Balises de service de Pare-feu Azure
Une balise de service représente un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité. Vous ne pouvez pas créer votre propre balise de service, ni spécifier les adresses IP incluses dans une balise. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.
Les balises de service de Pare-feu Azure peuvent être utilisées dans le champ de destination des règles réseau. Vous pouvez les utiliser à la place d'adresses IP spécifiques.
Balises de service prises en charge
Pare-feu Azure prend en charge les étiquettes de service suivantes à utiliser dans les règles de réseau de Pare-feu Azure :
- Étiquettes pour différents services Microsoft et Azure répertoriés dans Étiquettes de service de réseau virtuel.
- Étiquettes pour les adresses IP requises des services Office365, divisées par produit et catégorie Office365. Vous devez définir les ports TCP/UDP dans vos règles. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger Office 365.
Configuration
Le pare-feu Azure prend en charge la configuration de balises de service via PowerShell, Azure CLI ou le Portail Azure.
Configurer via Azure PowerShell
Dans cet exemple, nous apportons une modification à un Pare-feu Azure en utilisant des règles classiques. Nous devons d’abord connaître le contexte de notre instance de Pare-feu Azure précédemment créée.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Ensuite, nous devons créer une règle. Pour la destination, vous pouvez spécifier la valeur texte de la balise de service que vous souhaitez utiliser, comme mentionné précédemment.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Ensuite, nous devons mettre à jour la variable contenant notre définition de pare-feu Azure avec les nouvelles règles de réseau que nous avons créées.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Enfin, nous devons valider les modifications apportées aux règles de réseau sur l’instance de pare-feu Azure en cours d’exécution.
Set-AzFirewall -AzureFirewall $azfirewall
Étapes suivantes
Pour en savoir plus sur les règles du service Pare-feu Azure, consultez Logique de traitement des règles du service Pare-feu Azure.