Déployer et configurer un pare-feu Azure à l’aide du portail Azure

Le contrôle de l’accès réseau sortant est une partie importante d’un plan de sécurité réseau global. Par exemple, vous souhaitez peut-être limiter l’accès aux sites web. Vous pouvez aussi vouloir limiter l’accès à certaines adresses IP et à certains ports sortants.

Vous pouvez contrôler l’accès réseau sortant à partir d’un sous-réseau Azure à l’aide du Pare-feu Azure. Avec le Pare-feu Azure, vous pouvez configurer les éléments suivants :

  • Règles d’application qui définissent des noms de domaine complets (FQDN) accessibles depuis un sous-réseau.
  • Règles réseau qui définissent l’adresse source, le protocole, le port de destination et l’adresse de destination.

Le trafic réseau est soumis aux règles de pare-feu configurées lorsque vous routez votre trafic réseau vers le pare-feu en tant que sous-réseau de passerelle par défaut.

Dans cet article, vous créez un seul réseau virtuel simplifié avec deux sous-réseaux pour un déploiement facile.

Pour les déploiements de production, un modèle hub-and-spoke, dans lequel le pare-feu est dans son propre réseau virtuel, est recommandé. Les serveurs de la charge de travail se trouvent dans des réseaux virtuels appairés qui sont dans la même région avec un ou plusieurs sous-réseaux.

  • AzureFirewallSubnet : le pare-feu est dans ce sous-réseau.
  • Workload-SN : le serveur de la charge de travail est dans ce sous-réseau. Le trafic réseau de ce sous-réseau traverse le pare-feu.

Diagramme de l’infrastructure réseau de pare-feu.

Dans cet article, vous apprendrez comment :

  • Configurer un environnement réseau de test
  • Déployer un pare-feu
  • Créer un itinéraire par défaut
  • Configurer une règle d’application pour autoriser l’accès à www.google.com
  • Configurer une règle de réseau pour autoriser l’accès aux serveurs DNS externes
  • Configurer une règle NAT pour autoriser la connexion d’un Bureau à distance au serveur de test
  • Tester le pare-feu

Notes

Cet article utilise des règles de pare-feu classiques pour gérer le pare-feu. La méthode recommandée consiste à utiliser une stratégie de pare-feu. Pour suivre cette procédure avec une stratégie de pare-feu, consultez Tutoriel : Déployer et configurer Pare-feu Azure et une stratégie avec le portail Azure.

Si vous préférez, vous pouvez suivre cette procédure en utilisant Azure PowerShell.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Configurer le réseau

Tout d’abord, créez un groupe de ressources qui contiendra les ressources nécessaires pour déployer le pare-feu. Créez ensuite un réseau virtuel, des sous-réseaux et un serveur de test.

Créer un groupe de ressources

Le groupe de ressources contient toutes les ressources utilisées dans cette procédure.

  1. Connectez-vous au portail Azure.
  2. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Ensuite, sélectionnez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Nom du groupe de ressources, entrez Test-FW-RG.
  5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Créez un réseau virtuel

Ce réseau virtuel comporte deux sous-réseaux.

Remarque

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Réseaux virtuels.
  2. Sélectionnez Réseaux virtuels dans le volet de résultats.
  3. Sélectionnez Create (Créer).
  4. Pour Abonnement, sélectionnez votre abonnement.
  5. Pour Groupe de ressources, sélectionnez Test-FW-RG.
  6. Pour le nom du réseau virtuel, tapez Test-FW-VN.
  7. Pour Région, sélectionnez la même région que celle utilisée précédemment.
  8. Cliquez sur Suivant.
  9. Dans l’onglet Sécurité, sélectionnez Activer le pare-feu Azure.
  10. Pour le nom du pare-feu Azure, tapez Test-FW01.
  11. Pour l’adresse IP publique du pare-feu Azure, sélectionnez Créer une adresse IP publique.
  12. Pour Nom, tapez fw-pip et sélectionnez OK.
  13. Cliquez sur Suivant.
  14. Pour Espace d’adressage, acceptez la valeur par défaut 10.0.0.0/16.
  15. Pour le Sous-réseau, sélectionnez par défaut et remplacez le nom par workload-SN.
  16. Pour l’Adresse de départ, remplacez-la par 10.0.2.0/24.
  17. Sélectionnez Enregistrer.
  18. Sélectionnez Revoir + créer.
  19. Sélectionnez Create (Créer).

Remarque

Le Pare-feu Azure utilise des adresses IP publiques selon les besoins et en fonction des ports disponibles. Après avoir sélectionné de manière aléatoire une adresse IP publique pour établir une connexion sortante, il utilisera la prochaine adresse IP publique disponible uniquement lorsqu’aucune autre connexion ne pourra être établie à partir de l’adresse IP publique active. Dans les scénarios avec un volume de trafic et un débit élevés, il est recommandé d’utiliser une passerelle NAT pour assurer la connectivité sortante. Les ports SNAT sont alloués dynamiquement sur toutes les adresses IP publiques associées à la passerelle NAT. Pour en savoir plus, consultez Intégrer la passerelle NAT avec le Pare-feu Azure.

Création d'une machine virtuelle

À présent, créez la machine virtuelle de charge de travail et placez-la dans le sous-réseau Workload-SN.

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

  2. Sélectionnez Windows Server 2019 Datacenter.

  3. Entrez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    Resource group Test-FW-RG
    Nom de la machine virtuelle Srv-Work
    Région Identique au précédent
    Image Windows Server 2019 Datacenter
    Nom d’utilisateur de l’administrateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe.
  4. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucune.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  6. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Assurez-vous que Test-FW-VN est sélectionné pour le réseau virtuel et que le sous-réseau est Workload-SN.

  8. Pour Adresse IP publique, sélectionnez Aucune.

  9. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.

  10. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Supervision.

  11. Pour Diagnostics de démarrage, sélectionnez Désactiver pour désactiver les diagnostics de démarrage. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  12. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

  13. Une fois le déploiement terminé, sélectionnez Aller à al ressource et notez l’adresse IP privée Srv-Work que vous devrez utiliser ultérieurement.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Examiner le pare-feu

  1. Accédez au groupe de ressources et sélectionnez le pare-feu.
  2. Notez les adresses IP privée et publique du pare-feu. Vous utiliserez ces adresses plus tard.

Créer un itinéraire par défaut

Lorsque vous créez un itinéraire pour une connectivité sortante et entrante via le pare-feu, un itinéraire par défaut vers 0.0.0.0/0 avec l’adresse IP privée de l’appliance virtuelle comme tronçon suivant est suffisant. Cela dirige toutes les connexions sortantes et entrantes via le pare-feu. Par exemple, si le pare-feu répond à une liaison TCP et répond à une demande entrante, la réponse est dirigée vers l’adresse IP qui a envoyé le trafic. C'est la procédure normale.

Par conséquent, il n’est pas nécessaire de créer une route supplémentaire définie pour l’utilisateur pour inclure la plage d’adresses IP AzureFirewallSubnet. Cela peut entraîner des suppression de connexions. L’itinéraire par défaut d’origine est suffisant.

Pour le sous-réseau Workload-SN, configurez l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

  1. Dans le portail Azure, recherchez Tables de routage.
  2. Sélectionnez Tables de routage dans le volet de résultats.
  3. Sélectionnez Create (Créer).
  4. Pour Abonnement, sélectionnez votre abonnement.
  5. Pour Groupe de ressources, sélectionnez Test-FW-RG.
  6. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  7. Pour Nom, entrez Firewall-route.
  8. Sélectionnez Revoir + créer.
  9. Sélectionnez Create (Créer).

Une fois le déploiement terminé, sélectionnez Accéder à la ressource.

  1. Sur la page de Firewall-route, sélectionnez Sous-réseaux, puis sélectionnez Associer.

  2. Dans Réseau virtuel, sélectionnez Test-FW-VN.

  3. Pour Sous-réseau, sélectionnez Workload-SN. Veillez à ne sélectionner que le sous-réseau Workload-SN pour cette route, sinon votre pare-feu ne fonctionnera pas correctement.

  4. Sélectionnez OK.

  5. Sélectionnez Itinéraires, puis Ajouter.

  6. Pour Nom de l’itinéraire, tapez fw-dg.

  7. Pour Type de destination, sélectionnez Adresses IP.

  8. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.

  9. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

  10. Pour Adresse de tronçon suivant, entrez l’adresse IP privée pour le pare-feu que vous avez notée précédemment.

  11. Sélectionnez Ajouter.

Configurer une règle d’application

Il s’agit de la règle d’application qui autorise un accès sortant à www.google.com.

