Sdílet prostřednictvím

Filtrování příchozího internetového provozu pomocí DNAT služby Azure Firewall pomocí webu Azure Portal

Azure Firewall Destination Network Address Translation (DNAT) můžete nakonfigurovat tak, aby překládaly a filtrují příchozí internetový provoz do vašich podsítí. Při konfiguraci DNAT se akce shromažďování pravidel NAT nastaví na DNAT. Každé pravidlo v kolekci pravidel NAT se pak dá použít k překladu veřejné nebo soukromé IP adresy a portu firewallu na soukromou IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů přidejte konkrétní zdroj, aby bylo povoleno DNAT připojení k síti, a vyhněte se použití zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

Poznámka:

Tento článek používá klasická pravidla ke správě brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, podívejte se na kurz : Filtrování příchozího internetového provozu pomocí zásad DNAT služby Azure Firewall prostřednictvím portálu Azure.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření skupiny zdrojů

  1. Přihlaste se k portálu Azure.
  2. Na domovské stránce webu Azure Portal vyberte Skupiny prostředků a pak vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako skupinu prostředků zadejte RG-DNAT-Test.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte možnost Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto článku vytvoříte dvě propojené virtuální sítě.

  • VN-Hub - firewall je v této virtuální síti.
  • VN-Spoke – server zátěže je v této virtuální síti.

Nejprve vytvořte VNets a poté je propojte.

Vytvoření virtuální sítě centra

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Hub.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. V části Šablona podsítě vyberte Azure Firewall.

Brána firewall se nachází v této podsíti a název podsítě musí být AzureFirewallSubnet.

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. Zvolte Uložit.
  2. Vyberte možnost Zkontrolovat a vytvořit.
  3. Vyberte Vytvořit.

Vytvoření paprskové virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Spoke.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 upravte výchozí a zadejte 192.168.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. Pro podsíť s názvemzadejte úlohy SN-Workload.
  12. Jako počáteční adresu zadejte 192.168.1.0.
  13. Jako velikost podsítě vyberte /24.
  14. Zvolte Uložit.
  15. Vyberte možnost Zkontrolovat a vytvořit.
  16. Vyberte Vytvořit.

Propojit virtuální sítě

Teď propojte dvě virtuální sítě.

  1. Vyberte virtuální síť VN-Hub.
  2. V části Nastavení vyberte Propojení.
  3. Vyberte Přidat.
  4. V části Tato virtuální síť zadejte jako název peeringového odkazuPeer-HubSpoke.
  5. V části Vzdálená virtuální síť, pro název peeringového propojení zadejte Peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. Z nabídky portálu Azure vyberte možnost Vytvořit prostředek.
  2. V části Oblíbené produkty Marketplace vyberte Ubuntu Server 22.04 LTS.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. Pro skupinu prostředků vyberte RG-DNAT-Test.
  3. Jako název virtuálního počítače zadejte Srv-Workload.
  4. V části Oblast vyberte stejné umístění, které jste použili dříve.
  5. Jako image vyberte Ubuntu Server 22.04 LTS – x64 Gen2.
  6. Jako velikost vyberte Standard_B2s.
  7. Jako typ ověřování vyberte veřejný klíč SSH.
  8. Jako uživatelské jméno zadejte azureuser.
  9. V případě zdroje veřejného klíče SSH vyberte Vygenerovat nový pár klíčů.
  10. Jako název páru klíčů zadejte Srv-Workload_key.
  11. Vyberte Další: Disky.

Disky

  1. Vyberte Další: Sítě.

Sítě

  1. V případě virtuální sítě vyberte VN-Spoke.
  2. Jako Podsíť vyberte SN-Workload.
  3. Jako veřejnou IP adresu vyberte Žádné.
  4. U veřejných příchozích portů vyberte Žádné.
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

Řízení

  1. Vyberte Další: Monitorování.

Monitorování

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Kontrola a vytvoření

Zkontrolujte souhrn a pak vyberte Vytvořit. Dokončení tohoto procesu trvá několik minut.

  1. V dialogovém okně Vygenerovat nový pár klíčů vyberte Stáhnout privátní klíč a vytvořit prostředek. Uložte soubor klíče jako Srv-Workload_key.pem.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Tuto IP adresu budete potřebovat později při konfiguraci brány firewall. Vyberte název virtuálního počítače, přejděte na Přehleda v části Síťovési poznamenejte privátní IP adresu.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového poolu standardního load balanceru, s odchozími pravidly nebo bez nich.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Instalace webového serveru

Pomocí funkce Spustit příkaz na webu Azure Portal nainstalujte webový server na virtuální počítač.

  1. Na webu Azure Portal přejděte na virtuální počítač Srv-Workload .

  2. V části Operace vyberte příkaz Spustit.

  3. Vyberte RunShellScript.

  4. V okně Spustit příkazový skript vložte následující skript:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Vyberte Spustit.

  6. Počkejte na dokončení skriptu. Výstup by měl ukázat úspěšnou instalaci serveru Nginx.

Nasaďte bránu firewall

  1. Na domovské stránce portálu vyberte Vytvořit prostředek.

  2. Vyhledejte firewall a pak vyberte firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina zdrojů Vyberte RG-DNAT-Test
    Název FW-DNAT-test
    Región Vyberte stejné umístění, které jste použili dříve.
    Skladová položka brány firewall Standard
    Správa brány firewall Použijte pravidla brány firewall (klasické) pro správu této brány firewall
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidat nový, Název: fw-pip

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Projděte si souhrn a pak vyberte Vytvořit k nasazení firewallu.

    Dokončení tohoto procesu trvá několik minut.

  7. Po dokončení nasazení přejděte do skupiny prostředků RG-DNAT-Test a vyberte firewall FW-DNAT-test.

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je použijete při vytváření výchozí trasy a pravidla NAT (překladu adres).

Vytvořit výchozí trasu

Pro podsíť SN-Workload nakonfigurujte odchozí výchozí trasu tak, aby procházela firewallem.

Důležité

V cílové podsíti nemusíte konfigurovat explicitní trasu zpět na firewall. Azure Firewall je stavová služba a zpracovává pakety a relace automaticky. Vytvoření této trasy způsobí asymetrické směrovací prostředí, přeruší logiku stavové relace a způsobí ztracené pakety a připojení.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte směrovací tabulku a vyberte ji.

  3. Vyberte Vytvořit.

  4. V části Předplatné vyberte své předplatné.

  5. Pro skupinu prostředků vyberte RG-DNAT-Test.

  6. V oblasti vyberte stejnou oblast, která byla použita dříve.

  7. Jako Název zadejte RT-FWroute.

  8. Vyberte možnost Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít na zdroj.

  11. Vyberte Podsítě a pak vyberte Přidružit.

  12. V případě virtuální sítě vyberte VN-Spoke.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte Trasy a pak vyberte Přidat.

  16. Jako Název trasy zadejte FW-DG.

  17. Jako typ cíle vyberte IP adresy.

  18. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  19. Pro Další krok vyberte Virtuální zařízení.

    Azure Firewall je spravovaná služba, ale v této situaci funguje výběr virtuálního zařízení.

  20. Do pole Adresa dalšího skokuzadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.

  21. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje příchozímu provozu HTTP z internetu dostat se k webovému serveru přes bránu firewall.

  1. Otevřete skupinu prostředků RG-DNAT-Test a vyberte firewall FW-DNAT-test.
  2. Na stránce FW-DNAT-test v části Nastavení vyberte Pravidla (classic).
  3. Vyberte kartu kolekce NAT pravidel.
  4. Vyberte Přidat kolekci pravidel NAT.
  5. Do pole Název zadejte webový přístup.
  6. V části Priorita zadejte 200.
  7. V části Pravidla zadejte jako názevhttp-dnat.
  8. V části Protokol vyberte TCP.
  9. Jako typ zdroje vyberte IP adresu.
  10. Jako zdroj zadejte * , pokud chcete povolit provoz z libovolného zdroje.
  11. Jako cílové adresy zadejte veřejnou IP adresu firewallu.
  12. Jako cílové porty zadejte 80.
  13. Do pole Přeložená adresa zadejte privátní IP adresu Srv-Workload .
  14. Jako přeložený port zadejte 80.
  15. Vyberte Přidat.

Otestujte firewall

  1. Otevřete webový prohlížeč a přejděte na veřejnou IP adresu brány firewall:

    http://<firewall-public-ip>

    Měla by se zobrazit webová stránka s ukázkou DNAT služby Azure Firewall – Srv-Workload.

  2. Tento postup potvrzuje, že pravidlo DNAT úspěšně překládá příchozí HTTP provoz na bráně firewall z veřejné IP adresy na privátní IP adresu webového serveru.

Vyčistěte zdroje

Prostředky brány firewall můžete ponechat pro další testování nebo pokud už je nepotřebujete, odstraňte skupinu prostředků RG-DNAT-Test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Kurz: Monitorování protokolů brány Azure Firewall

  • Last updated on