion Ajouter nouveau
    fw-mgmt-pip

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  6. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

    Le déploiement nécessite quelques minutes.

  7. Une fois le déploiement terminé, accédez au groupe de ressources Test-FW-RG, puis sélectionnez le pare-feu Test-FW01.

  8. Notez les adresses IP privée et publique (fw-pip) du pare-feu. Vous les utiliserez plus tard.

Créer un sous-réseau pour le serveur de charge de travail

Créez ensuite un sous-réseau pour le serveur de la charge de travail.

  1. Accédez au groupe de ressources Test-FW-RG et sélectionnez le réseau virtuel Test-FW-VN.
  2. Sélectionner Sous-réseaux.
  3. Sélectionner Sous-réseau.
  4. Pour Nom du sous-réseau, entrez Workload-SN.
  5. Pour Plage d’adresses du sous-réseau, entrez 10.0.2.0/24.
  6. Sélectionnez Enregistrer.

Création d'une machine virtuelle

À présent, créez la machine virtuelle de charge de travail et placez-la dans le sous-réseau Workload-SN.

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

  2. Sélectionnez Windows Server 2019 Datacenter.

  3. Entrez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    Resource group Test-FW-RG
    Nom de la machine virtuelle Srv-Work
    Région Identique au précédent
    Image Windows Server 2019 Datacenter
    Nom d’utilisateur de l’administrateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe.

  4. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucune.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  6. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Assurez-vous que Test-FW-VN est sélectionné pour le réseau virtuel et que le sous-réseau est Workload-SN.

  8. Pour Adresse IP publique, sélectionnez Aucune.

  9. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.

  10. Sélectionnez Suivant : Supervision.

  11. Sélectionnez Désactiver pour désactiver les diagnostics de démarrage. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  12. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

  13. Une fois le déploiement terminé, sélectionnez la ressource Srv-Work et notez l’adresse IP privée pour l’utiliser ultérieurement.

Créer un itinéraire par défaut

Pour le sous-réseau Workload-SN, configurez l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

  1. Dans le menu du Portail Azure, sélectionnez Tous les services ou recherchez et sélectionnez Tous les services dans n’importe quelle page.
  2. Sous Mise en réseau, sélectionnez Tables d’itinéraires.
  3. Sélectionnez Create (Créer).
  4. Pour Abonnement, sélectionnez votre abonnement.
  5. Pour Groupe de ressources, sélectionnez Test-FW-RG.
  6. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  7. Pour Nom, entrez Firewall-route.
  8. Sélectionnez Revoir + créer.
  9. Sélectionnez Create (Créer).

Une fois le déploiement terminé, sélectionnez Accéder à la ressource.

  1. Sur la page de Firewall-route, sélectionnez Sous-réseaux, puis sélectionnez Associer.

  2. Sélectionnez Réseau virtuel>Test-FW-VN.

  3. Pour Sous-réseau, sélectionnez Workload-SN. Veillez à ne sélectionner que le sous-réseau Workload-SN pour cette route, sinon votre pare-feu ne fonctionnera pas correctement.

  4. Sélectionnez OK.

  5. Sélectionnez Itinéraires, puis Ajouter.

  6. Pour Nom de l’itinéraire, tapez fw-dg.

  7. Pour Destination du préfixe d’adresse, sélectionnez Adresses IP.

  8. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.

  9. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

  10. Pour Adresse de tronçon suivant, entrez l’adresse IP privée pour le pare-feu que vous avez notée précédemment.

  11. Sélectionnez Ajouter.

Configurer une règle d’application

Il s’agit de la règle d’application qui autorise un accès sortant à www.google.com.

  1. Ouvrez Test-FW-RG, puis sélectionnez la stratégie de pare-feu fw-test-pol.
  2. Sélectionnez Règles d’application.
  3. Sélectionnez Ajouter une collection de règles.
  4. Pour Nom, entrez App-Coll01.
  5. Pour Priorité, entrez 200.
  6. Pour Action de collection de règles, sélectionnez Autoriser.
  7. Sous Règles, pour Nom, tapez Allow-Google.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, tapez 10.0.2.0/24.
  10. Pour Protocol:port, entrez http, https.
  11. Pour Type de destination, sélectionnez FQDN.
  12. Pour Destination, tapez www.google.com
  13. Sélectionnez Ajouter.

