Partage via

Tutoriel : Déployer et configurer le Pare-feu Azure et une stratégie en utilisant le portail Azure

Le contrôle de l’accès réseau sortant est une partie importante d’un plan de sécurité réseau global. Par exemple, vous pouvez souhaiter limiter l’accès aux sites web. Vous pouvez aussi vouloir limiter l’accès à certaines adresses IP et à certains ports sortants.

Vous pouvez contrôler l’accès réseau sortant à partir d’un sous-réseau Azure à l’aide du Pare-feu Azure et d’une stratégie de pare-feu. Avec le Pare-feu Azure et une stratégie de pare-feu, vous pouvez configurer :

  • Règles d’application qui définissent des noms de domaine complets (FQDN) accessibles depuis un sous-réseau.
  • Règles réseau qui définissent l’adresse source, le protocole, le port de destination et l’adresse de destination.

Le trafic réseau est soumis aux règles de pare-feu configurées lorsque vous routez votre trafic réseau vers le pare-feu en tant que sous-réseau de passerelle par défaut.

Pour ce tutoriel, vous devez créer un seul réseau virtuel simplifié avec deux sous-réseaux pour un déploiement facile.

  • AzureFirewallSubnet : le pare-feu est dans ce sous-réseau.
  • Workload-SN : le serveur de la charge de travail est dans ce sous-réseau. Le trafic réseau de ce sous-réseau traverse le pare-feu.

Diagramme de l’infrastructure réseau de pare-feu.

Pour les déploiements de production, un modèle Hub and Spoke, dans lequel le pare-feu est dans son propre réseau virtuel, est recommandé. Les serveurs de la charge de travail se trouvent dans des réseaux virtuels appairés dans la même région avec un ou plusieurs sous-réseaux.

Dans ce tutoriel, vous allez apprendre à :

  • Configurer un environnement réseau de test
  • Déployer un pare-feu et une stratégie de pare-feu
  • Créer un itinéraire par défaut
  • Configurer une règle d’application pour autoriser l’accès à www.google.com
  • Configurer une règle de réseau pour autoriser l’accès aux serveurs DNS externes
  • Configurer une règle NAT pour autoriser l’accès HTTP entrant au serveur de test
  • Tester le pare-feu

Si vous préférez, vous pouvez suivre cette procédure en utilisant Azure PowerShell.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Configurer le réseau

Tout d’abord, créez un groupe de ressources qui contiendra les ressources nécessaires pour déployer le pare-feu. Ensuite, créez un réseau virtuel, des sous-réseaux et un serveur de test.

Créer un groupe de ressources

Le groupe de ressources contient toutes les ressources utilisées dans ce didacticiel.

  1. Connectez-vous au portail Azure.

  2. Dans le menu du Portail Azure, sélectionnez Groupes de ressources, ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page, puis sélectionnez Créer. Entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Entrez Test-FW-RG.
    Région Sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.

  3. Sélectionnez Revoir + créer.

  4. Sélectionnez Create (Créer).

Créer un réseau virtuel

Ce réseau virtuel a deux sous-réseaux.

Notes

La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

  2. Sélectionnez Mise en réseau.

  3. Recherchez Réseau virtuel, puis sélectionnez Créer.

  4. Entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez Test-FW-RG.
    Nom Entrez Test-FW-VN.
    Région Sélectionnez le même emplacement que celui utilisé précédemment.

  5. Cliquez sur Suivant.

  6. Sous l'onglet Sécurité, sélectionnez Suivant.

  7. Pour Espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.

  8. Sous Sous-réseaux, sélectionnez par défaut.

  9. Dans la page Modifier un sous-réseau, pour Objectif du sous-réseau, sélectionnez Pare-feu Azure.

    Le pare-feu se trouve dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.

  10. Pour Adresse de début, tapez 10.0.1.0.

  11. Cliquez sur Enregistrer.

Créez ensuite un sous-réseau pour le serveur de la charge de travail.

  1. Sélectionnez Ajouter un sous-réseau.
  2. Pour Nom du sous-réseau, entrez Workload-SN.
  3. Pour Adresse de départ, tapez 10.0.2.0/24.
  4. Sélectionnez Ajouter.
  5. Sélectionnez Revoir + créer.
  6. Sélectionnez Create (Créer).

