Sdílet prostřednictvím

Filtrování příchozího internetového nebo intranetového provozu pomocí DNAT služby Azure Firewall pomocí webu Azure Portal

Azure Firewall Destination Network Address Translation (DNAT) můžete nakonfigurovat tak, aby překládaly a filtrují příchozí internetový provoz do vašich podsítí nebo intranetového provozu mezi privátními sítěmi. Při konfiguraci DNAT se akce shromažďování pravidel NAT nastaví na DNAT. Každé pravidlo v kolekci pravidel NAT se pak dá použít k překladu veřejné nebo soukromé IP adresy a portu firewallu na soukromou IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů se doporučuje přidat konkrétní zdroj pro umožnění DNAT přístupu k síti a vyhnout se použití zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

Poznámka:

Tento článek používá klasická pravidla ke správě brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, podívejte se na kurz : Filtrování příchozího internetového provozu pomocí zásad DNAT služby Azure Firewall prostřednictvím portálu Azure.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření skupiny zdrojů

  1. Přihlaste se k portálu Azure.
  2. Na domovské stránce webu Azure Portal vyberte Skupiny prostředků a pak vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako skupinu prostředků zadejte RG-DNAT-Test.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte možnost Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto článku vytvoříte dvě propojené virtuální sítě.

  • VN-Hub - firewall je v této virtuální síti.
  • VN-Spoke – server zátěže je v této virtuální síti.

Nejprve vytvořte VNets a poté je propojte.

Vytvoření virtuální sítě centra

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Hub.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. V části Šablona podsítě vyberte Azure Firewall.

Brána firewall se nachází v této podsíti a název podsítě musí být AzureFirewallSubnet.

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. Zvolte Uložit.
  2. Vyberte možnost Zkontrolovat a vytvořit.
  3. Vyberte Vytvořit.

Vytvoření paprskové virtuální sítě

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Vytvořit.
  4. Pro skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Spoke.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 upravte výchozí a zadejte 192.168.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. Pro podsíť s názvemzadejte úlohy SN-Workload.
  12. Jako počáteční adresu zadejte 192.168.1.0.
  13. Jako velikost podsítě vyberte /24.
  14. Zvolte Uložit.
  15. Vyberte možnost Zkontrolovat a vytvořit.
  16. Vyberte Vytvořit.

Propojit virtuální sítě

Teď propojte dvě virtuální sítě.

  1. Vyberte virtuální síť VN-Hub.
  2. V části Nastavení vyberte Propojení.
  3. Vyberte Přidat.
  4. V části Tato virtuální síť zadejte jako název peeringového odkazuPeer-HubSpoke.
  5. V části Vzdálená virtuální síť, pro název peeringového propojení zadejte Peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. Z nabídky portálu Azure vyberte možnost Vytvořit prostředek.
  2. V části Oblíbené produkty Marketplace vyberte Windows Server 2019 Datacenter.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. Pro skupinu prostředků vyberte RG-DNAT-Test.
  3. Jako název virtuálního počítače zadejte Srv-Workload.
  4. V části Oblast vyberte stejné umístění, které jste použili dříve.
  5. Zadejte uživatelské jméno a heslo.
  6. Vyberte Další: Disky.

Disky

  1. Vyberte Další: Sítě.

Sítě

  1. V případě virtuální sítě vyberte VN-Spoke.
  2. Jako Podsíť vyberte SN-Workload.
  3. Jako veřejnou IP adresu vyberte Žádné.
  4. U veřejných příchozích portů vyberte Žádné.
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

Řízení

  1. Vyberte Další: Monitorování.

Monitorování

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Kontrola a vytvoření

Zkontrolujte souhrn a pak vyberte Vytvořit. Dokončení tohoto procesu trvá několik minut.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Tuto IP adresu budete potřebovat později při konfiguraci brány firewall. Vyberte název virtuálního počítače, přejděte na Přehleda v části Síťovési poznamenejte privátní IP adresu.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového poolu standardního load balanceru, s odchozími pravidly nebo bez nich.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Nasaďte bránu firewall

  1. Na domovské stránce portálu vyberte Vytvořit prostředek.

  2. Vyhledejte firewall a pak vyberte firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina zdrojů Vyberte RG-DNAT-Test
    Název FW-DNAT-test
    Región Vyberte stejné umístění, které jste použili dříve.
    Skladová položka brány firewall Standard
    Správa brány firewall Použijte pravidla brány firewall (klasické) pro správu této brány firewall
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidat nový, Název: fw-pip

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Projděte si souhrn a pak vyberte Vytvořit k nasazení firewallu.

    Dokončení tohoto procesu trvá několik minut.

  7. Po dokončení nasazení přejděte do skupiny prostředků RG-DNAT-Test a vyberte firewall FW-DNAT-test.

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je použijete při vytváření výchozí trasy a pravidla NAT (překladu adres).

Vytvořit výchozí trasu

Pro podsíť SN-Workload nakonfigurujte odchozí výchozí trasu tak, aby procházela firewallem.

Důležité

V cílové podsíti nemusíte konfigurovat explicitní trasu zpět na firewall. Azure Firewall je stavová služba a zpracovává pakety a relace automaticky. Vytvoření této trasy způsobí asymetrické směrovací prostředí, přeruší logiku stavové relace a způsobí ztracené pakety a připojení.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte směrovací tabulku a vyberte ji.

  3. Vyberte Vytvořit.

  4. V části Předplatné vyberte své předplatné.

  5. Pro skupinu prostředků vyberte RG-DNAT-Test.

  6. V oblasti vyberte stejnou oblast, která byla použita dříve.

  7. Jako Název zadejte RT-FWroute.

  8. Vyberte možnost Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít na zdroj.

  11. Vyberte Podsítě a pak vyberte Přidružit.

  12. V případě virtuální sítě vyberte VN-Spoke.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte Trasy a pak vyberte Přidat.

  16. Jako Název trasy zadejte FW-DG.

  17. Jako typ cíle vyberte IP adresy.

  18. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  19. Pro Další krok vyberte Virtuální zařízení.

    Azure Firewall je spravovaná služba, ale v této situaci funguje výběr virtuálního zařízení.

  20. Do pole Adresa dalšího skokuzadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.

  21. Vyberte Přidat.

Konfigurujte pravidlo NAT

  1. Otevřete skupinu prostředků RG-DNAT-Test a vyberte firewall FW-DNAT-test.
  2. Na stránce FW-DNAT-test v části Nastavení vyberte Pravidla (classic).
  3. Vyberte Přidat kolekci pravidel NAT.
  4. Jako Název zadejte RC-DNAT-01.
  5. V části Priorita zadejte 200.
  6. V části Pravidla jako Název zadejte RL-01.
  7. V části Protokol vyberte TCP.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte *.
  10. Pro cílové adresy zadejte veřejnou IP adresu brány firewall.
  11. Do pole Cílové porty zadejte 3389.
  12. Do přeložené adresyzadejte privátní IP adresu virtuálního počítače Srv-Workload.
  13. Do pole Přeložený port zadejte 3389.
  14. Vyberte Přidat.

Dokončení tohoto procesu trvá několik minut.

Otestujte firewall

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
  2. Zavřete vzdálenou plochu.

Vyčistěte zdroje

Prostředky brány firewall můžete ponechat pro další testování nebo pokud už je nepotřebujete, odstraňte skupinu prostředků RG-DNAT-Test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Kurz: Monitorování protokolů brány Azure Firewall

  • Last updated on