Tutoriel : Déployer azure Firewall private IP DNAT pour les réseaux superposés et non routables

Azure Firewall private IP DNAT (Traduction d’adresses réseau de destination) vous permet de traduire et de filtrer le trafic entrant à l’aide de l’adresse IP privée du pare-feu au lieu de son adresse IP publique. Cette fonctionnalité est utile pour les scénarios impliquant des réseaux superposés ou un accès réseau non routable où la DNAT IP publique traditionnelle n’est pas adaptée.

La DNAT IP privée traite deux scénarios clés :

• Réseaux superposés : quand plusieurs réseaux partagent le même espace d’adressage IP
• Réseaux non routables : quand vous devez accéder aux ressources via des réseaux qui ne sont pas routables directement

Dans ce tutoriel, vous allez apprendre à :

Prerequisites

• Un abonnement Azure. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
• Pare-feu Azure Standard ou Premium (DNAT IP privée n'est pas prise en charge dans l'offre de base SKU)
• Connaissance des concepts de mise en réseau Azure
• Compréhension de la logique de traitement des règles de pare-feu Azure

Vue d’ensemble du scénario

Ce tutoriel présente deux scénarios DNAT IP privés courants :

Scénario 1 : Réseaux superposés

Vous disposez de plusieurs réseaux virtuels qui utilisent le même espace d’adressage IP (par exemple, 10.0.0.0/16) et doivent accéder aux ressources sur ces réseaux sans conflits d’adresses IP.

Scénario 2 : Accès réseau non routable

Vous devez fournir l’accès aux ressources dans des réseaux qui ne sont pas routables directement à partir de la source, telles que l’accès aux ressources locales via le Pare-feu Azure.

Déployer l’environnement

Utilisez le modèle ARM fourni pour créer l’environnement de test avec tous les composants nécessaires.

Télécharger le modèle de déploiement

1. Téléchargez le modèle ARM à partir du référentiel GitHub de sécurité réseau Azure.

2. Enregistrez le PrivateIpDnatArmTemplateV2.json fichier sur votre ordinateur local.

Déployer à l’aide du portail Azure

1. Connectez-vous au portail Azure.

2. Sélectionnez Créer une ressource>.

3. Sélectionnez Générer votre propre modèle dans l’éditeur.

4. Supprimez le contenu existant et collez le contenu du modèle ARM téléchargé.

5. Cliquez sur Enregistrer.

6. Fournissez les informations suivantes :

   • Abonnement : sélectionnez votre abonnement Azure
   • Groupe de ressources : Créer un groupe de ressources ou en sélectionner un existant
   • Région : sélectionnez votre région Azure préférée
   • Emplacement : ce paramètre est renseigné automatiquement en fonction de la région sélectionnée

7. Passez en revue les paramètres du modèle et modifiez si nécessaire.

8. Sélectionnez Vérifier + créer, puis Créer pour déployer le modèle.

Le déploiement crée les ressources suivantes :

• Réseaux virtuels pour les scénarios superposés et non routables
• Pare-feu Azure avec configuration DNAT IP privée
• Machines virtuelles pour tester la connectivité
• Groupes de sécurité réseau et tables de routage
• Tous les composants réseau nécessaires

Vérifier les règles DNAT d’adresse IP privée

Une fois le déploiement terminé, vérifiez que les règles DNAT ont été créées correctement pour les deux scénarios.

Vérifier les règles pour les réseaux superposés

1. Dans le portail Azure, accédez à votre ressource pare-feu Azure (azfw-hub-vnet-1).

2. Sous Paramètres, sélectionnez Stratégie de pare-feu.

3. Sélectionnez la stratégie de pare-feu (fp-azfw-hub-vnet-1).

4. Sous Paramètres, sélectionnez Groupes de regroupements de règles.

5. Sélectionnez cette option DefaultDnatRuleCollectionGroup pour afficher les règles préconfigurées.

Vous devriez voir les règles DNAT suivante :

• ToVM2-Http : traduit 10.10.0.4:80 → 10.10.2.4:80 (accès au pare-feu hub-vnet-2 depuis spoke-vnet-1)
• ToVM2-Rdp : traduit 10.10.0.4:53388 → 10.10.2.4:3389 (accès RDP)
• ToVM3-Http : traduit 10.10.0.4:8080 → 172.16.0.4:80 (accès branch-vnet-1 depuis spoke-vnet-1)
• ToVM3-Rdp : traduit 10.10.0.4:53389 → 172.16.0.4:3389 (accès RDP)

Vérifier les règles pour les réseaux non routables

1. Accédez à la deuxième ressource pare-feu Azure (azfw-hub-vnet-2).

2. Sous Paramètres, sélectionnez Stratégie de pare-feu.

3. Sélectionnez la stratégie de pare-feu (fp-azfw-hub-vnet-2).

4. Sous Paramètres, sélectionnez Groupes de regroupements de règles.

5. Sélectionnez cette option DefaultDnatRuleCollectionGroup pour afficher les règles du deuxième scénario.

Vous devriez voir les règles DNAT suivante :

• ToVM2-Http : transmet 10.10.2.4:80 → 192.168.0.4:80 (accès à spoke-vnet-2 depuis le sous-réseau de pare-feu hub-vnet-1)
• ToVM2-Rdp : traduit 10.10.2.4:3389 → 192.168.0.4:3389 (accès RDP à spoke-vnet-2)

Ces règles illustrent le scénario réseau superposé où les deux réseaux spoke utilisent le même espace IP (192.168.0.0/24).

Configurer des machines virtuelles

Terminez la configuration de la machine virtuelle en exécutant les scripts PowerShell fournis.

Configurer une machine virtuelle dans le scénario 1 (réseau superposé)

1. Connectez-vous à la machine win-vm-2 virtuelle à l’aide d’Azure Bastion ou RDP.

2. Ouvrez PowerShell en tant qu’administrateur.

3. Téléchargez et exécutez le script de configuration :

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

Configurer une machine virtuelle dans le scénario 2 (réseau non routable)

1. Connectez-vous à la machine win-vm-3 virtuelle à l’aide d’Azure Bastion ou RDP.

2. Ouvrez PowerShell en tant qu’administrateur.

3. Téléchargez et exécutez le script de configuration :

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

Tester la fonctionnalité DNAT IP privée

Vérifiez que la configuration DNAT IP privée fonctionne correctement pour les deux scénarios.

Tester le scénario de réseau superposé

1. À partir d’une machine cliente dans le réseau source, essayez de vous connecter à l’adresse IP privée du Pare-feu Azure à l’aide du port configuré.

2. Vérifiez que la connexion est correctement traduite vers la machine virtuelle cible dans le réseau superposé.

3. Vérifiez les journaux du Pare-feu Azure pour confirmer les correspondances de règle et la traduction réussie.

Tester le scénario réseau non routable

1. À partir du réseau source approprié, connectez-vous à l’adresse IP privée du Pare-feu Azure.

2. Vérifiez l’accès aux ressources dans le réseau non routable via le pare-feu.

3. Pour garantir le traitement des règles et le flux de trafic appropriés, surveillez les journaux du pare-feu.

Superviser et dépanner

Pour surveiller les performances DNAT des IP privées, utilisez les journaux de diagnostic et les mesures du pare-feu Azure.

Activer la journalisation des diagnostics

1. Dans le portail Azure, accédez à votre ressource pare-feu Azure.

2. Sélectionnez Paramètres> de diagnostic+ Ajouter un paramètre de diagnostic.

3. Configurer la journalisation pour :

   • Journal des règles d’application du pare-feu Azure
   • Journal des règles de réseau du pare-feu Azure
   • Journal des règles NAT du pare-feu Azure

4. Choisissez votre destination préférée (espace de travail Log Analytics, compte de stockage ou Event Hubs).

Métriques clés à surveiller

Pour garantir des performances optimales, surveillez ces métriques :

• Données traitées : quantité totale de données traitées par le pare-feu
• Nombre de correspondances de règle réseau : nombre de règles réseau correspondantes
• Nombre de correspondances de règle NAT : nombre de règles DNAT correspondantes
• Débit : performances du débit du pare-feu

Meilleures pratiques

Suivez ces bonnes pratiques lors de l’implémentation d’adresses IP privées DNAT :

• Ordre des règles : pour garantir la bonne commande de traitement, placez des règles plus spécifiques avec des numéros de priorité inférieurs
• Spécification de la source : Utiliser des plages d’adresses IP sources spécifiques au lieu de caractères génériques pour une meilleure sécurité
• Segmentation du réseau : pour isoler les réseaux superposés, implémentez une segmentation de réseau appropriée
• Surveillance : Pour identifier les problèmes de performances, surveillez régulièrement les journaux et les métriques du pare-feu
• Test : Pour garantir la fiabilité en production, testez soigneusement toutes les règles DNAT avant d’implémenter

Nettoyer les ressources

Lorsque vous n’avez plus besoin de l’environnement de test, supprimez le groupe de ressources pour supprimer toutes les ressources créées dans ce didacticiel.

1. Dans le portail Azure, accédez à votre groupe de ressources.

2. Sélectionnez Supprimer le groupe de ressources.

3. Tapez le nom du groupe de ressources pour confirmer la suppression.

4. Sélectionnez Supprimer pour supprimer toutes les ressources.

Étapes suivantes

Dans ce tutoriel, vous avez appris à déployer et à configurer azure Firewall private IP DNAT pour les scénarios réseau superposés et non routables. Vous avez déployé l’environnement de test, configuré des règles DNAT et des fonctionnalités validées.

Pour en savoir plus sur les fonctionnalités DNAT du Pare-feu Azure :

• Règle DNAT pour le filtrage du trafic entrant
• Logique de traitement des règles de pare-feu Azure
• Surveiller les journaux et les indicateurs de performance du pare-feu Azure
• Scénarios DNAT d’adresse IP privée avec Pare-feu Azure (blog Tech Community)