Kurz: Filtrování příchozího internetového provozu pomocí DNAT zásad Azure Firewall pomocí Azure Portal
Můžete nakonfigurovat Azure Firewall zásadu DNAT (Destination Network Address Translation) pro překlad a filtrování příchozího internetového provozu do podsítí. Při konfiguraci DNAT se akce shromažďování pravidel nastaví na DNAT. Každé pravidlo v kolekci pravidel překladu adres (NAT) se pak dá použít k překladu veřejné IP adresy a portu brány firewall na privátní IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Zbezpečnostníchm služeb je z bezpečnostních důvodů doporučeným postupem přidat konkrétní internetový zdroj, který umožní přístup DNAT k síti, a vyhnout se používání zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.
V tomto kurzu se naučíte:
- Nastavit testovací síťové prostředí
- Nasazení brány firewall a zásad
- Vytvoření výchozí trasy
- Konfigurace pravidla DNAT
- Testování brány firewall
Požadavky
Pokud ještě předplatné Azure nemáte, vytvořte si napřed bezplatný účet.
Vytvoření skupiny prostředků
- Přihlaste se k webu Azure Portal.
- Na domovské stránce Azure Portal vyberte Skupiny prostředků a pak vyberte Přidat.
- V části Předplatné vyberte své předplatné.
- Jako Název skupiny prostředků zadejte RG-DNAT-Test.
- Jako Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
- Vyberte Zkontrolovat a vytvořit.
- Vyberte Vytvořit.
Nastavení síťového prostředí
V tomto kurzu vytvoříte dvě partnerské virtuální sítě:
- VN-Hub – v této virtuální síti bude brána firewall.
- VN-Spoke – v této virtuální síti bude server úloh.
Nejprve vytvořte virtuální sítě a pak mezi nimi vytvořte partnerský vztah.
Vytvoření virtuální sítě centra
Na domovské stránce Azure Portal vyberte Všechny služby.
V části Sítě vyberte Virtuální sítě.
Vyberte Přidat.
Jako Skupina prostředků vyberte RG-DNAT-Test.
Jako Název zadejte VN-Hub.
Jako Oblast vyberte stejnou oblast, kterou jste použili dříve.
Vyberte Další: IP adresy.
Pro adresní prostor IPv4 přijměte výchozí hodnotu 10.0.0.0/16.
V části Název podsítě vyberte výchozí.
Upravte název podsítě a zadejte AzureFirewallSubnet.
Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.
Poznámka
Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech k Azure Firewall.
Jako Rozsah adres podsítě zadejte 10.0.1.0/26.
Vyberte Uložit.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Vytvoření virtuální sítě paprsku
- Na domovské stránce Azure Portal vyberte Všechny služby.
- V části Sítě vyberte Virtuální sítě.
- Vyberte Přidat.
- Jako Skupina prostředků vyberte RG-DNAT-Test.
- Jako Název zadejte VN-Spoke.
- Jako Oblast vyberte stejnou oblast, kterou jste použili dříve.
- Vyberte Další: IP adresy.
- V části Adresní prostor IPv4 upravte výchozí hodnotu a zadejte 192.168.0.0/16.
- Vyberte Přidat podsíť.
- Jako název podsítě zadejte SN-Workload.
- Do pole Rozsah adres podsítě zadejte 192.168.1.0/24.
- Vyberte Přidat.
- Vyberte Zkontrolovat a vytvořit.
- Vyberte Vytvořit.
Vytvoření partnerského vztahu virtuálních sítí
Teď mezi dvěma virtuálními sítěmi vytvořte partnerský vztah.
- Vyberte virtuální síť VN-Hub .
- V části Nastavení vyberte Partnerské vztahy.
- Vyberte Přidat.
- V části Tato virtuální síť jako název propojení partnerského vztahu zadejte Peer-HubSpoke.
- V části Vzdálená virtuální síť jako Název propojení partnerského vztahu zadejte Peer-SpokeHub.
- Jako virtuální síť vyberte VN-Spoke.
- Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.
Vytvoření virtuálního počítače
Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.
- V nabídce webu Azure Portal vyberte Vytvořit prostředek.
- V části Oblíbené vyberte Windows Server 2016 Datacenter.
Základy
- V části Předplatné vyberte své předplatné.
- Jako Skupina prostředků vyberte RG-DNAT-Test.
- Jako Název virtuálního počítače zadejte Srv-Workload.
- Jako Oblast vyberte stejné umístění, které jste použili dříve.
- Zadejte uživatelské jméno a heslo.
- Vyberte Další: Disky.
Disky
- Až skončíte, vyberte Další: Sítě.
Sítě
- V části Virtuální síť vyberte VN-Spoke.
- Jako Podsíť vyberte SN-Workload.
- V části Veřejná IP adresa vyberte Žádná.
- V části Veřejné příchozí porty vyberte Žádné.
- Ponechte ostatní výchozí nastavení a vyberte Další: Správa.
správy
- V části Diagnostika spouštění vyberte Zakázat.
- Vyberte Zkontrolovat a vytvořit.
Zkontrolovat a vytvořit
Zkontrolujte souhrn a pak vyberte Vytvořit. Dokončení může několik minut trvat.
Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použijete ji později při konfiguraci brány firewall. Vyberte název virtuálního počítače a v části Nastavení vyberte Sítě a vyhledejte privátní IP adresu.
Nasazení brány firewall a zásad
Na domovské stránce portálu vyberte Vytvořit prostředek.
Vyhledejte Brána firewall a pak vyberte Brána firewall.
Vyberte Vytvořit.
Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:
Nastavení Hodnota Předplatné <Vaše předplatné> Skupina prostředků Vyberte RG-DNAT-Test. Name FW-DNAT-test Oblast Vyberte dříve použité umístění. Správa brány firewall Použití zásad brány firewall ke správě této brány firewall Zásady brány firewall Přidat nový:
fw-dnat-pol
vybraná oblastVolba virtuální sítě Použít existující: VN-Hub Veřejná IP adresa Přidejte nový, název: fw-pip. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.
Zkontrolujte souhrn a pak výběrem možnosti Vytvořit vytvořte bránu firewall.
Nasazení trvá několik minut.
Po dokončení nasazení přejděte do skupiny prostředků RG-DNAT-Test a vyberte bránu firewall FW-DNAT-test .
Poznamenejte si privátní a veřejnou IP adresu brány firewall. Použijete je později při vytváření výchozí trasy a pravidla PŘEKLADU ADRES.
Vytvoření výchozí trasy
U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.
Důležité
Nemusíte konfigurovat explicitní trasu zpět do brány firewall v cílové podsíti. Azure Firewall je stavová služba, která zpracovává pakety a relace automaticky. Pokud vytvoříte tuto trasu, vytvoříte prostředí asymetrického směrování, které přeruší logiku stavové relace a způsobí vyřazení paketů a připojení.
Na domovské stránce Azure Portal vyberte Všechny služby.
V části Sítě vyberte Směrovací tabulky.
Vyberte Přidat.
V části Předplatné vyberte své předplatné.
Jako Skupina prostředků vyberte RG-DNAT-Test.
V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
Jako Název zadejte RT-FW-route.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Vyberte Přejít k prostředku.
Vyberte Podsítě a pak vyberte Přidružit.
V části Virtuální síť vyberte VN-Spoke.
Jako Podsíť vyberte SN-Workload.
Vyberte OK.
Vyberte Trasy a pak vyberte Přidat.
Jako Název trasy zadejte fw-dg.
V části Předpona IP adresy zadejte 0.0.0.0/0.
V části Typ dalšího směrování vyberte Virtuální zařízení.
Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.
V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.
Vyberte OK.
Konfigurace pravidla překladu adres (NAT)
Toto pravidlo umožňuje připojit vzdálenou plochu k Srv-Workload virtuálnímu počítači přes bránu firewall.
- Otevřete skupinu prostředků RG-DNAT-Test a vyberte zásadu brány firewall fw-dnat-pol .
- V části Nastavení vyberte Pravidla DNAT.
- Vyberte Přidat kolekci pravidel.
- Jako Název zadejte rdp.
- V části Priorita zadejte 200.
- V části Rule collection group (Skupina kolekcí pravidel) vyberte DefaultDnatRuleCollectionGroup.
- V části Pravidla jako Název zadejte rdp-nat.
- Jako Typ zdroje vyberte IP adresa.
- Jako Zdroj zadejte *.
- V části Protokol vyberte TCP.
- Do pole Cílové porty zadejte 3389.
- Jako Typ cíle vyberte IP adresa.
- Do pole Cíl zadejte veřejnou IP adresu brány firewall.
- Do pole Přeložená adresa zadejte privátní IP adresu Srv-Workload .
- Do pole Přeložený port zadejte 3389.
- Vyberte Přidat.
Testování brány firewall
- Připojte k veřejné IP adrese brány firewall vzdálenou plochu. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
- Zavřete vzdálenou plochu.
Vyčištění prostředků
Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků RG-DNAT-Test odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.