  1. Ouvrez Test-FW-RG, puis sélectionnez le pare-feu Test-FW01.
  2. Sur la page Test-FW01, sous Paramètres, sélectionnez Règles (classique) .
  3. Sélectionnez l’onglet Collection de règles d’application.
  4. Sélectionnez Ajouter une collection de règles d’application.
  5. Pour Nom, entrez App-Coll01.
  6. Pour Priorité, entrez 200.
  7. Pour Action, sélectionnez Autoriser.
  8. Sous Règles, Noms de domaine complets cibles, pour Nom, tapez Allow-Google.
  9. Pour Type de source, sélectionnez Adresse IP.
  10. Pour Source, tapez 10.0.2.0/24.
  11. Pour Protocol:port, entrez http, https.
  12. Pour Noms de domaine complets cibles, entrez www.google.com
  13. Sélectionnez Ajouter.

Le Pare-feu Azure comprend un regroupement de règles intégré pour les noms de domaine complets d’infrastructure qui sont autorisés par défaut. Ces noms de domaine complets sont spécifiques à la plateforme et ne peuvent pas être utilisés à d’autres fins. Pour plus d’informations, consultez Noms de domaine complets d’infrastructure.

Configurer une règle de réseau

Il s’agit de la règle de réseau qui autorise un accès sortant à deux adresses IP sur le port 53 (DNS).

  1. Sélectionnez l’onglet Collection de règles de réseau.

  2. Sélectionnez Ajouter une collection de règles de réseau.

  3. Pour Nom, entrez Net-Coll01.

  4. Pour Priorité, entrez 200.

  5. Pour Action, sélectionnez Autoriser.

  6. Sous Règles, Adresses IP, pour Nom, tapez Allow-DNS.

  7. Pour Protocole, sélectionnez UDP.

  8. Pour Type de source, sélectionnez Adresse IP.

  9. Pour Source, tapez 10.0.2.0/24.

  10. Pour Type de destination, sélectionnez Adresse IP.

  11. Pour Adresse de destination, tapez 209.244.0.3,209.244.0.4

    Il s’agit de serveurs DNS publics gérés par Level3.

  12. Pour Ports de destination, entrez 53.

  13. Sélectionnez Ajouter.

Configurer une règle DNAT

Cette règle vous permet de connecter un Bureau à distance à la machine virtuelle Srv-Work par le biais du pare-feu.

  1. Sélectionnez l’onglet Collection de règles NAT.
  2. Sélectionnez Ajouter une collection de règles NAT.
  3. Pour Nom, entrez rdp.
  4. Pour Priorité, entrez 200.
  5. Sous Règles, pour Nom, entrez rdp-nat.
  6. Pour Protocole, sélectionnez TCP.
  7. Pour Type de source, sélectionnez Adresse IP.
  8. Pour Source, tapez *.
  9. Pour Adresse de destination, tapez l’adresse IP publique du pare-feu.
  10. Pour Ports de destination, tapez 3389.
  11. Pou Adresse traduite, saisissez l’adresse IP privée de Srv-work.
  12. Dans le champ Port traduit, tapez 3389.
  13. Sélectionnez Ajouter.

Modifier les adresses DNS principales et secondaires de l’interface réseau Srv-Work

À des fins de test, configurez les adresses DNS principales et secondaires du serveur. Ceci n’est pas obligatoire pour le pare-feu Azure.

  1. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG.
  2. Sélectionnez l’interface réseau de la machine virtuelle Srv-Work.
  3. SousParamètres, sélectionnez Serveurs DNS.
  4. Sous Serveurs DNS, sélectionnez Personnalisé.
  5. Entrez 209.244.0.3 et appuyez sur Entrée dans la zone de texte Ajouter un serveur DNS, et 209.244.0.4 dans la zone de texte suivante.
  6. Sélectionnez Enregistrer.
  7. Redémarrez la machine virtuelle Srv-Work.

Tester le pare-feu

Testez maintenant le pare-feu pour vérifier qu’il fonctionne comme prévu.

  1. Connectez un Bureau à distance à l’adresse IP publique du pare-feu et connectez-vous à la machine virtuelle Srv-Work.

  2. Ouvrez Internet Explorer et accédez à https://www.google.com.

  3. Sélectionnez OK>Fermer sur les alertes de sécurité d’Internet Explorer.

    La page d’accueil Google doit s’afficher.

  4. Accédez à https://www.microsoft.com.

    Le pare-feu devrait vous bloquer.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez vous connecter à la machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol).
  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.
  • Vous pouvez résoudre les noms DNS à l’aide du serveur DNS externe configuré.

Nettoyer les ressources

Conservez vos ressources de pare-feu pour poursuivre les tests ou, si vous n’en avez plus besoin, supprimez le groupe de ressources Test-FW-RG pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes