Partager via


Vue d’ensemble de la stratégie Azure Firewall Manager

Une stratégie de pare-feu est la méthode recommandée pour configurer votre Pare-feu Azure. Cette ressource globale peut s’utiliser sur plusieurs instances du Pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels hubs. Les stratégies sont applicables sur plusieurs régions et abonnements.

Stratégie Azure Firewall Manager

Création et association d’une stratégie

Une stratégie peut être créée et gérée de plusieurs façons, notamment avec le portail Azure, l’API REST, des modèles, Azure PowerShell et l’interface CLI et Terraform.

Vous pouvez également créer des stratégies en migrant des règles classiques existantes du Pare-feu Azure à l’aide du portail ou d’Azure PowerShell. Pour plus d’informations, consultez Guide pratique pour migrer des configurations Pare-feu Azure vers une stratégie Pare-feu Azure.

Les stratégies peuvent être associées à un ou plusieurs hubs virtuels ou réseaux virtuels. Le pare-feu peut être utilisé dans n’importe quel abonnement associé à votre compte et dans toutes les régions.

Règles et stratégies classiques

Le pare-feu Azure prend en charge les règles et stratégies classiques, mais les stratégies sont la configuration recommencée. Le tableau suivant compare les différentes stratégies et règles classiques :

Objet Policy Règles classiques
Contient NAT, réseau, règles d’application, DNS personnalisé et paramètres de proxy DNS, groupes IP et paramètres de renseignement sur les menaces (notamment liste verte), IDPS, inspection TLS, catégories web, filtrage d’URL NAT, réseau, règles d’application, DNS personnalisé et paramètres de proxy DNS, groupes IP et paramètres de renseignement sur les menaces (notamment liste verte)
Protection Hubs virtuels et réseaux virtuels Réseaux virtuels uniquement
Utilisation du portail Gestion centralisée à l’aide de Firewall Manager Expérience de pare-feu autonome
Prise en charge de plusieurs pare-feu Une stratégie de pare-feu est une ressource distincte qui peut être utilisée sur plusieurs pare-feu Importation et exportation manuelles des règles, ou à l’aide de solutions de gestion tierces
Tarifs Facturation en fonction de l’association de pare-feu. Consultez la section Tarifs. Gratuit
Méthodes de déploiement prises en charge Portail, API REST, modèles, Azure PowerShell et interface CLI Portail, API REST, modèles, PowerShell et interface CLI

Stratégies De base, Standard et Premium

Le Pare-feu Azure prend en charge les stratégies De base, Standard et Premium. Le tableau suivant présente les différences entre ces stratégies :

Type de stratégie Prise en charge des fonctionnalités Prise en charge du SKU de pare-feu
Stratégie De base Règles NAT, règles de réseau, règles d’application
Groupes IP
Veille des menaces (alertes)
De base
Stratégie standard Règles NAT, règles de réseau, règles d’application
DNS personnalisé, proxy DNS
Groupes IP
Catégories web
Informations sur les menaces
Standard ou Premium
Stratégie Premium Toutes les fonctionnalités de prise en charge Standard, plus :

Inspection TLS
Catégories web
Filtrage d'URL
IDPS
Premium

Stratégies hiérarchiques

Les stratégies peuvent être créées à partir de zéro ou être héritées de stratégies existantes. Avec l’héritage, DevOps crée des stratégies de pare-feu locales en plus de la stratégie de base mise en place dans l’organisation.

Les stratégies qui sont créées à partir de stratégies parentes non vides héritent toutes les collections de règles de la stratégie parente. La stratégie parente et la stratégie enfant doivent se trouver dans la même région. Une stratégie de pare-feu peut être associée à des pare-feu dans toutes les régions, quel que soit l’endroit où ils sont stockés.

Les collections de règles de réseau héritées d’une stratégie parent ont toujours la priorité sur les collections de règles de réseau définies dans le cadre d’une nouvelle stratégie. La même logique s’applique également aux collections de règles d’application. Cependant, les collections de règles de réseau sont toujours traitées avant les collections de règles d’application quel que soit l’héritage.

Le mode de renseignement sur les menaces est également hérité de la stratégie parente. Vous pouvez définir ce mode à une autre valeur pour ignorer le comportement hérité, mais vous ne pouvez pas le désactiver. Il est uniquement possible de remplacer cette valeur par une valeur plus stricte. Par exemple, si vous définissez la stratégie parente sur Alerte uniquement, vous pouvez configurer cette stratégie locale sur Alerter et refuser.

Comme le mode Renseignement sur les menaces, la liste verte du renseignement sur les menaces est héritée de la stratégie parente. La stratégie enfant peut ajouter davantage d’adresses IP à la liste d’autorisation.

Les collections de règles NAT ne sont pas héritées, car elles sont propres à chaque pare-feu.

Avec l’héritage, les modifications apportées à la stratégie parente sont automatiquement répercutées dans les stratégies de pare-feu enfants associées.

Haute disponibilité intégrée

Comme la haute disponibilité est intégrée, vous n’avez donc rien à configurer. Vous pouvez créer un objet Azure Firewall Policy dans n’importe quelle région et le lier globalement à plusieurs instances de Pare-feu Azure sous le même locataire Azure AD. Si la région où vous créez la stratégie tombe en panne et dispose d’une région couplée, les métadonnées de l’objet ARM (Azure Resource Manager) basculent automatiquement vers la région secondaire. Pendant le basculement, ou si la région unique sans paire reste dans un état d’échec, vous ne pouvez pas modifier l’objet Azure Firewall Policy. Toutefois, les instances du pare-feu Azure liées à la stratégie de pare-feu continuent de fonctionner. Pour plus d’informations, consultez Réplication inter-région dans Azure : continuité d’activité et reprise d’activité.

Tarifs

Les stratégies sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une seule association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un tarif fixe. Pour plus d’informations, consultez Tarification Azure Firewall Manager.

Étapes suivantes