Configurer Azure Firewall
Le schéma de l’infrastructure à mettre en place :
Tâche 1 : Déployer l’environnement de laboratoire
Se connecter à la plateforme Azure, nous allons utiliser un template pour déployer plus facilement l’environnement de lab et ensuite nous installerons le service Azure Firewall.
Le template se trouve sur le github à l’adresse suivante : Template.json
Sur la barre de recherche du portail Azure, taper « deploy a custom template » puis cliquez dessus
Vous accédez ensuite à la page ci-dessous :
Cliquez sur « Build your own template in the editor » pour accéder à la page ci-dessous :
Cliquez ensuite sur « Load file » pour téléverser (uploader) votre fichier template.json que vous avez téléchargé du Github (Je vous remets le lien : Template.json).
Une fois que vous avez téléversé votre fichier json, vérifier que dans la configuration de déploiement que l’on ait bien les informations ci-dessous :
| Paramètre | Valeur |
|---|---|
| Abonnement | Nom de l’abonnement que vous utilisez |
| Groupe de ressources | Nom de votre « resource group » |
| Localisation | nom de la région (exemple: east us) |
| adminPassword | Définir un nouveau mot de passe |
Cliquez ensuite sur Review + Create
Une fois le déploiement du lab terminé, Allez dans votre groupe de ressources (par exemple, mon groupe de ressources se nomme AZ500LAB03 et vous verrez à l’intérieur ce qui a été déployé comme vous pouvez constater sur la capture d’écran ci-dessous :
Nous pouvons donc passer à la tâche 2 qui consiste à déployer Azure Firewall.
Tâche 2 : Déployer Azure Firewall
Pour déployer Azure Firewall, tapez sur la page de recherche Firewall et cliquez sur la proposition Firewalls
Vous accéderez à la page du Firewall Manager (Un gestionnaire servant à gérer plusieurs firewalls). Cliquez sur Create (voir la flèche rouge sur la capture d’écran ci-dessous) :
Pour configurer le firewall, vous devrez vous baser sur les informations contenues sur ce tableau (Hormis le nom du groupe de ressources que vous avez probablement personnalisé avant):
| Paramètre | Valeur |
|---|---|
| Groupe de ressources | AZ500LAB03 |
| Nom du Firewall | Test-FW01 |
| Région | (US) East US |
| Le SKU du Firewall (SKU Firewall) | Standard |
| Gestion du Firewall (Firewall management) | Utiliser les règles des firewall (classic) pour gérer ce firewall |
| Choisir un réseau virtuel | Cliquez sur l’option « Utiliser un existant » sur la liste déroulante et sélectionner Test-FW-VN |
| Adresse IP publique | Cliquez sur « ajouter » et saisir le nom « Test-FW-PIP » et cliquez sur « Ok » |
Me concernant, voici les informations que j’ai saisies :
Ensuite cliquez sur « Create« , le déploiement du Firewall peut être long.
Une fois que le Firewall est déployé, cliquez sur « Go to resource » pour accéder au service et notez l’adresse IP privée du Firewall :
Tâche 3 : Créer une route par défaut
Créons une route par défaut avec les informations ci-dessous :
| Paramètre | Valeur |
|---|---|
| Groupe de ressources | AZ500LAB03 |
| Région | East US |
| Nom | Firewall-route |
Sur le portail Azure, sélectionnez sur la barre de recherche « route » et cliquez sur la proposition « Route tables«
Ensuite cliquez sur « Create route table«
Une fois que vous avez créé votre route, retournez dans votre firewall pour la configurer.
Voici les informations dont nous aurons besoin :
| Paramètre | Valeur |
|---|---|
| Réseau virtuel (Virtual Network) | Test-FW-VN |
| Sous-réseau (Subnet) | Workload-SN |
Allez dans « Settings » (Paramètres) du Firewall puis cliquez sur « Subnet » (Sous-réseau) et sur « Associer »
Ensuite en revenant sur le menu de configuration à gauche, toujours dans les « Settings » (Paramètres), cliquez sur « Routes » puis sur « Add » et saisissez les informations ci-dessous :
| Paramètre | Valeur |
|---|---|
| Nom de la route | FW-DG |
| Addresse préfixe de destination | Adresse IP |
| Adresses IP de destination / Plages CIDR | 0.0.0.0/0 |
| Type de prochain saut | Virtual appliance |
| Addresse de prochain saut | L’adresse IP du Firewall que vous avez identifié dans la tâche précédente (en l’occurence dans notre cas, il s’agit de l’adresse 10.0.1.4) |
Ci-dessous la capture d’écran avec les informations ci-dessus saisies :
Tâche 4 : Créer une règle d’application
Toujours dans la configuration du Firewall, allez dans le menu à gauche, cliquez sur « Settings » (Paramètres) et cliquez sur « Rules (classic) » et cliquez sur le troisième onglet « Application rule collection » et sur « +Add application rule collection » puis saisir les informations à l’aide des tableaux ci-dessous :
| Paramètre | Valeur |
|---|---|
| Nom de a règle d’application | App-Coll01 |
| Priorité | 200 |
| Action | Allow |
/
| Nom | AllowGH |
| Type de source | Ip Address |
| Source | 10.0.2.0/24 |
| Protocole du port | http:80, https:443 |
| Cible FQDNS | www.bing.com |
Tâche 5 : Configurer une règle réseau
Nous allons ensuite créer une règle réseau pour permettre les accès sortants vers les deux adresses IP des serveurs DNS sur le port 53.
Toujours dans le menu de configuration du Firewall, cliquez sur « Rules (Classic) », cliquez ensuite sur « Network rule collection » et cliquez sur « Add network rule collection » et saisir les informations comme présentées sur le tableau ci-dessous :
| Paramètre | Valeur |
|---|---|
| Nom | Net-Coll01 |
| Priorité | 200 |
| Action | Allow |
| Nom | AllowDNS |
| Protocole | Udp |
| Type de source | IP Address |
| Adresses sources | 10.0.2.0/24 |
| Type de destination | IP Address |
Tâche 6 : Configurer les serveurs DNS
Dans cette tâche, nous allons configurer les adresses DNS primaire et secondaire sur la machine virtuelle.
Pour ce faire, nous allons sélectionner dans notre groupe de ressources AZ500LAB03 la machine virtuelle Srv-Work et dans le menu à gauche, cliquez sur « Réseaux » (Networking » et cliquez sur l’interface réseau :
Allez ensuite dans « Settings » et cliquez sur « DNS Servers », ensuite saisissez les deux adresses IP des serveurs DNS.
La validation de ces paramètres va automatiquement faire redémarrer la machine virtuelle à laquelle cette interface est attachée.
Tâche 7 : Tester le Firewall
Maintenant nous allons tester à partir de la machine Srv-Jump (Connexion à la machine via RDP) qui fait office de poste de rebond avec l’identifiant localadmin et le mot de passe que vous avez défini au début.
Ensuite nous nous connectons à la machine Srv-Work à partir de la machine Srv-Jump via la commande mstsc /v:Srv-Work
Ensuite cliquez sur IE Enhanced Security Configuration
Désactiver la configuration de sécurité renforcée d’Internet Explorer pour les besoins du test :
Tapez ensuite sur la barre des liens de votre navigateur : www.bing.com (qui se charge sans problème).
Ensuite faisons un test avec une autre adresse par exemple : www.microsoft.com et nous devrions tomber sur un message d’avertissement qui ne nous permet pas d’accéder à la page, c’est la règle de firewall que l’on a mis en place qui s’est appliqué et qui a bloqué l’accès.
Fin du TP …A venir…. explication en détail de l’architecture.
