Autoriser sur le firewall virtuel SNS EVA les flux depuis et vers le serveur virtuel

Maintenant que le firewall et le serveur virtuel sont déployés, vous devez autoriser dans la politique de filtrage du firewall les flux depuis et vers le serveur virtuel.

Les manipulations de ce chapitre sont à réaliser en étant connecté à l'interface d'administration du firewall à l'adresse : https://adresse_ip_publique_firewall/admin.

Créer les objets réseau nécessaires

  1. Rendez-vous dans Configuration > Objets > Réseau.

  2. Cliquez sur Ajouter.

  3. Sélectionnez le type d'objet souhaité à gauche.

  4. Définissez un nom à l'objet.

  5. Complétez les informations selon la configuration requise.

  6. Cliquez sur Créer.

Dans l'exemple, nous ajoutons les objets suivants :

Type de l'objet Nom de l'objet Informations de l'objet
Réseau Private_Net Adresse IPv4 : 192.168.1.0/24
Réseau Public_Net Adresse IPv4 : 192.168.0.0/24
Machine Web_Documentation_Server Adresse IPv4 : 192.168.1.4
Port sshwebsrv Port / Protocole : 222/TCP

Configurer la politique de filtrage et NAT

La politique de filtrage et NAT regroupe un ensemble de règles de filtrage et de règles de NAT. Par défaut, le firewall utilise la politique (9) Azure Default qui permet à un administrateur du firewall d'accéder à l'interface d'administration et de bloquer toutes les autres connexions.

Lors de la configuration de la politique de filtrage et NAT de votre firewall :

  • Sauvegardez à tout moment les modifications en cours en cliquant sur Appliquer,

  • Veillez à ne pas activer une politique de filtrage et NAT incomplète ou incorrecte qui pourrait rendre inaccessible l'interface d'administration de votre firewall,

  • Gardez en mémoire que le firewall est bloquant : tout flux non explicitement décrit dans la politique est rejeté sans journalisation, même si cette règle n'apparaît pas.

Configurer la politique de filtrage

La configuration s'effectue dans Configuration > Politique de sécurité > Filtrage et NAT, onglet Filtrage. Nous ajoutons trois règles afin de répondre aux besoins suivants :

  1. Autoriser les machines hébergées sur le réseau privé à accéder à l'ensemble des machines.

  2. Autoriser toutes les machines à se connecter sur le serveur virtuel en HTTP.

  3. Autoriser toutes les machines à se connecter sur le serveur virtuel en SSH.

ASTUCE
Ajoutez des séparateurs dans votre politique de filtrage afin d'optimiser son organisation.

Pour ajouter vos règles :

  1. Cliquez sur Nouvelle règle > Règle simple.

  2. Double-cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Configurez la règle selon vos besoins en naviguant dans les onglets sur la gauche.

  5. Cliquez sur OK.
    Placez ces règles au-dessus de la règle de blocage avec les boutons Monter et Descendre.

Dans notre exemple, nous ajoutons les règles suivantes :

Action Source Destination Port dest. Inspection de sécurité
passer Private_Net Any Any IPS
passer Any, via l'interface out Firewall_out http IPS
passer Any, via l'interface out Firewall_out sshwebsrv IPS

Exemple de politique de filtrage

Configurer la politique de NAT

La configuration s'effectue dans Configuration > Politique de sécurité > Filtrage et NAT, onglet NAT. Nous ajoutons trois règles afin de répondre aux besoins suivants :

  1. Transférer les flux SSH adressés à l'interface publique du firewall vers le serveur web.

  2. Transférer les flux HTTP adressés à l'interface publique du firewall vers le serveur web.

  3. Transférer les flux issus des machines de la DMZ vers celles situées au-delà du firewall.

Pour ajouter vos règles :

  1. Cliquez sur Nouvelle règle > Règle simple.

  2. Double-cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Configurez la règle selon vos besoins en naviguant dans les onglets sur la gauche.

  5. Cliquez sur OK.

Dans notre exemple, nous ajoutons les règles suivantes :

Trafic original (avant translation) Trafic après translation
Source Destination Port dest. Source Port src. Destination Port dest.
Any, via l'interface out
 Firewall_out sshwebsrv Any   Web_Documentation_Server ssh
Any, via l'interface out Firewall_out http Any   Web_Documentation_Server http
Private_Net

Différent de Public_Net, via l'interface out

 Any Firewall_out ephemeral_fw Any  

Exemple de politique NAT