Comment configurer et surveiller les règles DNAT du Pare-feu Azure pour sécuriser la gestion du trafic

Les règles DNAT (Traduction d’adresses réseau de destination) du Pare-feu Azure sont utilisées pour filtrer et routé le trafic entrant. Ils vous permettent de traduire l’adresse IP de destination publique et le port du trafic entrant vers une adresse IP privée et un port au sein de votre réseau. Cela est utile lorsque vous souhaitez exposer un service s’exécutant sur une adresse IP privée (par exemple, un serveur web ou un point de terminaison SSH) sur Internet ou un autre réseau.

Une règle DNAT spécifie :

• Source : adresse IP source ou groupe IP à partir duquel le trafic provient.
• Destination : adresse IP de destination de l’instance de pare-feu Azure.
• Protocole : protocole utilisé pour le trafic (TCP ou UDP).
• Port de destination : port sur l’instance du Pare-feu Azure qui reçoit le trafic.
• Adresse traduite : adresse IP privée ou nom de domaine complet vers lequel le trafic doit être routé.
• Port traduit : port sur l’adresse traduite vers laquelle le trafic doit être dirigé.

Lorsqu’un paquet correspond à la règle DNAT, le Pare-feu Azure modifie l’adresse IP de destination et le port du paquet en fonction de la règle avant de le transférer au serveur principal spécifié.

Le Pare-feu Azure prend en charge le filtrage de nom de domaine complet dans les règles DNAT, ce qui vous permet de spécifier un nom de domaine complet (FQDN) comme cible pour la traduction au lieu d’une adresse IP statique. Cela permet des configurations principales dynamiques et simplifie la gestion dans les scénarios où l’adresse IP du serveur principal peut changer fréquemment.

Conditions préalables

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
• Instance de pare-feu Azure.
• Stratégie de pare-feu Azure.

Créer une règle DNAT

1. Dans le portail Azure, accédez à votre instance de Pare-feu Azure.

2. Dans le volet gauche, sélectionnez Règles.

3. Sélectionnez les règles DNAT.

4. Sélectionnez + Ajouter une collection de règles DNAT.

5. Dans le volet Ajouter une collection de règles , fournissez les informations suivantes :

   • Nom : entrez un nom pour la collection de règles DNAT.
   • Priorité : spécifiez une priorité pour la collection de règles. Les nombres inférieurs indiquent une priorité plus élevée. L'intervalle est de 100 à 65000.
   • Action : Traduction d’adresses réseau de destination (DNAT) (valeur par défaut).
   • Groupe de collections de règles : il s’agit du nom du groupe de regroupements de règles qui contient la collection de règles DNAT. Vous pouvez sélectionner un groupe par défaut ou un groupe que vous avez créé précédemment.
   • Règles :
     • Nom : entrez un nom pour la règle DNAT.
     • Type de source : sélectionnez adresse IP ou groupe IP.
     • Source : entrez l’adresse IP source ou sélectionnez un groupe IP.
     • Protocole : sélectionnez le protocole (TCP ou UDP).
     • Ports de destination : entrez le port de destination ou la plage de ports (par exemple : port unique 80, plage de ports 80-100 ou plusieurs ports 80 443).
     • Destination (adresse IP du pare-feu) : entrez l’adresse IP de destination de l’instance du Pare-feu Azure.
     • Type traduit : sélectionnez adresse IP ou nom de domaine complet.
     • Adresse traduite ou nom de domaine complet : entrez l’adresse IP traduite ou le nom de domaine complet.
     • Port traduit : entrez le port traduit.

6. Répétez l’étape 5 pour obtenir des règles supplémentaires si nécessaire.

7. Sélectionnez Ajouter pour créer la collection de règles DNAT.

Surveiller et valider des règles DNAT

Une fois que vous avez créé des règles DNAT, vous pouvez surveiller et résoudre les problèmes à l’aide du journal AZFWNatRule . Ce journal de bord fournit des informations détaillées sur les règles DNAT appliquées au trafic entrant, notamment :

• Horodatage : heure exacte du flux de trafic.
• Protocole : protocole utilisé pour la communication (par exemple, TCP ou UDP).
• Adresse IP source et port : informations sur la source de trafic d’origine.
• Adresse IP et port de destination : détails de destination d’origine avant la traduction.
• Adresse IP et port traduits : adresse IP résolue (si vous utilisez le nom de domaine complet) et le port cible après la traduction.

Il est important de noter ce qui suit lorsque vous analysez le journal AZFWNatRule :

• Champ traduit : pour les règles DNAT utilisant le filtrage nom de domaine complet (FQDN), les journaux affichent l’adresse IP résolue dans le champ traduit au lieu du nom de domaine complet.
• Zones DNS privées : prises en charge uniquement dans les réseaux virtuels (réseaux virtuels). Cette fonctionnalité n’est pas disponible pour les SKUs de virtual WAN.
• Plusieurs adresses IP dans la résolution DNS : si un FQDN est résolu en plusieurs adresses IP dans une zone DNS privée ou des serveurs DNS personnalisés, le proxy DNS du Pare-feu Azure sélectionne la première adresse IP de la liste. Ce comportement est voulu.
• Échecs de résolution de FQDN :
  • Si le Pare-feu Azure ne peut pas résoudre un FQDN, la règle DNAT ne correspond pas, donc le trafic n'est pas traité.
  • Ces échecs sont enregistrés dans les journaux AZFWInternalFQDNResolutionFailure uniquement si le proxy DNS est activé.
  • Sans proxy DNS activé, les échecs de résolution ne sont pas enregistrés.

Considérations clés

Les considérations suivantes sont importantes lors de l’utilisation de règles DNAT avec le filtrage FQDN :

• Zones DNS privées : uniquement pris en charge dans le réseau virtuel et non avec Azure Virtual WAN.
• Plusieurs adresses IP dans la résolution DNS : le proxy DNS du Pare-feu Azure sélectionne toujours la première adresse IP dans la liste résolue (zone DNS privée ou serveur DNS personnalisé). Ce comportement est normal.

L’analyse de ces journaux peut aider à diagnostiquer les problèmes de connectivité et à vérifier que le trafic est acheminé correctement vers le serveur principal prévu.

Scénarios DNAT d’adresses IP privées

Pour les scénarios avancés impliquant des réseaux superposés ou un accès réseau non routable, vous pouvez utiliser la fonctionnalité DNAT IP privée du Pare-feu Azure. Cette fonctionnalité vous permet d’effectuer les opérations suivantes :

• Gérer les scénarios réseau superposés où plusieurs réseaux partagent le même espace d’adressage IP
• Fournir l’accès aux ressources dans des réseaux non routables
• Utiliser l’adresse IP privée du pare-feu pour DNAT au lieu d’adresses IP publiques

Pour savoir comment configurer la DNAT IP privée pour ces scénarios, consultez Déployer azure Firewall private IP DNAT pour les réseaux superposés et non routables.

Note

La fonction DNAT pour les IP privées est disponible uniquement dans les SKU Standard et Premium du Pare-feu Azure. La référence SKU de base ne prend pas en charge cette fonctionnalité.

Étapes suivantes

• Découvrez comment surveiller les journaux d'activité et les métriques du Pare-feu Azure à l’aide d’Azure Monitor.
• Déployer azure Firewall private IP DNAT pour les réseaux superposés et non routables