Déployer Azure Bastion

Déployez l’édition Développeur Azure Bastion pour vous connecter en toute sécurité à la machine virtuelle Srv-Work à des fins de test.

  1. Dans la zone de recherche située en haut du portail, entrez Bastion. Sélectionnez Bastions dans les résultats de la recherche.

  2. Sélectionnez Create (Créer).

  3. Dans la page Créer un bastion , entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez Test-FW-RG.
    Détails de l’instance
    Nom Entrez Test-Bastion.
    Région Sélectionnez le même emplacement que celui utilisé précédemment.
    Niveau Sélectionnez Développeur.
    Réseau virtuel Sélectionnez Test-FW-VN.
    Sous-réseau AzureBastionSubnet est créé automatiquement avec l’espace d’adressage 10.0.0.0/26.

  4. Sélectionnez Revoir + créer.

  5. Passez en revue les paramètres, puis sélectionnez Créer.

    Le déploiement prend quelques minutes.

Création d'une machine virtuelle

À présent, créez la machine virtuelle de charge de travail et placez-la dans le sous-réseau Workload-SN.

  1. Dans la zone de recherche située en haut du portail, entrez une machine virtuelle, sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez Créer une>machine virtuelle.

  3. Entrez ou sélectionnez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez Test-FW-RG.
    Détails de l’instance
    Nom de la machine virtuelle Entrez Srv-Work.
    Région Sélectionnez le même emplacement que celui utilisé précédemment.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Ubuntu Server 24.04 LTS -x64 Gen2
    Taille Sélectionnez une taille pour la machine virtuelle.
    Compte d’administrateur
    Nom d’utilisateur Saisissez azureuser.
    Source de la clé publique SSH Sélectionnez Générer une nouvelle paire de clés.
    Nom de la paire de clés Entrez Srv-Work_key.

  4. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucune.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  6. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Assurez-vous que Test-FW-VN est sélectionné pour le réseau virtuel et que le sous-réseau est Workload-SN.

  8. Pour Adresse IP publique, sélectionnez Aucune.

  9. Sélectionnez Revoir + créer.

  10. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

  11. Lorsque vous y êtes invité, sélectionnez Télécharger la clé privée et créer une ressource. Enregistrez le fichier de clé privée sur votre ordinateur.

  12. Une fois le déploiement terminé, sélectionnez la ressource Srv-Work et notez l’adresse IP privée pour l’utiliser ultérieurement.

Installer un serveur web

Connectez-vous à la machine virtuelle et installez un serveur web à des fins de test.

  1. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG.

  2. Sélectionnez la machine virtuelle Srv-Work .

  3. Sélectionnez Opérations>Exécuter la commande>RunShellScript.

  4. Dans la zone de script, entrez les commandes suivantes :

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  5. Sélectionnez Exécuter.

  6. Attendez que le script se termine correctement.

Déployer le pare-feu et la stratégie

Déployez le pare-feu dans le réseau virtuel.

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

  2. Tapez pare-feu dans la zone de recherche, puis appuyez sur Entrée.

  3. Sélectionnez Pare-feu, puis Créer.

  4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez Test-FW-RG.
    Détails de l’instance
    Nom Entrez Test-FW01.
    Région Sélectionnez le même emplacement que celui utilisé précédemment.
    Référence SKU du pare-feu Sélectionnez Standard.
    Gestion de pare-feu Sélectionnez Utiliser une stratégie de pare-feu pour gérer ce pare-feu.
    Stratégie de pare-feu Sélectionnez Ajouter un nouveau, puis entrez fw-test-pol.
    Sélectionnez la même région que celle utilisée précédemment. Cliquez sur OK.
    Choisir un réseau virtuel Sélectionnez Utiliser l’existant, puis Test-FW-VN. Ignorez l’avertissement concernant le tunneling forcé. L’avertissement est résolu dans une étape ultérieure.
    Adresse IP publique Sélectionnez Ajouter nouveau, puis entrez fw-pip pour le nom. Cliquez sur OK.

  5. Décochez la case Activer la carte réseau de gestion sur les pare-feu.

  6. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Balises.

