Filtrer le trafic Internet entrant avec le Pare-feu Azure DNAT à l’aide du Portail Azure

  • Article

Vous pouvez configurer le Pare-feu DNAT (Azure Destination Network Address Translation) pour traduire et filtrer le trafic Internet entrant vers vos sous-réseaux. Lorsque vous configurez le DNAT, l’action de collection de règles NAT est définie sur DNAT. Chaque règle de la collection de règles NAT peut ensuite être utilisée pour traduire l’adresse IP et le port publics de votre pare-feu en adresse IP et port privés. Les règles DNAT ajoutent implicitement une règle de réseau correspondante pour autoriser le trafic traduit. Par souci de sécurité, l’approche recommandée consiste à ajouter une source Internet spécifique pour autoriser l’accès de DNAT au réseau et éviter d’utiliser des caractères génériques. Pour plus d’informations sur la logique de traitement des règles de Pare-feu Azure, consultez l’article Logique de traitement des règles du service Pare-feu Azure.

Remarque

Cet article utilise des règles de pare-feu classiques pour gérer le pare-feu. La méthode recommandée consiste à utiliser une stratégie de pare-feu. Pour effectuer cette procédure à l’aide d’une stratégie de pare-feu, consultez Tutoriel : Filtrer le trafic Internet entrant avec une stratégie DNAT de Pare-feu Azure à l’aide du portail Azure.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

  1. Connectez-vous au portail Azure.
  2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources, puis sélectionnez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Groupe de ressources, entrez RG-DNAT-Test.
  5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
  6. Sélectionnez Revoir + créer.
  7. Sélectionnez Create (Créer).

Configurer l’environnement réseau

Pour cet article, vous créez deux réseaux virtuels appairés :

  • VN-Hub : le pare-feu est dans ce réseau virtuel.
  • VN-Spoke : le serveur de la charge de travail est dans ce réseau virtuel.

Tout d’abord, créez les réseaux virtuels, puis appairez-les.

Créer le réseau virtuel du hub

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

  2. Sous Mise en réseau, sélectionnez Réseaux virtuels.

  3. Sélectionnez Create (Créer).

  4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

  5. Dans le champ Nom, saisissez VN-Hub.

  6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.

  7. Cliquez sur Suivant.

  8. Sous l'onglet Sécurité, sélectionnez Suivant.

  9. Pour Espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.

  10. Sous Sous-réseaux, sélectionnez par défaut.

  11. Pour Modèle de sous-réseau, sélectionnez Pare-feu Azure.

    Le pare-feu se trouvera dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.

    Notes

    La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

  12. Cliquez sur Enregistrer.

  13. Sélectionnez Revoir + créer.

  14. Sélectionnez Create (Créer).

Créer un réseau virtuel spoke

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.
  2. Sous Mise en réseau, sélectionnez Réseaux virtuels.
  3. Sélectionnez Create (Créer).
  4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
  5. Pour Nom, tapez VN-Spoke.
  6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.
  7. Cliquez sur Suivant.
  8. Sous l'onglet Sécurité, sélectionnez Suivant.
  9. Pour Espace d’adressage IPv4, supprimez la valeur par défaut et entrez 192.168.0.0/16.
  10. Sous Sous-réseaux, sélectionnez par défaut.
  11. Pour Nom du sous-réseau, tapez SN-Workload.
  12. Pour Adresse de départ, entrez 192.168.1.0.
  13. Pour Taille du sous-réseau, sélectionnez /24.
  14. Cliquez sur Enregistrer.
  15. Sélectionnez Revoir + créer.
  16. Sélectionnez Create (Créer).

Homologuer les réseaux virtuels

Maintenant, appairez les deux réseaux virtuels.

  1. Sélectionnez le réseau virtuel VN-Hub.
  2. Sous Paramètres, sélectionnez Peerings.
  3. Sélectionnez Ajouter.
  4. Sous Ce réseau virtuel, pour le Nom du lien de peering, tapez Peer-HubSpoke.
  5. Sous Réseau virtuel distant, pour Nom du lien de peering, tapez Peer-SpokeHub.
  6. Sélectionnez VN-Spoke pour le réseau virtuel.
  7. Acceptez les autres valeurs par défaut, puis sélectionnez Ajouter.

Création d'une machine virtuelle

Créez une machine virtuelle de charge de travail, puis placez-la dans le sous-réseau SN-Workload.

  1. Dans le menu du Portail Azure, sélectionnez Créer une ressource.
  2. Sous Produits de la Place de marché populaires, sélectionnez Windows Server 2019 Datacenter.

Concepts de base

  1. Pour Abonnement, sélectionnez votre abonnement.
  2. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
  3. Sous Nom de la machine virtuelle, tapez Srv-Workload.
  4. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
  5. Entrez un nom d’utilisateur et un mot de passe.
  6. Sélectionnez Suivant : Disques.

Disques

  1. Sélectionnez Suivant : Mise en réseau.

Mise en réseau

  1. Pour Réseau virtuel, sélectionnez VN-Spoke.
  2. Pour Sous-réseau, sélectionnez SN-Workload.
  3. Pour Adresse IP publique, sélectionnez Aucune.
  4. Pour Ports d’entrée publics, sélectionnez Aucun.
  5. Conservez les autres paramètres par défaut, puis sélectionnez Suivant : Gestion.

Gestion

  1. Sélectionnez Suivant : Supervision.

Surveillance

  1. Pour Diagnostics de démarrage, sélectionnez Désactiver.
  2. Sélectionnez Vérifier + créer.

Vérifier + créer.

Passez en revue le récapitulatif, puis sélectionnez Créer. Ceci prend quelques minutes.

Une fois le déploiement terminé, notez l’adresse IP privée de la machine virtuelle. Il est utilisé ultérieurement lors de la configuration du pare-feu. Sélectionnez le nom de la machine virtuelle. Sélectionnez Vue d’ensemble et, sous Mise en réseau, notez l’adresse IP privée.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Déployer le pare-feu

  1. Dans la page d’accueil du portail, sélectionnez Créer une ressource.

  2. Recherchez pare-feu, puis sélectionnez Pare-feu.

  3. Sélectionnez Create (Créer).

  4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

    Paramètre Valeur
    Abonnement <votre abonnement>
    Resource group Sélectionner RG-DNAT-test
    Nom FW-DNAT-test
    Région Sélectionnez le même emplacement que celui utilisé précédemment
    Référence SKU de pare-feu Standard
    Gestion de pare-feu Utiliser des règles de pare-feu (classique) pour gérer ce pare-feu
    Choisir un réseau virtuel Utiliser l’existant : VN-Hub
    Adresse IP publique Ajouter nouveau, Nom : fw-pip.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  6. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

    Le déploiement prend quelques minutes.

  7. Une fois le déploiement terminé, accédez au groupe de ressources RG-DNAT-Test, puis sélectionnez le pare-feu FW-DNAT-test.

  8. Notez les adresses IP privée et publique du pare-feu. Vous les utiliserez ultérieurement lors de la création de l’itinéraire par défaut et de la règle NAT.

Créer un itinéraire par défaut

Pour le sous-réseau SN-Workload, vous devez configurer l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

Important

Au niveau du sous-réseau de destination, vous n’avez pas besoin de configurer un itinéraire explicite vers le pare-feu. Le Pare-feu Azure est un service avec état qui gère automatiquement les paquets et les sessions. Si vous créez cet itinéraire, vous mettez en place un environnement de routage asymétrique qui interrompt la logique de session avec état et entraîne la suppression des paquets et des connexions.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Recherchez Table de routage et sélectionnez-la.

  3. Cliquez sur Créer.

  4. Pour Abonnement, sélectionnez votre abonnement.

  5. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

  6. Pour Région, sélectionnez la même région que celle utilisée précédemment.

  7. Dans le champ Nom, saisissez RT-FWroute.

  8. Sélectionnez Revoir + créer.

  9. Sélectionnez Create (Créer).

  10. Sélectionnez Accéder à la ressource.

  11. Sélectionnez Sous-réseaux, puis Associer.

  12. Pour Réseau virtuel, sélectionnez VN-Spoke.

  13. Pour Sous-réseau, sélectionnez SN-Workload.

  14. Sélectionnez OK.

  15. Sélectionnez Routes, puis Ajouter.

  16. Pour Nom de l’itinéraire, entrez FW-DG.

  17. Pour Type de destination, sélectionnez Adresses IP.

  18. Pour Plages d’adresses IP/CIDR de destination, saisissez 0.0.0.0/0.

  19. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

  20. Pour Adresse de tronçon suivant, entrez l’adresse IP privée pour le pare-feu que vous avez notée précédemment.

  21. Sélectionnez Ajouter.

Configurer une règle NAT

  1. Ouvrez le groupe de ressources RG-DNAT-Test, puis sélectionnez le pare-feu FW-DNAT-test.
  2. Sur la page FW-DNAT-test, sous Paramètres, sélectionnez Règles (classique) .
  3. Sélectionnez Ajouter une collection de règles NAT.
  4. Dans le champ Nom, saisissez RC-DNAT-01.
  5. Pour Priorité, entrez 200.
  6. Sous Règles, pour Nom, entrez RL-01.
  7. Pour Protocole, sélectionnez TCP.
  8. Pour Type de source, sélectionnez Adresse IP.
  9. Pour Source, tapez *.
  10. Pour Adresses de destination, tapez l’adresse IP publique du pare-feu.
  11. Pour Ports de destination, entrez 3389.
  12. Dans le champ Adresse traduite, saisissez l’adresse IP privée de la machine virtuelle Srv-Workload.
  13. Dans le champ Port traduit, tapez 3389.
  14. Sélectionnez Ajouter.

Ceci prend quelques minutes.

Tester le pare-feu

  1. Connectez un bureau distant à l’adresse IP publique du pare-feu. Vous devriez être connecté à la machine virtuelle Srv-Workload.
  2. Fermez le bureau à distance.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu à des fins de test complémentaire ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources RG-DNAT-Test pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Ensuite, vous pouvez surveiller les journaux d’activité de Pare-feu Azure.

Tutoriel : Superviser les journaux d’activité de Pare-feu Azure