Le Pare-feu Azure comprend un regroupement de règles intégré pour les noms de domaine complets d’infrastructure qui sont autorisés par défaut. Ces noms de domaine complets sont spécifiques à la plateforme et ne peuvent pas être utilisés à d’autres fins. Pour plus d’informations, consultez Noms de domaine complets d’infrastructure.

Configurer une règle de réseau

Il s’agit de la règle de réseau qui autorise un accès sortant à deux adresses IP sur le port 53 (DNS).

  1. Sélectionnez Règles de réseau.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour Nom, entrez Net-Coll01.
  4. Pour Priorité, entrez 200.
  5. Pour Action de collection de règles, sélectionnez Autoriser.
  6. Pour Groupe de collection de règles, sélectionnez DefaultNetworkRuleCollectionGroup.
  7. Sous Règles, pour Nom, tapez Allow-DNS.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, tapez 10.0.2.0/24.
  10. Pour Protocole, sélectionnez UDP.
  11. Pour Ports de destination, entrez 53.
  12. Pour Type de destination, sélectionnez Adresse IP.
  13. Pour Destination, tapez 209.244.0.3,209.244.0.4.
    Il s’agit de serveurs DNS publics gérés par Level3.
  14. Sélectionnez Ajouter.

Configurer une règle DNAT

Cette règle vous permet de connecter un Bureau à distance à la machine virtuelle Srv-Work par le biais du pare-feu.

  1. Sélectionnez les règles DNAT.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour Nom, entrez rdp.
  4. Pour Priorité, entrez 200.
  5. Pour Groupe de collection de règles, sélectionnez DefaultDnatRuleCollectionGroup.
  6. Sous Règles, pour Nom, entrez rdp-nat.
  7. Pour Type de source, sélectionnez Adresse IP.
  8. Pour Source, tapez *.
  9. Pour Protocole, sélectionnez TCP.
  10. Pour Ports de destination, tapez 3389.
  11. Pour Type de destination, sélectionnez Adresse IP.
  12. Pour Destination, tapez l’adresse IP publique du pare-feu (fw-pip).
  13. Pou Adresse traduite, saisissez l’adresse IP privée de Srv-work.
  14. Dans le champ Port traduit, tapez 3389.
  15. Sélectionnez Ajouter.

Modifier les adresses DNS principales et secondaires de l’interface réseau Srv-Work

À des fins de test dans ce guide pratique, configurez les adresses DNS principale et secondaire du serveur. Ceci n’est pas obligatoire pour le pare-feu Azure.

  1. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG.
  2. Sélectionnez l’interface réseau de la machine virtuelle Srv-Work.
  3. SousParamètres, sélectionnez Serveurs DNS.
  4. Sous Serveurs DNS, sélectionnez Personnalisé.
  5. Entrez 209.244.0.3 dans la zone de texte Ajouter un serveur DNS, et 209.244.0.4 dans la zone de texte suivante.
  6. Sélectionnez Enregistrer.
  7. Redémarrez la machine virtuelle Srv-Work.

Tester le pare-feu

Testez maintenant le pare-feu pour vérifier qu’il fonctionne comme prévu.

  1. Connectez un bureau à distance à l’adresse IP publique du pare-feu (fw-pip) et connectez-vous à la machine virtuelle Srv-Work.

  2. Ouvrez Internet Explorer et accédez à https://www.google.com.

  3. Sélectionnez OK>Fermer sur les alertes de sécurité d’Internet Explorer.

    La page d’accueil Google doit s’afficher.

  4. Accédez à http://www.microsoft.com.

    Vous devriez être bloqué par le pare-feu.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez connecter un bureau à distance à la machine virtuelle Srv-Work.
  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.
  • Vous pouvez résoudre les noms DNS à l’aide du serveur DNS externe configuré.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu à des fins de test complémentaire ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources Test-FW-RG pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Déployer et configurer le Pare-feu Azure Premium