Tutoriel : Filtrer le trafic Internet entrant avec la stratégie de pare-feu Azure DNAT à l’aide du portail Azure

Vous pouvez configurer une stratégie de traduction d'adresses réseau de destination (DNAT) du pare-feu Azure pour traduire et filtrer le trafic Internet entrant vers vos sous-réseaux. Quand vous configurez la stratégie DNAT, l’action de collection de règles est définie sur DNAT. Chaque règle de la collection de règles NAT peut ensuite être utilisée pour traduire votre adresse IP publique et votre port de pare-feu en adresse IP privée et port. Les règles DNAT ajoutent implicitement une règle de réseau correspondante pour autoriser le trafic traduit. Par souci de sécurité, l’approche recommandée consiste à ajouter une source spécifique pour autoriser l’accès DNAT au réseau et éviter d’utiliser des caractères génériques. Pour plus d’informations sur la logique de traitement des règles de Pare-feu Azure, consultez l’article Logique de traitement des règles du service Pare-feu Azure.

Ce tutoriel illustre la publication d’un serveur web à l’aide de DNAT.

Dans ce tutoriel, vous allez apprendre à :

• Configurer un environnement réseau de test
• Déployer un pare-feu et une stratégie
• Créer un itinéraire par défaut
• Déployer et configurer un serveur web
• Configurer une règle DNAT pour publier le serveur web
• Tester le pare-feu

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

1. Connectez-vous au portail Azure.
2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources, puis sélectionnez Ajouter.
3. Pour Abonnement, sélectionnez votre abonnement.
4. Pour Nom du groupe de ressources, entrez RG-DNAT-Test.
5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
6. Sélectionnez Vérifier + créer.
7. Sélectionnez Create (Créer).

Configurer l’environnement réseau

Pour ce didacticiel, vous créez deux réseaux virtuels appairés :

• VN-Hub : le pare-feu est dans ce réseau virtuel.
• VN-Spoke : le serveur de la charge de travail est dans ce réseau virtuel.

Tout d’abord, créez les réseaux virtuels, puis appairez-les.

Créer le réseau virtuel du hub

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

2. Sous Mise en réseau, sélectionnez Réseaux virtuels.

3. Sélectionnez Ajouter.

4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

5. Dans le champ Nom, saisissez VN-Hub.

6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.

7. Sélectionnez Suivant : Adresses IP.

8. Pour l’Espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.

9. Sous Nom du sous-réseau, sélectionnez Par défaut.

10. Modifiez le Nom du sous-réseau, puis tapez AzureFirewallSubnet.

    Le pare-feu se trouvera dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.

    Remarque

    La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

11. Pour Plage d’adresses de sous-réseau, tapez 10.0.1.0/26.

12. Cliquez sur Enregistrer.

13. Sélectionnez Vérifier + créer.

14. Sélectionnez Create (Créer).

Créer un réseau virtuel spoke

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.
2. Sous Mise en réseau, sélectionnez Réseaux virtuels.
3. Sélectionnez Ajouter.
4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
5. Pour Nom, tapez VN-Spoke.
6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.
7. Sélectionnez Suivant : Adresses IP.
8. Pour Espace d’adressage IPv4, supprimez la valeur par défaut et entrez 192.168.0.0/16.
9. Sélectionnez Ajouter un sous-réseau.
10. Pour Nom du sous-réseau, tapez SN-Workload.
11. Pour Plage d’adresses de sous-réseau, tapez 192.168.1.0/24.
12. Sélectionnez Ajouter.
13. Sélectionnez Vérifier + créer.
14. Sélectionnez Create (Créer).

Homologuer les réseaux virtuels

Maintenant, appairez les deux réseaux virtuels.

1. Sélectionnez le réseau virtuel VN-Hub.
2. Sous Paramètres, sélectionnez Peerings.
3. Sélectionnez Ajouter.
4. Sous Ce réseau virtuel, pour le Nom du lien de peering, tapez Peer-HubSpoke.
5. Sous Réseau virtuel distant, pour Nom du lien de peering, tapez Peer-SpokeHub.
6. Sélectionnez VN-Spoke pour le réseau virtuel.
7. Acceptez les autres valeurs par défaut, puis sélectionnez Ajouter.

Création d'une machine virtuelle

Créez une machine virtuelle de charge de travail, puis placez-la dans le sous-réseau SN-Workload.

1. Dans le menu du Portail Azure, sélectionnez Créer une ressource.
2. Sous Populaire, sélectionnez Ubuntu Server 22.04 LTS.

Notions de base

1. Pour Abonnement, sélectionnez votre abonnement.
2. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
3. Sous Nom de la machine virtuelle, tapez Srv-Workload.
4. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
5. Pour image, sélectionnez Ubuntu Server 22.04 LTS - x64 Gen2.
6. Pour Taille, sélectionnez Standard_B2s.
7. Dans Type d’authentification, sélectionnez Clé publique SSH.
8. Pour nom d’utilisateur, tapez azureuser.
9. Pour la source de clé publique SSH, sélectionnez Générer une nouvelle paire de clés.
10. Pour le nom de la paire de clés, tapez Srv-Workload_key.
11. Sélectionnez Aucun dans les ports entrants publics.
12. Sélectionnez Suivant : Disques.

Disques

• Sélectionnez Suivant : Mise en réseau.

Mise en réseau

1. Pour Réseau virtuel, sélectionnez VN-Spoke.
2. Pour Sous-réseau, sélectionnez SN-Workload.
3. Pour Adresse IP publique, sélectionnez Aucune.
4. Pour Ports d’entrée publics, sélectionnez Aucun.
5. Conservez les autres paramètres par défaut, puis sélectionnez Suivant : Gestion.

Gestion

• Sélectionnez Suivant : Supervision.

Supervision

1. Pour Diagnostics de démarrage, sélectionnez Désactiver.
2. Sélectionnez Vérifier + créer.

Vérifier + créer

Passez en revue le récapitulatif, puis sélectionnez Créer.

• Dans la boîte de dialogue Générer une nouvelle paire de clés , sélectionnez Télécharger la clé privée et créer une ressource. Enregistrez le fichier de clé en tant que Srv-Workload_key.pem.

Une fois le déploiement terminé, notez l’adresse IP privée de la machine virtuelle. Elle servira ultérieurement pour configurer le pare-feu. Sélectionnez le nom de la machine virtuelle. Sous Paramètres, sélectionnez Mise en réseau pour trouver l’adresse IP privée.

Installer le serveur web

Utilisez la fonctionnalité Exécuter la commande du portail Azure pour installer un serveur web sur la machine virtuelle.

1. Accédez à la machine virtuelle Srv-Workload dans le portail Azure.

2. Sous Opérations, sélectionnez Exécuter la commande.

3. Sélectionnez RunShellScript.

4. Dans la fenêtre Exécuter le script de commande , collez le script suivant :

   sudo apt-get update
   sudo apt-get install -y nginx
   echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html
   

5. Sélectionnez Exécuter.

6. Attendez que le script se termine. La sortie doit afficher l’installation réussie de Nginx.

Déployer le pare-feu et la stratégie

1. Dans la page d’accueil du portail, sélectionnez Créer une ressource.

2. Recherchez pare-feu, puis sélectionnez Pare-feu.

3. Sélectionnez Create (Créer).

4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

   Paramètre	Valeur
   Abonnement	<votre abonnement>
   groupe de ressources	Sélectionner RG-DNAT-test
   Nom	FW-DNAT-test
   Région	Sélectionnez le même emplacement que celui utilisé précédemment
   Gestion de pare-feu	Utiliser une stratégie de pare-feu pour gérer ce pare-feu
   Stratégie de pare-feu	Ajouter nouveau : fw-dnat-pol votre région sélectionnée
   Choisir un réseau virtuel	Utiliser l’existant : VN-Hub
   Adresse IP publique	Ajouter nouveau, Nom : fw-pip.

5. Décochez la case en regard de Activer la carte d'interface réseau de gestion du pare-feu.

6. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

7. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

   Le déploiement prend quelques minutes.

8. Une fois le déploiement terminé, accédez au groupe de ressources RG-DNAT-Test, puis sélectionnez le pare-feu FW-DNAT-test.

9. Notez les adresses IP privée et publique du pare-feu. Vous les utiliserez ultérieurement lors de la création de l’itinéraire par défaut et de la règle NAT.

Créer un itinéraire par défaut

Pour le sous-réseau SN-Workload, vous devez configurer l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

Important

Au niveau du sous-réseau de destination, vous n’avez pas besoin de configurer un itinéraire explicite vers le pare-feu. Le Pare-feu Azure est un service avec état qui gère automatiquement les paquets et les sessions. Si vous créez cet itinéraire, vous mettez en place un environnement de routage asymétrique qui interrompt la logique de session avec état et entraîne la suppression des paquets et des connexions.

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

2. Sous Mise en réseau, sélectionnez Tables d’itinéraires.

3. Sélectionnez Ajouter.

4. Pour Abonnement, sélectionnez votre abonnement.

5. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

6. Pour Région, sélectionnez la même région que celle utilisée précédemment.

7. Dans le champ Nom, tapez RT-FW-route.

8. Sélectionnez Vérifier + créer.

9. Sélectionnez Create (Créer).

10. Sélectionnez Accéder à la ressource.

11. Sélectionnez Sous-réseaux, puis Associer.

12. Pour Réseau virtuel, sélectionnez VN-Spoke.

13. Pour Sous-réseau, sélectionnez SN-Workload.

14. Sélectionnez OK.

15. Sélectionnez Routes, puis Ajouter.

16. Pour Nom de l’itinéraire, tapez fw-dg.

17. Pour Préfixe d’adresse, entrez 0.0.0.0/0.

18. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

19. Pour Adresse de tronçon suivant, entrez l’adresse IP privée pour le pare-feu que vous avez notée précédemment.

20. Sélectionnez OK.

Configurer une règle DNAT

Cette règle permet au trafic HTTP entrant à partir d’Internet d’atteindre le serveur web via le pare-feu.

1. Ouvrez le groupe de ressources RG-DNAT-Test, puis sélectionnez la stratégie de pare-feu fw-dnat-pol.
2. Sous Paramètres, sélectionnez Règles DNAT.
3. Sélectionnez Ajouter une collection de règles.
4. Pour Nom, tapez web-access.
5. Pour Priorité, tapez 200.
6. Pour Groupe de collection de règles, sélectionnez DefaultDnatRuleCollectionGroup.
7. Sous Règles, pour Name, tapez http-dnat.
8. Pour Type de source, sélectionnez Adresse IP.
9. Pour Source, tapez * pour autoriser le trafic à partir de n’importe quelle source.
10. Pour Protocole, sélectionnez TCP.
11. Pour Ports de destination, tapez 80.
12. Pour Type de destination, sélectionnez Adresse IP.
13. Pour destination, tapez l’adresse IP publique du pare-feu.
14. Pou Adresse traduite, tapez l’adresse IP privée de Srv-Workload.
15. Pour le port traduit, tapez 80.
16. Sélectionnez Ajouter.

Tester le pare-feu

Testez maintenant la règle DNAT pour vérifier que le serveur web est accessible via le pare-feu.

1. Ouvrez un navigateur web.
2. Accédez à http://<firewall-public-ip> (utilisez l’adresse IP publique du pare-feu que vous avez notée précédemment).
3. La page web doit s’afficher : Démonstration DNAT du pare-feu Azure - Srv-Workload

La règle DNAT traduit correctement la requête HTTP entrante sur l’adresse IP publique du pare-feu en adresse IP privée du serveur web. Cela montre comment azure Firewall DNAT peut être utilisé pour publier des applications web tout en conservant les serveurs principaux dans un sous-réseau privé.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu pour le prochain didacticiel, ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources RG-DNAT-Test pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Pour connaître les scénarios DNAT avancés impliquant des réseaux superposés ou un accès réseau non routable, consultez :

Déployer azure Firewall private IP DNAT pour les réseaux superposés et non routables