Tutoriel : Filtrer le trafic Internet entrant avec une stratégie DNAT de Pare-feu Azure à l’aide du portail Azure

Vous pouvez configurer une stratégie DNAT (Destination Network Address Translation) de Pare-feu Azure pour traduire et filtrer le trafic Internet entrant dans vos sous-réseaux. Quand vous configurez la stratégie DNAT, l’action de collection de règles est définie sur DNAT. Chaque règle de la collection de règles NAT peut ensuite être utilisée pour traduire l’adresse IP et le port publics de votre pare-feu en adresse IP et port privés. Les règles DNAT ajoutent implicitement une règle de réseau correspondante pour autoriser le trafic traduit. Par souci de sécurité, l’approche recommandée consiste à ajouter une source Internet spécifique pour autoriser l’accès de DNAT au réseau et éviter d’utiliser des caractères génériques. Pour plus d’informations sur la logique de traitement des règles de Pare-feu Azure, consultez l’article Logique de traitement des règles du service Pare-feu Azure.

Dans ce tutoriel, vous allez apprendre à :

• Configurer un environnement réseau de test
• Déployer un pare-feu et une stratégie
• Créer un itinéraire par défaut
• Configurer une règle DNAT
• Tester le pare-feu

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer un groupe de ressources

1. Connectez-vous au portail Azure.
2. Dans la page d’accueil du portail Azure, sélectionnez Groupes de ressources, puis sélectionnez Ajouter.
3. Pour Abonnement, sélectionnez votre abonnement.
4. Pour Nom du groupe de ressources, entrez RG-DNAT-Test.
5. Pour Région, sélectionnez une région. Toutes les autres ressources que vous créez doivent se trouver dans la même région.
6. Sélectionnez Revoir + créer.
7. Sélectionnez Create (Créer).

Configurer l’environnement réseau

Pour ce didacticiel, vous créez deux réseaux virtuels appairés :

• VN-Hub : le pare-feu est dans ce réseau virtuel.
• VN-Spoke : le serveur de la charge de travail est dans ce réseau virtuel.

Tout d’abord, créez les réseaux virtuels, puis appairez-les.

Créer le réseau virtuel du hub

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

2. Sous Mise en réseau, sélectionnez Réseaux virtuels.

3. Sélectionnez Ajouter.

4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

5. Dans le champ Nom, saisissez VN-Hub.

6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.

7. Sélectionnez Suivant : Adresses IP.

8. Pour Espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.

9. Sous Nom du sous-réseau, sélectionnez Par défaut.

10. Modifiez le Nom du sous-réseau, puis tapez AzureFirewallSubnet.

    Le pare-feu se trouvera dans ce sous-réseau et le nom du sous-réseau doit être AzureFirewallSubnet.

    Notes

    La taille du sous-réseau AzureFirewallSubnet est /26. Pour plus d’informations sur la taille du sous-réseau, consultez le FAQ Pare-feu Azure.

11. Pour Espace d’adressage de sous-réseau, tapez 10.0.1.0/26.

12. Sélectionnez Enregistrer.

13. Sélectionnez Revoir + créer.

14. Sélectionnez Create (Créer).

Créer un réseau virtuel spoke

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.
2. Sous Mise en réseau, sélectionnez Réseaux virtuels.
3. Sélectionnez Ajouter.
4. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
5. Pour Nom, tapez VN-Spoke.
6. Pour Région, sélectionnez la région que vous avez utilisée précédemment.
7. Sélectionnez Suivant : Adresses IP.
8. Pour Espace d’adressage IPv4, supprimez la valeur par défaut et entrez 192.168.0.0/16.
9. Sélectionnez Ajouter un sous-réseau.
10. Pour Nom du sous-réseau, tapez SN-Workload.
11. Pour Plage d’adresses de sous-réseau, tapez 192.168.1.0/24.
12. Sélectionnez Ajouter.
13. Sélectionnez Revoir + créer.
14. Sélectionnez Create (Créer).

Homologuer les réseaux virtuels

Maintenant, appairez les deux réseaux virtuels.

1. Sélectionnez le réseau virtuel VN-Hub.
2. Sous Paramètres, sélectionnez Peerings.
3. Sélectionnez Ajouter.
4. Sous Ce réseau virtuel, pour le Nom du lien de peering, tapez Peer-HubSpoke.
5. Sous Réseau virtuel distant, pour Nom du lien de peering, tapez Peer-SpokeHub.
6. Sélectionnez VN-Spoke pour le réseau virtuel.
7. Acceptez les autres valeurs par défaut, puis sélectionnez Ajouter.

Création d'une machine virtuelle

Créez une machine virtuelle de charge de travail, puis placez-la dans le sous-réseau SN-Workload.

1. Dans le menu du Portail Azure, sélectionnez Créer une ressource.
2. Sous Populaire, sélectionnez Windows Server 2016 Datacenter.

Concepts de base

1. Pour Abonnement, sélectionnez votre abonnement.
2. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.
3. Sous Nom de la machine virtuelle, tapez Srv-Workload.
4. Pour Région, sélectionnez le même emplacement que celui utilisé précédemment.
5. Entrez un nom d’utilisateur et un mot de passe.
6. Sélectionnez Suivant : Disques.

Disques

1. Sélectionnez Suivant : Mise en réseau.

Mise en réseau

1. Pour Réseau virtuel, sélectionnez VN-Spoke.
2. Pour Sous-réseau, sélectionnez SN-Workload.
3. Pour Adresse IP publique, sélectionnez Aucune.
4. Pour Ports d’entrée publics, sélectionnez Aucun.
5. Conservez les autres paramètres par défaut, puis sélectionnez Suivant : Gestion.

Gestion

1. Pour Diagnostics de démarrage, sélectionnez Désactiver.
2. Sélectionnez Vérifier + créer.

Vérifier + créer.

Passez en revue le récapitulatif, puis sélectionnez Créer. L’exécution de cette opération nécessite quelques minutes.

Une fois le déploiement terminé, notez l’adresse IP privée de la machine virtuelle. Elle servira ultérieurement pour configurer le pare-feu. Sélectionnez le nom de la machine virtuelle. Sous Paramètres, sélectionnez Mise en réseau pour trouver l’adresse IP privée.

Déployer le pare-feu et la stratégie

1. Dans la page d’accueil du portail, sélectionnez Créer une ressource.

2. Recherchez pare-feu, puis sélectionnez Pare-feu.

3. Sélectionnez Create (Créer).

4. Sur la page Créer un pare-feu, utilisez le tableau suivant pour configurer le pare-feu :

   Paramètre	Valeur
   Abonnement	<votre abonnement>
   Resource group	Sélectionner RG-DNAT-test
   Nom	FW-DNAT-test
   Région	Sélectionnez le même emplacement que celui utilisé précédemment
   Gestion de pare-feu	Utiliser une stratégie de pare-feu pour gérer ce pare-feu
   Stratégie de pare-feu	Ajouter nouveau : fw-dnat-pol votre région sélectionnée
   Choisir un réseau virtuel	Utiliser l’existant : VN-Hub
   Adresse IP publique	Ajouter nouveau, Nom : fw-pip.

5. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

6. Passez en revue le récapitulatif, puis sélectionnez Créer pour créer le pare-feu.

   Le déploiement prend quelques minutes.

7. Une fois le déploiement terminé, accédez au groupe de ressources RG-DNAT-Test, puis sélectionnez le pare-feu FW-DNAT-test.

8. Notez les adresses IP privée et publique du pare-feu. Vous les utiliserez ultérieurement lors de la création de l’itinéraire par défaut et de la règle NAT.

Créer un itinéraire par défaut

Pour le sous-réseau SN-Workload, vous devez configurer l’itinéraire sortant par défaut pour qu’il traverse le pare-feu.

Important

Au niveau du sous-réseau de destination, vous n’avez pas besoin de configurer un itinéraire explicite vers le pare-feu. Le Pare-feu Azure est un service avec état qui gère automatiquement les paquets et les sessions. Si vous créez cet itinéraire, vous mettez en place un environnement de routage asymétrique qui interrompt la logique de session avec état et entraîne la suppression des paquets et des connexions.

1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

2. Sous Mise en réseau, sélectionnez Tables d’itinéraires.

3. Sélectionnez Ajouter.

4. Pour Abonnement, sélectionnez votre abonnement.

5. Pour Groupe de ressources, sélectionnez RG-DNAT-Test.

6. Pour Région, sélectionnez la même région que celle utilisée précédemment.

7. Dans le champ Nom, tapez RT-FW-route.

8. Sélectionnez Revoir + créer.

9. Sélectionnez Create (Créer).

10. Sélectionnez Accéder à la ressource.

11. Sélectionnez Sous-réseaux, puis Associer.

12. Pour Réseau virtuel, sélectionnez VN-Spoke.

13. Pour Sous-réseau, sélectionnez SN-Workload.

14. Sélectionnez OK.

15. Sélectionnez Routes, puis Ajouter.

16. Pour Nom de l’itinéraire, tapez fw-dg.

17. Pour Préfixe d’adresse, entrez 0.0.0.0/0.

18. Pour Type de tronçon suivant, sélectionnez Appliance virtuelle.

    Le Pare-feu Azure est en réalité un service managé, mais l’appliance virtuelle fonctionne dans ce cas.

19. Pour Adresse de tronçon suivant, entrez l’adresse IP privée pour le pare-feu que vous avez notée précédemment.

20. Sélectionnez OK.

Configurer une règle NAT

Cette règle vous permet de connecter un Bureau à distance à la machine virtuelle Srv-Workload par le biais du pare-feu.

1. Ouvrez le groupe de ressources RG-DNAT-Test, puis sélectionnez la stratégie de pare-feu fw-dnat-pol.
2. Sous Paramètres, sélectionnez Règles DNAT.
3. Sélectionnez Ajouter une collection de règles.
4. Pour Nom, entrez rdp.
5. Pour Priorité, entrez 200.
6. Pour Groupe de collection de règles, sélectionnez DefaultDnatRuleCollectionGroup.
7. Sous Règles, pour Nom, entrez rdp-nat.
8. Pour Type de source, sélectionnez Adresse IP.
9. Pour Source, tapez *.
10. Pour Protocole, sélectionnez TCP.
11. Pour Ports de destination, tapez 3389.
12. Pour Type de destination, sélectionnez Adresse IP.
13. Pour Destination, tapez l’adresse IP publique du pare-feu.
14. Pou Adresse traduite, tapez l’adresse IP privée de Srv-Workload.
15. Dans le champ Port traduit, tapez 3389.
16. Sélectionnez Ajouter.

Tester le pare-feu

1. Connectez un bureau distant à l’adresse IP publique du pare-feu. Vous devriez être connecté à la machine virtuelle Srv-Workload.
2. Fermez le bureau à distance.

Nettoyer les ressources

Vous pouvez garder vos ressources de pare-feu pour le prochain didacticiel, ou, si vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources RG-DNAT-Test pour supprimer toutes les ressources associées au pare-feu.

Étapes suivantes

Déployer et configurer le Pare-feu Azure Premium