Concevoir des solutions pour le filtrage du trafic avec des groupes de sécurité réseau
Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant en direction/à partir des différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.
Cet article décrit les propriétés d’une règle de groupe de sécurité réseau, les règles de sécurité par défaut appliquées et les propriétés de règle que vous pouvez modifier pour créer une règle de sécurité augmentée.
Règles de sécurité
Un groupe de sécurité réseau contient le nombre des règles souhaité (ou aucune), dans les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :
| Propriété | Explication |
|---|---|
| Nom | Nom unique au sein du groupe de sécurité réseau. Le nom peut contenir jusqu’à 80 caractères. |
| Priority | Nombre compris entre 100 et 4096. Les règles sont traitées dans l’ordre croissant, car les nombres les plus faibles sont prioritaires. Une fois que le trafic correspond à une règle, le traitement s’arrête. Par conséquent, les règles avec des priorités plus faibles (des nombres plus élevés) et ayant les mêmes attributs que les règles de priorité supérieure ne sont pas traitées. |
| Source ou destination | Une adresse IP, un bloc de routage CIDR (par exemple, 10.0.0.0/24), une balise de service ou un groupe de sécurité d’application. Si vous spécifiez une adresse pour une ressource Azure, spécifiez l’adresse IP privée assignée à la ressource. Les groupes de sécurité réseau sont traités une fois qu’Azure a converti une adresse IP publique en adresse IP privée pour le trafic entrant, et avant qu’Azure ne convertisse une adresse IP privée en une adresse IP publique pour le trafic sortant. Moins de règles de sécurité sont nécessaires lorsque vous spécifiez une plage, une étiquette de service ou un groupe de sécurité d’application. La possibilité de spécifier plusieurs adresses IP individuelles et plages (vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications) dans une règle est désignée sous le nom de règles de sécurité augmentée. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs adresses IP et plages d’adresses IP dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique. |
| Protocol | TCP, UDP, ICMP, ESP, AH ou n’importe lequel. Les protocoles ESP et AH ne sont pas actuellement disponibles via le portail Azure, mais peuvent être utilisés via des modèles ARM. |
| Sens | Indique si la règle s’applique au trafic entrant ou sortant. |
| Plage de ports | Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple, indiquez 80 ou 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique. |
| Action | Autoriser ou refuser |
Les règles de sécurité sont évaluées et appliquées en fonction des informations de cinq tuples (source, port source, destination, port de destination et protocole). Vous ne pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction. Un enregistrement de flux est créé pour les connexions existantes. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe. Le contraire est également vrai. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.
Les connexions existantes ne peuvent pas être interrompues quand vous supprimez une règle de sécurité ayant activé le flux. Les flux de trafic sont interrompus quand les connexions sont arrêtées et qu’aucun trafic ne transite dans un sens ou dans l’autre pendant au moins quelques minutes.
La modification des règles de groupe de sécurité réseau affecte uniquement les nouvelles connexions formées. Quand une règle est créée ou qu’une règle existante est mise à jour dans un groupe de sécurité réseau, elle s’applique uniquement aux nouveaux flux et aux nouvelles connexions. Les connexions de workflow existantes ne sont pas mises à jour avec les nouvelles règles.
Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité.