Partager via

Filtrage du trafic Internet ou Intranet entrant avec DNAT du Pare-feu Azure en utilisant le Portail Azure

Vous pouvez configurer la traduction d’adresses réseau de destination du pare-feu Azure (DNAT) pour traduire et filtrer le trafic Internet entrant vers vos sous-réseaux ou trafic intranet entre les réseaux privés. Quand vous configurez DNAT, l’action de collecte de règles NAT est définie sur DNAT. Chaque règle de la collection de règles NAT peut ensuite être utilisée pour traduire l’adresse IP publique ou privée et le port de votre pare-feu en adresse IP privée et port. Les règles DNAT ajoutent implicitement une règle de réseau correspondante pour autoriser le trafic traduit. Pour des raisons de sécurité, il est recommandé d’ajouter une source spécifique pour autoriser l’accès DNAT au réseau et d’éviter d’utiliser des caractères génériques. Pour plus d’informations sur la logique de traitement des règles de Pare-feu Azure, consultez l’article Logique de traitement des règles du service Pare-feu Azure.

Remarque

Cet article utilise des règles de pare-feu classiques pour gérer le pare-feu. La méthode recommandée consiste à utiliser une stratégie de pare-feu. Pour effectuer cette procédure à l’aide de la stratégie de pare-feu, consultez tutoriel : Filtrer le trafic Internet entrant avec la stratégie de pare-feu Azure DNAT à l’aide du portail Azure.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

  1. Connectez-vous au portail Azure.
  2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources, puis sélectionnez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Groupe de ressources, entrez RG-DNAT-Test.
  5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Configurer l’environnement réseau

Pour cet article, vous créez deux réseaux virtuels jumelés :

  • VN-Hub : le pare-feu se trouve dans ce réseau virtuel.
  • VN-Spoke : le serveur de charge de travail se trouve dans ce réseau virtuel.

Tout d’abord, créez les réseaux virtuels, puis appairez-les.

Créer le réseau virtuel hub

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.
  2. Sous Mise en réseau, sélectionnez Réseaux virtuels.
  3. Sélectionnez Create (Créer).
  4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
  5. Dans le champ Nom, saisissez VN-Hub.
  6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.
  7. Sélectionnez Suivant.
  8. Sous l’onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.
  10. Dans Sous-réseaux, sélectionnez par défaut.
  11. Pour Modèle de sous-réseau, sélectionnez Pare-feu Azure.

Le pare-feu se trouve dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.

Remarque

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Sélectionnez Enregistrer.
  2. Sélectionnez Revoir + créer.
  3. Sélectionnez Create (Créer).

Créer un réseau virtuel en étoile

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.
  2. Sous Mise en réseau, sélectionnez Réseaux virtuels.
  3. Sélectionnez Create (Créer).
  4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
  5. Pour Nom, tapez VN-Spoke.
  6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.
  7. Sélectionnez Suivant.
  8. Sous l’onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, supprimez la valeur par défaut et entrez 192.168.0.0/16.
  10. Dans Sous-réseaux, sélectionnez par défaut.
  11. Pour le nom du sous-réseau, tapez SN-Workload.
  12. Pour Adresse de départ, entrez 192.168.1.0.
  13. Pour Taille de sous-réseau, sélectionnez /24.
  14. Sélectionnez Enregistrer.
  15. Sélectionnez Revoir + créer.
  16. Sélectionnez Create (Créer).

Homologuer les réseaux virtuels

Maintenant, appairez les deux réseaux virtuels.

  1. Sélectionnez le réseau virtuel VN-Hub.
  2. Sous Paramètres, sélectionnez Peerings.
  3. Sélectionnez Ajouter.
  4. Sous Ce réseau virtuel, pour le Nom du lien de peering, tapez Peer-HubSpoke.
  5. Sous Réseau virtuel distant, pour Nom du lien de peering, tapez Peer-SpokeHub.
  6. Sélectionnez VN-Spoke pour le réseau virtuel.
  7. Acceptez les autres valeurs par défaut, puis sélectionnez Ajouter.

Création d'une machine virtuelle

Créez une machine virtuelle de charge de travail, puis placez-la dans le sous-réseau SN-Workload.

  1. Dans le menu du Portail Azure, sélectionnez Créer une ressource.
  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.

Concepts de base

  1. Pour Abonnement, sélectionnez votre abonnement.
  2. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
  3. Sous Nom de la machine virtuelle, tapez Srv-Workload.
  4. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  5. Entrez un nom d’utilisateur et un mot de passe.
  6. Sélectionnez Suivant : Disques.

Disques

  1. Sélectionnez Suivant : Mise en réseau.

Mise en réseau

  1. Pour Réseau virtuel, sélectionnez VN-Spoke.
  2. Pour Sous-réseau, sélectionnez SN-Workload.
  3. Pour Adresse IP publique, sélectionnez Aucune.
  4. Pour Ports d’entrée publics, sélectionnez Aucun.
  5. Conservez les autres paramètres par défaut, puis sélectionnez Suivant : Gestion.

Gestion

  1. Sélectionnez Suivant : Supervision.

Surveillance

  1. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  2. Sélectionnez Vérifier + créer.

Vérifier + créer.

Passez en revue le récapitulatif, puis sélectionnez Créer. Ce processus prend quelques minutes.

Une fois le déploiement terminé, notez l’adresse IP privée de la machine virtuelle. Vous avez besoin de cette adresse IP ultérieurement lors de la configuration du pare-feu. Sélectionnez le nom de la machine virtuelle, accédez à Vue d’ensemble et, sous Mise en réseau, notez l’adresse IP privée.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous créez en utilisant des groupes de machines virtuelles identiques en mode d’orchestration flexible n’ont pas d’accès sortant par défaut.

Pour découvrir plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Déployer le pare-feu

  1. Dans la page d’accueil du portail, sélectionnez Créer une ressource.

  2. Recherchez pare-feu, puis sélectionnez Pare-feu.

  3. Sélectionnez Create (Créer).

  4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Abonnement <votre abonnement>
    groupe de ressources Sélectionner RG-DNAT-test
    Nom FW-DNAT-test
    Région Sélectionnez le même emplacement que celui utilisé précédemment
    Référence SKU du pare-feu Standard
    Gestion de pare-feu Utiliser des règles de pare-feu (classique) pour gérer ce pare-feu
    Choisir un réseau virtuel Utiliser l’existant : VN-Hub
    Adresse IP publique Ajouter nouveau, nom : fw-pip

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  6. Passez en revue le résumé, puis sélectionnez Créer pour déployer le pare-feu.

    Ce processus prend quelques minutes.

  7. Une fois le déploiement terminé, accédez au groupe de ressources RG-DNAT-Test et sélectionnez le pare-feu de test FW-DNAT .

  8. Notez les adresses IP privée et publique du pare-feu. Vous les utilisez ultérieurement lors de la création de la route par défaut et de la règle NAT.

Créer un itinéraire par défaut

Pour le sous-réseau SN-Workload , configurez l’itinéraire sortant par défaut pour parcourir le pare-feu.

Important

Vous n’avez pas besoin de configurer un itinéraire explicite vers le pare-feu au niveau du sous-réseau de destination. Le Pare-feu Azure est un service avec état qui gère automatiquement les paquets et les sessions. La création de cette route entraîne un environnement de routage asymétrique, interrompant la logique de session avec état et provoquant des paquets et des connexions supprimés.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Recherchez la Table de routage, puis sélectionnez-la.

  3. Sélectionnez Create (Créer).

  4. Pour Abonnement, sélectionnez votre abonnement.

  5. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

  6. Pour Région, sélectionnez la même région que celle utilisée précédemment.

  7. Dans le champ Nom, saisissez RT-FWroute.

  8. Sélectionnez Revoir + créer.

  9. Sélectionnez Create (Créer).

  10. Sélectionnez Accéder à la ressource.

  11. Sélectionnez Sous-réseaux, puis Associer.

  12. Pour Réseau virtuel, sélectionnez VN-Spoke.

  13. Pour Sous-réseau, sélectionnez SN-Workload.

  14. Sélectionnez OK.

  15. Sélectionnez Routes, puis Ajouter.

  16. Pour Nom de l’itinéraire, entrez FW-DG.

  17. Pour Type de destination, sélectionnez Adresses IP.

  18. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.

  19. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est un service managé, mais la sélection de l’appliance virtuelle fonctionne dans cette situation.

  20. Pour l’adresse de tronçon suivant, tapez l’adresse IP privée du pare-feu indiqué précédemment.

  21. Sélectionnez Ajouter.

Configurer une règle NAT

  1. Ouvrez le groupe de ressources RG-DNAT-Test, puis sélectionnez le pare-feu FW-DNAT-test.
  2. Sur la page FW-DNAT-test, sous Paramètres, sélectionnez Règles (classique).
  3. Sélectionnez Ajouter une collection de règles NAT.
  4. Dans le champ Nom, saisissez RC-DNAT-01.
  5. Pour Priorité, entrez 200.
  6. Sous Règles, pour Nom, entrez RL-01.
  7. Pour Protocole, sélectionnez TCP.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, tapez *.
  10. Pour les adresses de destination, tapez l’adresse IP publique du pare-feu.
  11. Pour Ports de destination, entrez 3389.
  12. Pour l’adresse traduite, tapez l’adresse IP privée de la machine virtuelle Srv-Workload.
  13. Dans le champ Port traduit, tapez 3389.
  14. Sélectionnez Ajouter.

Ce processus prend quelques minutes.

Tester le pare-feu

  1. Connectez un bureau distant à l’adresse IP publique du pare-feu. Vous devriez être connecté à la machine virtuelle Srv-Workload.
  2. Fermez le bureau à distance.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu à des fins de test complémentaire ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources RG-DNAT-Test pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Ensuite, vous pouvez surveiller les journaux d’activité de Pare-feu Azure.

Tutoriel : Surveiller les journaux de Pare-feu Azure

  • Last updated on