  7. Sélectionnez Suivant : Vérifier + créer.

  8. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

    Le déploiement prend quelques minutes.

  9. Une fois le déploiement terminé, accédez au groupe de ressources Test-FW-RG, puis sélectionnez le pare-feu Test-FW01.

  10. Notez les adresses IP privée et publique du pare-feu. Vous utiliserez ces adresses plus tard.

Créer un itinéraire par défaut

Pour le sous-réseau Workload-SN, configurez l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

  1. Dans le menu du Portail Azure, sélectionnez Tous les services ou recherchez et sélectionnez Tous les services dans n’importe quelle page.

  2. Sous Mise en réseau, sélectionnez Tables d’itinéraires.

  3. Sélectionnez Créer,puis entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez Test-FW-RG.
    Détails de l’instance
    Nom Entrez l’itinéraire du pare-feu.
    Région Sélectionnez le même emplacement que celui utilisé précédemment.

  4. Sélectionnez Revoir + créer.

  5. Sélectionnez Create (Créer).

Une fois le déploiement terminé, sélectionnez Accéder à la ressource.

  1. Sur la page Firewall-route, sous Paramètres, sélectionnez Sous-réseaux, puis Associer.

  2. Dans Réseau virtuel, sélectionnez Test-FW-VN.

  3. Pour Sous-réseau, sélectionnez Workload-SN.

  4. Cliquez sur OK.

  5. Sélectionnez Itinéraires, puis Ajouter.

  6. Pour Nom de l’itinéraire, entrez fw-dg.

  7. Pour Type de destination, sélectionnez Adresses IP.

  8. Pour le préfixe des plages d’adresses IP/CIDR de destination, entrez 0.0.0.0/0.

  9. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

  10. Pour Adresse du tronçon suivant, entrez l’adresse IP privée du pare-feu que vous avez notée précédemment.

  11. Sélectionnez Ajouter.

Configurer une règle d’application

Il s’agit de la règle d’application qui autorise un accès sortant à www.google.com.

  1. Ouvrez le groupe de ressources Test-FW-RG, puis sélectionnez la stratégie de pare-feu fw-test-pol.
  2. Sous Règles de paramètres>, sélectionnez les règles d’application.
  3. Sélectionnez Ajouter une collection de règles.
  4. Pour nom, entrez App-Coll01.
  5. Pour Priorité, entrez 200.
  6. Pour Action de collection de règles, sélectionnez Autoriser.
  7. Sous Règles, dans Nom, entrez Allow-Google.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, entrez 10.0.2.0/24.
  10. Pour Protocol:port, entrez http, https.
  11. Pour Type de destination, sélectionnez FQDN.
  12. Pour Destination, entrez www.google.com
  13. Sélectionnez Ajouter.

Le Pare-feu Azure comprend un regroupement de règles intégré pour les noms de domaine complets d’infrastructure qui sont autorisés par défaut. Ces noms de domaine complets sont spécifiques à la plateforme et ne peuvent pas être utilisés à d’autres fins. Pour plus d’informations, consultez Noms de domaine complets d’infrastructure.

Attendez que le déploiement de la règle d’application se termine avant de créer la règle réseau dans les étapes suivantes.

Configurer une règle de réseau

Il s’agit de la règle de réseau qui autorise un accès sortant à deux adresses IP sur le port 53 (DNS).

  1. Sélectionnez Règles de réseau.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour nom, entrez Net-Coll01.
  4. Pour Priorité, entrez 200.
  5. Pour Action de collection de règles, sélectionnez Autoriser.
  6. Pour Groupe de collection de règles, sélectionnez DefaultNetworkRuleCollectionGroup.
  7. Sous Règles, dans Nom, entrez Allow-DNS.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, entrez 10.0.2.0/24.
  10. Pour Protocole, sélectionnez UDP.
  11. Pour Ports de destination, entrez 53.
  12. Pour Type de destination, sélectionnez Adresse IP.
  13. Pour Destination, entrez 209.244.0.3,209.244.0.4.
    Il s’agit de serveurs DNS publics gérés par CenturyLink.
  14. Sélectionnez Ajouter.

Attendez que le déploiement de la règle réseau se termine avant de créer la règle DNAT dans les étapes suivantes.

Configurer une règle DNAT

Cette règle vous permet de vous connecter au serveur web sur la machine virtuelle Srv-Work via le pare-feu .

  1. Sélectionnez les règles DNAT.
  2. Sélectionnez Ajouter une collection de règles.
  3. Pour Nom, entrez HTTP.
  4. Pour Priorité, entrez 200.
  5. Pour Groupe de collection de règles, sélectionnez DefaultDnatRuleCollectionGroup.
  6. Sous Règles, pour Nom, entrez http-nat.
  7. Pour Type de source, sélectionnez Adresse IP.
  8. Pour Source, entrez *.
  9. Pour Protocole, sélectionnez TCP.
  10. Pour Ports de destination, entrez 80.
  11. Pour Destination, entrez l’adresse IP publique du pare-feu.
  12. Pour Type traduit, sélectionnez Adresse IP.
  13. Pou Adresse traduite, entrez l’adresse IP privée de Srv-work.
  14. Pour le port traduit, entrez 80.
  15. Sélectionnez Ajouter.

Modifier les adresses DNS principales et secondaires de l’interface réseau Srv-Work

À des fins de test dans ce tutoriel, configurez les adresses DNS principales et secondaires du serveur. Ceci n’est pas obligatoire pour le pare-feu Azure.

  1. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG.
  2. Sélectionnez l’interface réseau de la machine virtuelle Srv-Work.
  3. SousParamètres, sélectionnez Serveurs DNS.
  4. Sous Serveurs DNS, sélectionnez Personnalisé.
  5. Saisissez 209.244.0.3 dans la zone de texte Ajouter un serveur DNS, et 209.244.0.4 dans la zone de texte suivante.
  6. Cliquez sur Enregistrer.
  7. Redémarrez la machine virtuelle Srv-Work.

Tester le pare-feu

Testez maintenant le pare-feu pour vérifier qu’il fonctionne comme prévu.

Tester la règle DNAT

  1. Ouvrez un navigateur web sur votre ordinateur local.
  2. Dans la barre d’adresses, entrez http://<firewall-public-ip-address>, où <firewall-public-ip-address> est l’adresse IP publique du pare-feu que vous avez noté précédemment.
  3. Vous devez voir la page web personnalisée : test DNAT du pare-feu Azure. Cela confirme que la règle DNAT fonctionne et que le trafic est transféré à la machine virtuelle Srv-Work .

Tester les règles d’application et de réseau

Utilisez Azure Bastion pour vous connecter en toute sécurité à la machine virtuelle Srv-Work et tester les règles de pare-feu.

  1. Dans le menu du Portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page. Sélectionnez le groupe de ressources Test-FW-RG.

  2. Sélectionnez la machine virtuelle Srv-Work .

  3. Sélectionnez Se connecter>via Bastion.

  4. Dans la page Bastion, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Type d’authentification Sélectionnez Clé privée SSH dans le fichier local.
    Nom d’utilisateur Saisissez azureuser.
    Fichier local Sélectionnez Parcourir et sélectionnez le fichier Srv-Work_key.pem que vous avez téléchargé lors de la création de la machine virtuelle.

  5. Sélectionnez Se connecter.

    Un nouvel onglet de navigateur s’ouvre avec une session SSH sur la machine virtuelle Srv-Work .

  6. Dans la session SSH, entrez la commande suivante pour tester l’accès à Google :

    curl -I https://www.google.com

    Vous devriez voir une réponse HTTP réussie (200 OK), indiquant que la règle d’application autorise l’accès à Google.

  7. Testez maintenant l’accès à Microsoft, qui doit être bloqué. Entrez :

    curl -I https://www.microsoft.com

    La commande doit expirer ou échouer après environ 60 secondes, indiquant que le pare-feu bloque l’accès.

Maintenant que vous avez vérifié que les règles de pare-feu fonctionnent :

  • Vous pouvez accéder au serveur web via la règle DNAT.
  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.
  • Vous pouvez résoudre les noms DNS à l’aide du serveur DNS externe configuré.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu pour le prochain didacticiel, ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources Test-FW-RG pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Déployer et configurer le Pare-feu Azure Premium

  • Last updated on