Sdílet prostřednictvím

Výukový program: Filtrování příchozího internetového provozu pomocí DNAT politiky Azure Firewall pomocí webu Azure Portal

Pro překlad a filtrování příchozího internetového provozu do vašich podsítí můžete nakonfigurovat službu Azure Firewall policy Destination Network Address Translation (DNAT). Při konfiguraci DNAT se akce shromažďování pravidel nastaví na DNAT. Každé pravidlo v kolekci pravidel NAT můžete použít k překladu veřejné IP adresy a portu brány firewall na soukromou IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů doporučujeme přidat konkrétní zdroj, který umožní přístup DNAT k síti a vyhnout se použití zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

Tento kurz ukazuje publikování webového serveru pomocí DNAT.

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasadit firewall a zásady
  • Vytvořit výchozí trasu
  • Nasazení a konfigurace webového serveru
  • Nakonfigurujte pravidlo DNAT pro publikování webového serveru
  • Otestujte firewall

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření skupiny zdrojů

  1. Přihlaste se k portálu Azure.
  2. Na domovské stránce webu Azure Portal vyberte Skupiny prostředků a pak vyberte Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte RG-DNAT-Test.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte možnost Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto kurzu vytvoříte dvě propojené virtuální sítě:

  • VN-Hub – brána firewall je v tomto VNetu.
  • VN-Spoke – v této virtuální síti bude server úloh.

Nejprve vytvořte VNets a poté je propojte.

Vytvořte centrální virtuální síť

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

  2. V části Sítě vyberte Virtuální sítě.

  3. Vyberte Přidat.

  4. Pro skupinu prostředků vyberte RG-DNAT-Test.

  5. Jako Název zadejte VN-Hub.

  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Vyberte Další: IP adresy.

  8. Pro adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.

  9. V části Název podsítě vyberte výchozí.

  10. Upravte název podsítě a zadejte AzureFirewallSubnet.

    Firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

    Poznámka:

    Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  11. Jako rozsah adresy podsítě zadejte 10.0.1.0/26.

  12. Zvolte Uložit.

  13. Vyberte možnost Zkontrolovat a vytvořit.

  14. Vyberte Vytvořit.

Vytvoření vedlejší virtuální sítě (spoke VNet)

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Přidat.
  4. Pro skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Spoke.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další: IP adresy.
  8. Pro adresní prostor IPv4 upravte výchozí a zadejte 192.168.0.0/16.
  9. Vyberte Přidat podsíť.
  10. Jako název podsítě zadejte SN-Workload.
  11. Pro rozsah adresy podsítě zadejte 192.168.1.0/24.
  12. Vyberte Přidat.
  13. Vyberte možnost Zkontrolovat a vytvořit.
  14. Vyberte Vytvořit.

Propojit virtuální sítě

Teď propojte dvě virtuální sítě.

  1. Vyberte virtuální síť VN-Hub.
  2. V části Nastavení vyberte Připojení.
  3. Vyberte Přidat.
  4. V části Tato virtuální síť zadejte jako název peeringového odkazuPeer-HubSpoke.
  5. V části Vzdálená virtuální síť, pro název peeringového propojení zadejte Peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. Z nabídky portálu Azure vyberte možnost Vytvořit prostředek.
  2. V části Oblíbené vyberte Ubuntu Server 22.04 LTS.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. Pro skupinu prostředků vyberte RG-DNAT-Test.
  3. Jako název virtuálního počítače zadejte Srv-Workload.
  4. V části Oblast vyberte stejné umístění, které jste použili dříve.
  5. Jako image vyberte Ubuntu Server 22.04 LTS – x64 Gen2.
  6. Jako velikost vyberte Standard_B2s.
  7. Jako typ ověřování vyberte veřejný klíč SSH.
  8. Jako uživatelské jméno zadejte azureuser.
  9. V případě zdroje veřejného klíče SSH vyberte Vygenerovat nový pár klíčů.
  10. Jako název páru klíčů zadejte Srv-Workload_key.
  11. Ve veřejných příchozích portech vyberte Žádné.
  12. Vyberte Další: Disky.

Disky

  • Vyberte Další: Sítě.

Sítě

  1. V případě virtuální sítě vyberte VN-Spoke.
  2. Jako Podsíť vyberte SN-Workload.
  3. Jako veřejnou IP adresu vyberte Žádné.
  4. U veřejných příchozích portů vyberte Žádné.
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

Řízení

  • Vyberte Další: Monitorování.

Monitoring

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Kontrola a vytvoření

Zkontrolujte souhrn a pak vyberte Vytvořit.

  • V dialogovém okně Vygenerovat nový pár klíčů vyberte Stáhnout privátní klíč a vytvořit prostředek. Uložte soubor klíče jako Srv-Workload_key.pem.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použijete ji později při konfiguraci brány firewall. Vyberte název virtuálního počítače a v části Nastavení vyberte Sítě a vyhledejte privátní IP adresu.

Instalace webového serveru

Pomocí funkce Spustit příkaz na webu Azure Portal nainstalujte webový server na virtuální počítač.

  1. Na webu Azure Portal přejděte na virtuální počítač Srv-Workload .

  2. V části Operace vyberte příkaz Spustit.

  3. Vyberte RunShellScript.

  4. V okně Spustit příkazový skript vložte následující skript:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Vyberte Spustit.

  6. Počkejte na dokončení skriptu. Výstup by měl ukázat úspěšnou instalaci serveru Nginx.

Nasadit firewall a zásady

  1. Na domovské stránce portálu vyberte Vytvořit prostředek.

  2. Vyhledejte firewall a pak vyberte firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina zdrojů Vyberte RG-DNAT-Test
    Název FW-DNAT-test
    Región Vyberte dříve použité umístění.
    Správa brány firewall Použijte zásadu brány firewall ke správě této brány firewall
    Pravidla firewallu Přidání nových:
    fw-dnat-pol
    vybraná oblast
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidat novou, Název: fw-pip.

  5. Zrušte zaškrtnutí políčka vedle možnosti Aktivovat síťové rozhraní pro správu firewallu.

  6. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  7. Projděte si souhrn a pak vyberte Vytvořit, abyste vytvořili bránu firewall.

    Nasazení trvá několik minut.

  8. Po dokončení nasazení přejděte na skupinu prostředků RG-DNAT-Test a vyberte firewall FW-DNAT-test.

  9. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je použijete při vytváření výchozí trasy a pravidla NAT (překladu adres).

Vytvořit výchozí trasu

U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.

Důležité

Není nutné konfigurovat explicitní trasu zpět do brány firewall v cílové podsíti. Azure Firewall je stavová služba a zpracovává pakety a relace automaticky. Pokud vytvoříte tuto trasu, vytvoříte asymetrické prostředí směrování, které přeruší logiku stavové relace a způsobí ztracené pakety a připojení.

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

  2. V části Sítě vyberte Směrovací tabulky.

  3. Vyberte Přidat.

  4. V části Předplatné vyberte své předplatné.

  5. Pro skupinu prostředků vyberte RG-DNAT-Test.

  6. Pro Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Jako název zadejte RT-FW-route.

  8. Vyberte možnost Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít na zdroj.

  11. Vyberte Podsítě a pak vyberte Přidružit.

  12. V případě virtuální sítě vyberte VN-Spoke.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte Trasy a pak vyberte Přidat.

  16. Jako název trasy zadejte fw-dg.

  17. V části Předpona IP adresy zadejte 0.0.0.0/0.

  18. Pro Další krok vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude fungovat i virtuální zařízení.

  19. Do pole Adresa dalšího směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali.

  20. Vyberte OK.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje příchozímu provozu HTTP z internetu dostat se k webovému serveru přes bránu firewall.

  1. Otevřete skupinu prostředků RG-DNAT-Test a vyberte politiku firewallu fw-dnat-pol.
  2. V části Nastavení vyberte pravidla DNAT.
  3. Vyberte Přidat kolekci pravidel.
  4. Do pole Název zadejte webový přístup.
  5. V části Priorita zadejte 200.
  6. Pro skupinu kolekce pravidel vyberte DefaultDnatRuleCollectionGroup.
  7. V části Pravidla zadejte jako názevhttp-dnat.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte * , pokud chcete povolit provoz z libovolného zdroje.
  10. V části Protokol vyberte TCP.
  11. Jako cílové porty zadejte 80.
  12. Jako typ cíle vyberte IP adresu.
  13. Jako cíl zadejte veřejnou IP adresu brány firewall.
  14. Do pole Přeložená adresa zadejte privátní IP adresu Srv-Workload .
  15. Jako přeložený port zadejte 80.
  16. Vyberte Přidat.

Otestujte firewall

Teď otestujte pravidlo DNAT a ověřte, že webový server je přístupný přes bránu firewall.

  1. Otevřete webový prohlížeč.
  2. Přejděte na http://<firewall-public-ip> adresu (použijte veřejnou IP adresu brány firewall, kterou jste si poznamenali dříve).
  3. Měla by se zobrazit webová stránka: Ukázka DNAT služby Azure Firewall – Srv-Workload

Pravidlo DNAT úspěšně přeloží příchozí HTTP požadavek z veřejné IP adresy brány firewall na privátní IP adresu webového serveru. Ukazuje, jak se dá DNAT služby Azure Firewall použít k publikování webových aplikací při zachování back-endových serverů v privátní podsíti.

Vyčistěte zdroje

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků RG-DNAT-Test odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Pokročilé scénáře DNAT zahrnující překrývající se sítě nebo nesměrovatelný přístup k síti najdete tady:

Nasazení DNAT privátní IP adresy v Azure Firewall pro překrývající se a nesměrovatelné sítě

  • Last updated on