Partager via

Déployer et configurer Azure Firewall Basic et la stratégie via le portail Azure

Pare-feu Azure Basic offre la protection essentielle dont les clients PME ont besoin à un prix abordable. Cette solution est recommandée pour les environnements clients SMB avec des exigences de débit inférieures à 250 Mbits/s. Il est recommandé de déployer la référence SKU Standard pour les environnements dont le débit est supérieur à 250 Mbits/s et la référence SKU Premium pour une protection avancée contre les menaces.

Le filtrage du trafic réseau et de l’application est une partie importante d’un plan de sécurité réseau global. Par exemple, vous pouvez souhaiter limiter l’accès aux sites web. Vous pouvez aussi vouloir limiter l’accès à certaines adresses IP et à certains ports sortants.

Vous pouvez contrôler à la fois l’accès réseau entrant et sortant à partir d’un sous-réseau Azure avec le Pare-feu Azure et la stratégie de pare-feu. Avec le Pare-feu Azure et la stratégie de pare-feu, vous pouvez configurer :

  • Règles d’application qui définissent des noms de domaine complets (FQDN) accessibles depuis un sous-réseau.
  • Règles réseau qui définissent l’adresse source, le protocole, le port de destination et l’adresse de destination.
  • Règles DNAT pour traduire et filtrer le trafic Internet entrant vers vos sous-réseaux.

Le trafic réseau est soumis aux règles de pare-feu configurées lorsque vous routez votre trafic réseau vers le pare-feu en tant que sous-réseau de passerelle par défaut.

Pour ce guide pratique, vous créez un réseau virtuel unique simplifié avec trois sous-réseaux pour faciliter le déploiement. Firewall Basic a une exigence obligatoire pour être configuré avec une carte réseau de gestion.

  • AzureFirewallSubnet : le pare-feu est dans ce sous-réseau.
  • AzureFirewallManagementSubnet : pour le trafic de gestion des services.
  • Workload-SN : le serveur de la charge de travail est dans ce sous-réseau. Le trafic réseau de ce sous-réseau traverse le pare-feu.

Note

Étant donné que le pare-feu Azure Basic a limité le trafic par rapport à la référence SKU Standard ou Premium du pare-feu Azure, il exige qu’AzureFirewallManagementSubnet sépare le trafic client du trafic de gestion Microsoft afin de s’assurer qu’aucune interruption ne s’y produit. Ce trafic de gestion est nécessaire pour les mises à jour et les communications de métriques d’intégrité qui se produisent automatiquement vers et depuis Microsoft uniquement. Aucune autre connexion n’est autorisée sur cette adresse IP.

Pour les déploiements de production, un modèle hub-and-spoke est recommandé, où le pare-feu se trouve dans son propre réseau virtuel. Les serveurs de la charge de travail se trouvent dans des réseaux virtuels appairés dans la même région avec un ou plusieurs sous-réseaux.

Dans ce guide pratique, vous allez apprendre à :

  • Configurer un environnement réseau de test
  • Déployer un pare-feu de base et une stratégie de pare-feu de base
  • Créer un itinéraire par défaut
  • Configurer une règle d’application pour autoriser l’accès à www.google.com
  • Configurer une règle de réseau pour autoriser l’accès aux serveurs DNS externes
  • Configurer une règle NAT pour autoriser un bureau à distance au serveur de test
  • Tester le pare-feu

Si vous préférez, vous pouvez suivre cette procédure en utilisant Azure PowerShell.

Prerequisites

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

Le groupe de ressources contient toutes les ressources pour le guide pratique.

  1. Connectez-vous au portail Azure.
  2. Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez ensuite Créer.
  3. Pour l’abonnement, sélectionnez votre abonnement.
  4. Pour le nom du groupe de ressources, entrez Test-FW-RG.
  5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
  6. Sélectionnez Vérifier + créer.
  7. Cliquez sur Créer.

Déployer le pare-feu et la stratégie

Déployez le pare-feu et créez l’infrastructure réseau associée.

  1. Dans le menu du portail Azure ou dans la page d’accueil , sélectionnez Créer une ressource.

  2. Tapez pare-feu dans la zone de recherche, puis appuyez sur Entrée.

  3. Sélectionnez Pare-feu, puis Créer.

  4. Dans la page Créer un pare-feu , utilisez le tableau suivant pour configurer le pare-feu :

    Réglage Valeur
    Subscription <votre abonnement>
    groupe de ressources Test-FW-RG
    Nom Test-FW01
    Région Sélectionnez le même emplacement que celui que vous avez utilisé précédemment
    Niveau de pare-feu Basic
    Gestion de pare-feu Utiliser une stratégie de pare-feu pour gérer ce pare-feu
    Stratégie de pare-feu Ajoutez nouveau :
    fw-test-pol
    Votre région sélectionnée
    Le niveau de stratégie doit être défini par défaut sur Basic
    Choisir un réseau virtuel Créer
    Nom : Test-FW-VN
    Espace d’adressage : 10.0.0.0/16
    Espace d’adressage du sous-réseau : 10.0.0.0/26
    Adresse IP publique Ajoutez nouveau :
    Nom : fw-pip
    Gestion - Espace d’adressage du sous-réseau 10.0.1.0/26
    Adresse IP publique de gestion Ajouter un nouveau
    fw-mgmt-pip

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  6. Passez en revue le résumé, puis sélectionnez Créer pour créer le pare-feu.

    Le déploiement nécessite quelques minutes.

  7. Une fois le déploiement terminé, accédez au groupe de ressources Test-FW-RG , puis sélectionnez le pare-feu Test-FW01 .

  8. Notez les adresses IP privée et publique (fw-pip) du pare-feu. Vous utiliserez ces adresses ultérieurement.

Créer un sous-réseau pour le serveur de charge de travail

Ensuite, créez un sous-réseau pour le serveur de charge de travail.

  1. Accédez au groupe de ressources Test-FW-RG et sélectionnez le réseau virtuel Test-FW-VN .
  2. Sélectionner Sous-réseaux.
  3. Sélectionnez Sous-réseau.
  4. Pour le nom du sous-réseau, tapez Workload-SN.
  5. Pour la plage d’adresses du sous-réseau, tapez 10.0.2.0/24.
  6. Cliquez sur Enregistrer.

Créer une machine virtuelle

Créez maintenant la machine virtuelle de charge de travail et placez-la dans le sous-réseau Workload-SN .

  1. Dans le menu du portail Azure ou dans la page d’accueil , sélectionnez Créer une ressource.

  2. Sélectionnez Windows Server 2019 Datacenter.

  3. Entrez ces valeurs pour la machine virtuelle :

    Réglage Valeur
    groupe de ressources Test-FW-RG
    Nom de la machine virtuelle Srv-Work
    Région Identique à la précédente
    Image Windows Server 2019 Datacenter
    Nom d’utilisateur administrateur Tapez un nom d’utilisateur
    Mot de passe Tapez un mot de passe

  4. Sous Règles de port de trafic entrant, ports entrants publics, sélectionnez Aucun.

  5. Acceptez les autres valeurs par défaut et sélectionnez Suivant : Disques.

  6. Acceptez les valeurs par défaut du disque, puis sélectionnez Suivant : Mise en réseau.

  7. Vérifiez que test-FW-VN est sélectionné pour le réseau virtuel et que le sous-réseau est Workload-SN.

  8. Pour l’adresse IP publique, sélectionnez Aucun.

  9. Acceptez les autres valeurs par défaut et sélectionnez Suivant : Gestion.

  10. Sélectionnez Suivant : Supervision.

  11. Sélectionnez Désactiver pour désactiver les diagnostics de démarrage. Acceptez les autres valeurs par défaut et sélectionnez Vérifier + créer.

  12. Passez en revue les paramètres de la page récapitulative, puis sélectionnez Créer.

  13. Une fois le déploiement terminé, sélectionnez la ressource Srv-Work et notez l’adresse IP privée pour une utilisation ultérieure.

Créer un itinéraire par défaut

Pour le sous-réseau Workload-SN , configurez l’itinéraire sortant par défaut pour passer par le pare-feu.

  1. Dans le menu du portail Azure, sélectionnez Tous les services ou recherchez et sélectionnez Tous les services dans n’importe quelle page.
  2. Sous Mise en réseau, sélectionnez Tables d’itinéraires.
  3. Cliquez sur Créer.
  4. Pour l’abonnement, sélectionnez votre abonnement.
  5. Pour le groupe de ressources, sélectionnez Test-FW-RG.
  6. Pour Région, sélectionnez le même emplacement que celui que vous avez utilisé précédemment.
  7. Pour Nom, tapez Firewall-route.
  8. Sélectionnez Vérifier + créer.
  9. Cliquez sur Créer.

Une fois le déploiement terminé, sélectionnez Accéder à la ressource.

  1. Dans la page de routage du pare-feu, sélectionnez Sous-réseaux , puis Associez.

  2. Sélectionnez réseau virtuel>Test-FW-VN.

  3. Pour Sous-réseau, sélectionnez Workload-SN. Vérifiez que vous sélectionnez uniquement le sous-réseau Workload-SN pour cet itinéraire, sinon votre pare-feu ne fonctionnera pas correctement.

  4. Cliquez sur OK.

  5. Sélectionnez Itinéraires , puis sélectionnez Ajouter.

  6. Pour le nom de l’itinéraire, tapez fw-dg.

  7. Pour la destination du préfixe d’adresse, sélectionnez Adresses IP.

  8. Pour les adresses IP de destination/plages CIDR, tapez 0.0.0.0/0.

  9. Pour le type de saut suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en fait un service managé, mais l’appliance virtuelle fonctionne dans cette situation.

  10. Pour l’adresse de tronçon suivant, tapez l’adresse IP privée du pare-feu que vous avez noté précédemment.

  11. Sélectionnez Ajouter.

Configurer une règle d’application

Il s’agit de la règle d’application qui autorise l’accès sortant à www.google.com.

