
Azure Firewall Manager (preview)
Introduction
Pour pouvoir suivre cet article sereinement, il faut avoir un minimum de connaissances en matière de SD-WAN/Azure virtaul WAN. L’une des dernières mises à jour de vWAN et qui rend l’outil encore plus intéressant, est la possibilité de déployer une instance d’Azure Firewall sur le Hub. Cette fonctionnalité est fournie avec un autre service, Azure Firewall Manager, sur lequel je voudrais me concentrer aujourd’hui.
Azure Firewall Manager a été publié très récemment, lors du dernier Ignite. Le service permet aux utilisateurs de déployer de manière centralisée des instances d’Azure Firewall sur différents vHubs, sur plusieurs régions et souscriptions. Une fois provisionnées, ces instances peuvent être gérées de manière centralisée en ce qui concerne les règles de pare-feu. Les règles peuvent désormais être déployées de manière hiérarchique, ce qui signifie que l’équipe informatique centrale (global admin) peut fournir une politique globale, en plus de laquelle les organisations locaux peuvent implémenter leurs propres politiques de règles plus spécifiques. Un seul niveau d’héritage est cependant autorisé.
Dans le format actuel, le service offre la possibilité de déployer des pare-feu sur des vHUB créés dans un Azure virtuel WAN. Firewall Manager propose également une gestion centralisée des itinéraires. Cette fonctionnalité est fantastique à mon avis – avec un seul commutateur, nous pouvons forcer le trafic via le pare-feu, sans avoir à créer des itinéraires définis par l’utilisateur.
Objectif de cet article
Dans cet article, nous allons voir comment déployer des vSecure HUB dans un environnement Azure WAN afin de tester les fonctionnalités d’Azure Firewall Manager. Pour cela, nous utiliserons Azure CLI, à ce jour, il n’est toujours pas possible de le faire en Powershell/Terraform.
Notre exemple portera sur les ressources suivantes :
- 1 Azure Virtual WAN
- 3 vHUB
- un virtual HUB pour la region west-us
- un virtual HUB pour la region east-us
- un virtual HUB pour la region west-europe
- 1 VPN Gateway (branch onpremise)
- 4 Azure Firewall Policy (preview)
- root-policy (global admin)
- westus-region-policy (local admin)
- eastus-region-policy (local admin)
- westeurope-region-policy (local admin)
Let’s Go !
Pour avoir une image de l’infrastructure cible, voici un schéma récapitulatif.

Virtual Azure WAN
Commençons par créer le Azure Virtual WAN.
az group create --location eastus --name demo-rg-vwan # Virtual WAN az extension add --name virtual-wan az network vwan create --name demo-virtual-wan --resource-group demo-rg-vwan --branch-to-branch-traffic true --location eastus --type Standard --vnet-to-vnet-traffic true
Azure Virtual HUB
Créez les Azure Virtual HUB.
# the west-us hub region az network vhub create --address-prefix 10.100.0.0/16 --name demo-hub-westus --resource-group demo-rg-vwan --vwan demo-virtual-wan --location westus --sku Standard # the east-us hub region az network vhub create --address-prefix 10.200.0.0/16 --name demo-hub-eastus --resource-group demo-rg-vwan --vwan demo-virtual-wan --location eastus --sku Standard # the west-europe hub region az network vhub create --address-prefix 10.255.0.0/16 --name demo-hub-westeurope --resource-group demo-rg-vwan -vwan demo-virtual-wan --location westeurope --sku Standard
Créez une Firewall-Policies et sécurisez les hub
Créez les Firewall-Policies.
# vSecure HUB policy az extension add --name azure-firewall az network firewall policy create --name fw-policy-root --resource-group demo-rg-vwan --location eastus --threat-intel-mode Alert az network firewall policy create --name fw-policy-westeurope --resource-group demo-rg-vwan --location eastus --threat-intel-mode Alert --base-policy fw-policy-root az network firewall policy create --name fw-policy-westus --resource-group demo-rg-vwan --location eastus --threat-intel-mode Alert --base-policy fw-policy-root az network firewall policy create --name fw-policy-eastus --resource-group demo-rg-vwan --location eastus --threat-intel-mode Alert --base-policy fw-policy-root
Connectez les Vnets/Branch
# VPN Gateway site-to-site (onpremise branch of east-us region) az network vpn-gateway create --name demo-vpn-gateway --resource-group demo-rg-vwan --vhub demo-hub-eastus --location eastus az network vpn-site create --ip-address 137.117.35.59 --name demo-vpn-site --virtual-wan demo-virtual-wan --resource-group demo-rg-vwan --address-prefixes 10.5.0.0/16 --device-model firewall --device-vendor paloalto --link-speed 20 --location eastus az network vpn-gateway connection create --gateway-name demo-vpn-gateway --name demo-vpn-gateway-connection --remote-vpn-site demo-vpn-site --resource-group demo-rg-vwan --connection-bandwidth 50 --protocol-type IKEv2 --shared-key ###################### # Virtual Hub to VNET connection (VNET Branch west us gerios) az network vhub connection create --name vnet-westus-prod-to-hub --remote-vnet "remote-vnet-id" --resource-group demo-rg-vwan --vhub-name demo-hub-westus --internet-security true # Virtual Hub to VNET connection (VNET Branch west europe gerios) az network vhub connection create --name vnet-westeurope-prod-to-hub --remote-vnet "remote-vnet-id" --resource-group demo-rg-vwan --vhub-name demo-hub-westeurope --internet-security true --remote-vnet-transit true --use-hub-vnet-gateways true
n’oubliez pas de configurer le tunnel IPSEC sur votre Appliance onpremise.
Creez vos Rules/Collections
# Policies az network firewall policy rule-collection-group create --name rule-collection-westeurope --policy-name fw-policy-westeurope --priority 100 --resource-group demo-rg-vwan --location eastus az network firewall policy rule-collection-group collection add-nat-collection --collection-priority 100 --name nat-collection --policy-name fw-policy-westeurope --resource-group demo-rg-vwan --rule-collection-group-name rule-collection-westeurope --action DNAT --destination-addresses 51.124.93.205 --destination-ports 22 --ip-protocols TCP --rule-name nat-ssh --source-addresses * --translated-address 10.0.1.4 --translated-port 22 az network firewall policy rule-collection-group collection add-filter-collection --collection-priority 200 --name net-collection --policy-name fw-policy-westeurope --resource-group demo-rg-vwan --rule-collection-group-name rule-collection-westeurope --action Allow --destination-ports * --ip-protocols Any --protocols * --rule-name allowall --rule-type NetworkRule --source-addresses 10.0.0.0/16 --destination-addresses 10.0.0.0/16 az network firewall policy rule-collection-group create --name rule-collection-westus --policy-name fw-policy-westus --priority 100 --resource-group demo-rg-vwan --location eastus az network firewall policy rule-collection-group collection add-nat-collection --collection-priority 100 --name nat-collection --policy-name fw-policy-westus --resource-group demo-rg-vwan --rule-collection-group-name rule-collection-westus --action DNAT --destination-addresses 13.83.64.91 --destination-ports 22 --ip-protocols TCP --rule-name nat-ssh --source-addresses * --translated-address 10.0.0.4 --translated-port 22 az network firewall policy rule-collection-group collection add-filter-collection --collection-priority 200 --name net-collection --policy-name fw-policy-westus --resource-group demo-rg-vwan --rule-collection-group-name rule-collection-westus --action Allow --destination-ports * --ip-protocols Any --protocols * --rule-name allowall --rule-type NetworkRule --source-addresses 10.0.0.0/16 --destination-addresses 10.0.0.0/16 az network firewall policy rule-collection-group create --name rule-collection-eastus --policy-name fw-policy-eastus --priority 100 --resource-group demo-rg-vwan --location eastus az network firewall policy rule-collection-group collection add-filter-collection --collection-priority 200 --name net-collection --policy-name fw-policy-eastus --resource-group demo-rg-vwan --rule-collection-group-name rule-collection-eastus --action Allow --destination-ports * --ip-protocols Any --protocols * --rule-name allowall --rule-type NetworkRule --source-addresses 10.0.0.0/8 --destination-addresses 10.0.0.0/8
Et enfin acheminer le trafic vers votre hub
Vous devez maintenant vous assurer que le trafic réseau est acheminé via votre vSecure Hub. Cette étape n’étant toujours pas disponible en Cli/Powershell/Terraform, on le fera directement sur le portail.
- depuis l’interface Firewall Manager, select Secured virtual hubs.
- Select the Hub.
- Under Settings, select Route settings.
- Under Internet traffic, Traffic from Virtual Networks, select Send via Azure Firewall.
- Under Azure private traffic, Traffic to Virtual Networks, select Send via Azure Firewall.
- Select Edit IP address prefix(es).
- Select Add an IP address prefix.
- Under Settings, select Connections.
- Select the spoke (VNETs/VPN site-site) connection, and then select Secure internet traffic and then select OK.
Conclusion
Je n’ai pas encore effectué de tests plus poussés, mais jusqu’à présent, je suis très satisfait de ce nouveau service. Une fois qu’il aura atteint la disponibilité générale, il pourrait rejoindre facilement notre Azure Virtual WAN pour former « Le » meilleure package d’outils pour le déploiement de réseaux de types Hub & Spoke natif Azure, et je vous laisse imaginez à quel point cette manière de faire facilitera la manipulation des pipelines CI / CD par rapport à notre façon de faire actuelle.