Vue d’ensemble du déploiement d’Azure Firewall Manager
Azure Firewall Manager peut être utilisé de différentes manières pour le déploiement du Pare-feu Azure, mais la procédure générale suivante est recommandée.
Pour évaluer les options d’architecture du réseau, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?
Processus général de déploiement
Réseaux virtuels hub
Créer une stratégie de pare-feu
- Créer une nouvelle stratégie
or - Dérivez une stratégie de base et personnalisez une stratégie locale
or - Importez des règles à partir d’un pare-feu Azure existant. N’oubliez pas de supprimer les règles NAT des stratégies qui doivent être appliquées sur plusieurs pare-feu
- Créer une nouvelle stratégie
Créer une architecture hub and spoke
- Créez un réseau virtuel hub avec Azure Firewall Manager et associez-lui des réseaux virtuels spoke à l’aide du peering de réseaux virtuels
or - Créez un réseau virtuel, ajoutez des connexions de réseau virtuel et associez au nouveau réseau virtuel des réseaux virtuels spoke à l’aide du peering de réseaux virtuels
- Créez un réseau virtuel hub avec Azure Firewall Manager et associez-lui des réseaux virtuels spoke à l’aide du peering de réseaux virtuels
Sélectionnez les fournisseurs de sécurité auxquels vous associez la stratégie de pare-feu. Actuellement, le Pare-feu Azure est le seul fournisseur pris en charge.
- Effectuez cette opération en même temps que vous créez un réseau virtuel hub
or - Convertissez un réseau virtuel existant en réseau virtuel hub. Il est également possible de convertir plusieurs réseaux virtuels.
- Effectuez cette opération en même temps que vous créez un réseau virtuel hub
Configurer les routes définies par l’utilisateur pour acheminer le trafic vers le pare-feu de votre réseau virtuel hub.
Hubs virtuels sécurisés
Créer une architecture hub and spoke
- Créez un hub virtuel sécurisé à l’aide d’Azure Firewall Manager et ajoutez des connexions de réseau virtuel.
or - Créez un hub Virtual WAN et ajoutez des connexions de réseau virtuel.
- Créez un hub virtuel sécurisé à l’aide d’Azure Firewall Manager et ajoutez des connexions de réseau virtuel.
Sélectionner les fournisseurs de sécurité
- Effectué lors de la création du hub virtuel sécurisé.
or - Convertissez un hub Virtual WAN existant en hub virtuel sécurisé.
- Effectué lors de la création du hub virtuel sécurisé.
Créer une stratégie de pare-feu et l’associer à votre hub
- Applicable uniquement si vous utilisez le Pare-feu Azure.
- Les stratégies SECaaS (security as a service) tierces sont configurées via l’expérience de gestion des partenaires.
Configurer les paramètre de routage pour acheminer le trafic vers votre hub sécurisé
- Acheminez facilement le trafic vers votre hub sécurisé pour le filtrage et la journalisation sans itinéraires définis par l’utilisateur sur des réseaux virtuels spoke à l’aide de la page Paramètre de routage du hub virtuel sécurisé.
Notes
- Les espaces d’adresses IP des hubs ne doivent pas se chevaucher dans un vWAN. Pour plus d’informations sur les problèmes connus, consultez Qu’est-ce qu’Azure Firewall Manager ?
Convertir des réseaux virtuels
Les informations suivantes s’appliquent si vous convertissez un réseau virtuel existant en réseau virtuel hub :
- Si le réseau virtuel possède un pare-feu Azure, vous sélectionnez une stratégie de pare-feu à associer au pare-feu. L’état de provisionnement du pare-feu est mis à jour quand la stratégie de pare-feu remplace les règles de pare-feu. Pendant l’état de provisionnement, le pare-feu continue de traiter le trafic et n’a pas de temps d’arrêt. Vous pouvez importer des règles existantes dans une stratégie de pare-feu à l’aide de Firewall Manager ou d’Azure PowerShell.
- Si le réseau virtuel n’est associé à aucun pare-feu Azure, un pare-feu est déployé et la stratégie de pare-feu est associée au nouveau pare-feu.