Share via

Groupes IP dans Pare-feu Azure

  • Article

Les groupes IP vous permettent de regrouper et de gérer des adresses IP pour les règles de Pare-feu Azure de l’une des manières suivantes :

  • En tant qu’adresse source dans les règles DNAT
  • En tant qu’adresse source ou de destination dans les règles de réseau
  • En tant qu’adresse source dans les règles d’application

Un groupe IP peut avoir une seule adresse IP, plusieurs adresses IP, une ou plusieurs plages d'adresses IP ou des adresses et des plages combinées.

Les groupes IP peuvent être réutilisés dans les règles DNAT, de réseau et d’application de Pare-feu Azure pour plusieurs pare-feu dans différentes régions et différents abonnements dans Azure. Les noms de groupes doivent être uniques. Vous pouvez configurer un groupe IP dans le Portail Azure, Azure CLI ou l’API REST. Un exemple de modèle est fourni pour vous aider à démarrer.

Format d’échantillonnage

Les exemples de format d’adresse IPv4 suivants sont valides pour une utilisation dans les groupes IP :

  • Adresse unique : 10.0.0.0
  • Notation CIDR : 10.1.0.0/32
  • Plage d’adresses : 10.2.0.0-10.2.0.31

Créer un groupe IP

Un groupe IP peut être créé à l’aide du Portail Azure, d’Azure CLI ou de l’API REST. Pour plus d’informations, consultez Créer un groupe IP.

Parcourir les groupes IP

  1. Dans la barre de recherche du Portail Azure, saisissez Groupes IP et sélectionnez le résultat. Vous pouvez voir la liste des groupes IP, ou vous pouvez sélectionner Ajouter pour créer un groupe IP.

  2. Sélectionnez un groupe IP pour ouvrir la page de présentation. Vous pouvez modifier, ajouter ou supprimer des adresses IP ou des groupes IP.

    IP Groups overview

Gérer un groupe IP

Vous pouvez voir toutes les adresses IP dans le groupe IP et les règles ou les ressources qui y sont associées. Pour supprimer un groupe IP, vous devez d’abord dissocier le groupe IP de la ressource qui l’utilise.

  1. Pour afficher ou modifier les adresses IP, sélectionnez Adresses IP sous Paramètres dans le volet gauche.
  2. Pour ajouter une ou plusieurs adresses IP, sélectionnez Ajouter des adresses IP. Cela ouvre la page Faire glisser ou parcourir pour un chargement, ou vous pouvez entrer l’adresse manuellement.
  3. Sélectionnez les points de suspension ( ) à droite pour modifier ou supprimer des adresses IP. Pour modifier ou supprimer plusieurs adresses IP, activez les cases à cocher Modifier ou Supprimer en haut.
  4. Enfin, vous pouvez exporter le fichier au format de fichier CSV.

Notes

Si vous supprimez toutes les adresses IP d’un groupe IP alors qu’il est toujours utilisé dans une règle, cette règle sera ignorée.

Utiliser un groupe IP

Vous pouvez maintenant sélectionner Groupe IP comme Type source ou Type de destination pour les adresses IP lorsque vous créez des règles de DNAT, d’application ou de réseau de Pare-feu Azure.

IP Groups in Firewall

Mises à jour du groupe IP parallèle (aperçu)

Vous pouvez désormais mettre à jour plusieurs groupes IP en parallèle en même temps. Ceci est particulièrement utile pour les administrateurs qui souhaitent apporter des modifications de configuration plus rapidement et à grande échelle, en particulier lorsqu'ils effectuent ces modifications à l'aide d'une approche de développement (modèles, ARM, CLI et Azure PowerShell).

Avec ce support, vous pouvez désormais :

  • Mettre à jour 20 groupes IP à la fois
  • Mettre à jour le pare-feu et la stratégie de pare-feu lors des mises à jour du groupe IP
  • Utiliser le même groupe IP dans la stratégie parent et enfant
  • Mettre à jour simultanément plusieurs groupes IP référencés par la politique de pare-feu ou le pare-feu classique
  • Recevez des messages d'erreur nouveaux et améliorés

    • États d’échec et de réussite

      Par exemple, s'il y a une erreur avec une mise à jour d'un groupe IP sur 20 mises à jour parallèles, les autres mises à jour se poursuivent et le groupe IP erroné échoue. De plus, si la mise à jour du groupe IP échoue et que le pare-feu est toujours sain, le pare-feu reste dans l'état Réussi. Pour vérifier si la mise à jour du groupe IP a échoué ou réussi, vous pouvez afficher l'état de la ressource du groupe IP.

Pour activer la prise en charge du groupe IP parallèle, vous pouvez inscrire la fonctionnalité à l’aide d’Azure PowerShell ou du Portail Azure.

Azure PowerShell

Utilisez les commandes Azure PowerShell suivantes :

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

La prise en compte de cette opération peut prendre plusieurs minutes. Une fois la fonctionnalité totalement inscrite, envisagez d’effectuer une mise à jour sur Pare-feu Azure pour que la modification prenne effet immédiatement.

Portail Azure

  1. Accédez aux fonctionnalités d’aperçu dans le Portail Azure.
  2. Recherchez et inscrivez AzureFirewallParallelIPGroupUpdate.
  3. Vérifiez que la fonctionnalité est activée.

Screenshot showing the parallel IP groups feature.

Disponibilité des régions

Les groupes IP sont disponibles dans toutes les régions de cloud public.

Limites d'adresses IP

Pour les limites de groupe IP, consultez Abonnement Azure et limites, quotas et contraintes de service

Vous pouvez utiliser les cmdlets Azure PowerShell suivantes pour créer et gérer des groupes IP :

Étapes suivantes