Concevoir et implémenter le pare-feu Azure
- 7 minutes
Le Pare-feu Azure est un service de sécurité réseau managé basé sur le cloud qui protège vos ressources de réseau virtuel Azure. Le pare-feu Azure dispose d’une haute disponibilité intégrée et d’une scalabilité cloud illimitée. Le Pare-feu Azure fonctionne non seulement pour le trafic vers et depuis Internet, mais aussi en interne. Le filtrage du trafic interne comprend le trafic Spoke-à-Spoke et le trafic cloud hybride entre votre réseau local et votre réseau virtuel Azure.
Quand utiliser le Pare-feu Azure
Le Pare-feu Azure a trois références SKU : Pare-feu Azure De base, Pare-feu Azure Standard et Pare-feu Azure Premium. Toutes les versions peuvent vous aider dans ces scénarios.
- Vous voulez protéger votre réseau contre l’infiltration.
- Vous voulez protéger votre réseau contre une erreur de l’utilisateur
- Votre entreprise propose un site marchand ou des paiements par carte de crédit.
- Vous voulez configurer une connectivité Spoke-à-Spoke.
- Vous voulez surveiller le trafic entrant et sortant.
Qu’est-ce que les règles de pare-feu Azure ?
Un pare-feu Azure refuse tout le trafic par défaut, jusqu’à ce que les règles soient configurées manuellement pour autoriser le trafic. Les règles sont organisées à l’intérieur des collections de règles qui sont contenues dans les groupes de regroupements de règles. Dans le Pare-feu Azure, vous pouvez configurer des règles NAT, des règles de réseau et des règles d’application.
| Type de règle | Descriptif |
|---|---|
| NAT | Traduisez et filtrez le trafic Internet entrant en fonction de l’adresse IP publique de votre pare-feu et d’un numéro de port spécifié. Par exemple, pour activer une connexion Bureau à distance à une machine virtuelle, vous pouvez utiliser une règle NAT pour traduire l’adresse IP publique et le port 3389 de votre pare-feu vers l’adresse IP privée de la machine virtuelle. |
| web | Filtrez le trafic en fonction d’un FQDN. Par exemple, vous pouvez utiliser une règle d’application pour autoriser le trafic sortant à accéder à une instance Azure SQL Database à l’aide du nom de domaine complet server10.database.windows.net. |
| Réseau | Filtrez le trafic en fonction d’un ou plusieurs des trois paramètres réseau suivants : Adresse IP, port et protocole. Par exemple, vous pouvez utiliser une règle réseau pour autoriser le trafic sortant à accéder à un serveur DNS particulier à une adresse IP spécifiée à l’aide du port 53. |
Le Pare-feu Azure applique les règles par ordre de priorité. Les règles basées sur le renseignement sur les menaces reçoivent toujours la priorité la plus élevée et sont traitées en premier. Ensuite, les règles sont appliquées par type : Règles NAT, puis règles de réseau, puis règles d’application. Dans chaque type, les règles sont traitées en fonction des valeurs de priorité que vous attribuez quand vous créez la règle, de la valeur la plus basse à la valeur plus haute.
Conseil / Astuce
En savoir plus sur le pare-feu Azure dans le module Introduction au pare-feu Azure .