  1. Ouvrez test-FW-RG, puis sélectionnez la politique de pare-feu fw-test-pol.
  2. Sélectionnez Les règles d’application.
  3. Sélectionnez Ajouter une collection de règles.
  4. Pour Nom, tapez App-Coll01.
  5. Pour Priority, tapez 200.
  6. Pour Action de collection de règles, sélectionnez Autoriser.
  7. Sous Règles, pour Name, tapez Allow-Google.
  8. Pour le type de source, sélectionnez l’adresse IP.
  9. Pour source, tapez 10.0.2.0/24.
  10. Pour Protocol :port, tapez http, https.
  11. Pour Le type de destination, sélectionnez FQDN.
  12. Pour Destination, tapez www.google.com
  13. Sélectionnez Ajouter.

Le Pare-feu Azure comprend un regroupement de règles intégré pour les noms de domaine complets d’infrastructure qui sont autorisés par défaut. Ces noms de domaine complets sont spécifiques à la plateforme et ne peuvent pas être utilisés à d’autres fins. Pour plus d’informations, consultez Noms de domaine complets d’infrastructure.

Configurer une règle de réseau

Il s’agit de la règle réseau qui autorise l’accès sortant à deux adresses IP au port 53 (DNS).

  1. Sélectionnez Règles de réseau.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour Nom, tapez Net-Coll01.
  4. Pour Priority, tapez 200.
  5. Pour Action de collection de règles, sélectionnez Autoriser.
  6. Pour le groupe de regroupements de règles, sélectionnez DefaultNetworkRuleCollectionGroup.
  7. Sous Règles, pour Name, tapez Allow-DNS.
  8. Pour le type de source, sélectionnez Adresse IP.
  9. Pour source, tapez 10.0.2.0/24.
  10. Pour protocole, sélectionnez UDP.
  11. Pour les ports de destination, tapez 53.
  12. Pour le type de destination , sélectionnez l’adresse IP.
  13. Pour destination, tapez 209.244.0.3,209.244.0.4.
    Il s’agit de serveurs DNS publics gérés par Level3.
  14. Sélectionnez Ajouter.

Configurer une règle DNAT

Cette règle vous permet de connecter un Bureau à distance à la machine virtuelle Srv-Work via le pare-feu.

  1. Sélectionnez les règles DNAT.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour Nom, tapez rdp.
  4. Pour Priority, tapez 200.
  5. Pour le groupe de collections Rule, sélectionnez DefaultDnatRuleCollectionGroup.
  6. Sous Règles, pour Name, tapez rdp-nat.
  7. Pour le type de source, sélectionnez l’adresse IP.
  8. Pour Source, tapez *.
  9. Pour le protocole , sélectionnez TCP.
  10. Pour les ports de destination, tapez 3389.
  11. Pour Type de destination, sélectionnez Adresse IP.
  12. Pour destination, tapez l’adresse IP publique du pare-feu (fw-pip).
  13. Pour l’adresse traduite, tapez l’adresse IP privée Srv-work .
  14. Pour le port traduit, tapez 3389.
  15. Sélectionnez Ajouter.

Modifier l’adresse DNS principale et secondaire de l’interface réseau Srv-Work

À des fins de test dans ce guide pratique, configurez les adresses DNS primaires et secondaires du serveur. Il ne s’agit pas d’une exigence générale du Pare-feu Azure.

  1. Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG .
  2. Sélectionnez l’interface réseau de la machine virtuelle Srv-Work .
  3. SousParamètres, sélectionnez Serveurs DNS.
  4. Sous Serveurs DNS, sélectionnez Personnalisé.
  5. Tapez 209.244.0.3 dans la zone de texte Ajouter un serveur DNS et 209.244.0.4 dans la zone de texte suivante.
  6. Cliquez sur Enregistrer.
  7. Redémarrez la machine virtuelle Srv-Work .

Tester le pare-feu

Testez maintenant le pare-feu pour vérifier qu’il fonctionne comme prévu.

  1. Connectez un bureau à distance à l’adresse IP publique du pare-feu (fw-pip) et connectez-vous à la machine virtuelle Srv-Work.

  2. Ouvrez Internet Explorer et accédez à https://www.google.com.

  3. Sélectionnez OK>Fermer sur les alertes de sécurité Internet Explorer.

    Vous devriez voir la page d’accueil google.

  4. Accédez à http://www.microsoft.com.

    Vous devriez être bloqué par le pare-feu.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez connecter un bureau à distance à la machine virtuelle Srv-Work.
  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.
  • Vous pouvez résoudre les noms DNS à l’aide du serveur DNS externe configuré.

Nettoyer les ressources

Vous pouvez conserver vos ressources de pare-feu pour des tests supplémentaires ou, si ce n’est plus nécessaire, supprimer le groupe de ressources Test-FW-RG pour supprimer toutes les ressources liées au pare-feu.

Étapes suivantes

Déployer et configurer le Pare-feu Azure Premium

  • Last updated on