Teilen über

Tutorial: Filtern des eingehenden Internetverkehrs mithilfe von DNAT-Richtlinien in der Azure Firewall über das Azure-Portal.

Sie können die Azure Firewall-Richtlinie für die Zielnetzwerkadressenübersetzung (DESTINATION Network Address Translation, DNAT) konfigurieren, um eingehenden Internetdatenverkehr in Ihre Subnetze zu übersetzen und zu filtern. Wenn Sie DNAT konfigurieren, ist die Aktion für die Regelsammlung auf DNAT festgelegt. Jede Regel in der NAT-Regelsammlung kann dann verwendet werden, um die öffentliche IP-Adresse und den Port Ihrer Firewall in eine private IP-Adresse und einen privaten Port zu übersetzen. Mit DNAT-Regeln wird implizit eine entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Aus Sicherheitsgründen besteht die empfohlene Vorgehensweise darin, eine bestimmte Quelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu gewähren, und die Verwendung von Platzhaltern zu vermeiden. Weitere Informationen zur Logik für die Azure Firewall-Regelverarbeitung finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.

In diesem Lernprogramm wird die Veröffentlichung eines Webservers mithilfe von DNAT veranschaulicht.

In diesem Tutorial lernen Sie Folgendes:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer Firewall und Richtlinie
  • Erstellen einer Standardroute
  • Bereitstellen und Konfigurieren eines Webservers
  • Konfigurieren einer DNAT-Regel zum Veröffentlichen des Webservers
  • Testen der Firewall

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

  1. Melden Sie sich beim Azure-Portal an.
  2. Klicken Sie auf der Startseite des Azure-Portals auf Ressourcengruppen und dann auf Hinzufügen.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie unter Ressourcengruppenname die Zeichenfolge RG-DNAT-Test ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Einrichten der Netzwerkumgebung

In diesem Tutorial erstellen Sie zwei mittels Peering verknüpfte VNETs:

  • VN-Hub:In diesem VNET befindet sich die Firewall.
  • VN-Spoke: In diesem VNET befindet sich der Workloadserver.

Erstellen Sie zuerst die VNETs, und führen Sie anschließend das Peering dafür durch.

Erstellen des Hub-VNET

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.

  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.

  3. Wählen Sie Hinzufügen.

  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

  5. Geben Sie unter Name den Namen VN-Hub ein.

  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.

  7. Klicken Sie auf Weiter: IP-Adressen.

  8. Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.

  9. Wählen Sie unter Subnetzname die Einstellung Standard aus.

  10. Bearbeiten Sie die Einstellung für Subnetzname, und geben Sie AzureFirewallSubnet ein.

    Die Firewall befindet sich diesem Subnetz, und der Subnetzname muss „AzureFirewallSubnet“ lauten.

    Hinweis

    Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  11. Geben Sie unter Subnetzadressbereich10.0.1.0/26 ein.

  12. Wählen Sie Speichern aus.

  13. Klicken Sie auf Überprüfen + erstellen.

  14. Klicken Sie auf Erstellen.

Erstellen eines Spoke-VNET

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
  3. Wählen Sie Hinzufügen.
  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  5. Geben Sie unter Name den Namen VN-Spoke ein.
  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
  7. Klicken Sie auf Weiter: IP-Adressen.
  8. Bearbeiten Sie unter IPv4-Adressraum die Standardeinstellung, und geben Sie 192.168.0.0/16 ein.
  9. Wählen Sie Subnetz hinzufügen aus.
  10. Geben Sie für den Typ von SubnetznameSN-Workload ein.
  11. Geben Sie unter Subnetzadressbereich den Bereich 192.168.1.0/24 ein.
  12. Wählen Sie Hinzufügen.
  13. Klicken Sie auf Überprüfen + erstellen.
  14. Klicken Sie auf Erstellen.

Verknüpfen der VNETs per Peering

Führen Sie nun das Peering für die beiden VNETs durch.

  1. Klicken Sie auf das virtuelle Netzwerk VN-Hub.
  2. Klicken Sie unter Einstellungen auf Peerings.
  3. Wählen Sie Hinzufügen.
  4. Geben Sie unter This virtual network (Dieses virtuelle Netzwerk) für Peering link name (Name des Peeringlinks) Peer-HubSpoke ein.
  5. Geben Sie unter Virtuelles Remotenetzwerk für Peering link name (Name des Peeringlinks) Peer-SpokeHub ein.
  6. Wählen Sie VN-Spoke für das virtuelle Netzwerk aus.
  7. Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Hinzufügen.

Erstellen eines virtuellen Computers

Erstellen Sie einen virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz SN-Workload an.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressource erstellen aus.
  2. Wählen Sie unter "Beliebt" Ubuntu Server 22.04 LTS aus.

Grundlagen

  1. Wählen Sie unter Abonnement Ihr Abonnement aus.
  2. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  3. Geben Sie unter Name des virtuellen ComputersSrv-Workload ein.
  4. Wählen Sie unter Region denselben Standort aus wie zuvor.
  5. Wählen Sie für ImageUbuntu Server 22.04 LTS - x64 Gen2 aus.
  6. Wählen Sie für "Größe" Standard_B2s aus.
  7. Wählen Sie unter Authentifizierungstyp die Option Öffentlicher SSH-Schlüssel.
  8. Geben Sie für "Benutzername" den Namen "azureuser" ein.
  9. Wählen Sie für ssh public key source die Option "Neues Schlüsselpaar generieren" aus.
  10. Geben Sie für den Schlüsselpaarnamen, Srv-Workload_key ein.
  11. Wählen Sie Keine in Öffentliche eingehende Ports aus.
  12. Wählen Sie Weiter: Datenträger aus.

Datenträger

  • Wählen Sie Weiter: Netzwerk aus.

Netzwerk

  1. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
  2. Wählen Sie unter Subnetz die Option SN-Workload.
  3. Wählen Sie unter Öffentliche IP die Option Keine aus.
  4. Klicken Sie unter Öffentliche Eingangsports auf Keine.
  5. Lassen Sie die restlichen Standardeinstellungen unverändert, und klicken Sie auf Weiter: Verwaltung.

Verwaltung

  • Wählen Sie Weiter: Überwachung aus.

Überwachung

  1. Wählen Sie für VerwaltungDeaktivieren aus.
  2. Klicken Sie auf Überprüfen + erstellen.

Überprüfen + erstellen

Überprüfen Sie die Zusammenfassung, und klicken Sie auf Erstellen.

  • Wählen Sie im Dialogfeld " Neues Schlüsselpaar generieren " die Option "Privaten Schlüssel herunterladen" und "Ressource erstellen" aus. Speichern Sie die Schlüsseldatei als Srv-Workload_key.pem.

Nachdem die Bereitstellung abgeschlossen ist, können Sie sich die private IP-Adresse für den virtuellen Computer notieren. Sie wird später beim Konfigurieren der Firewall benötigt. Klicken Sie auf den Namen des virtuellen Computers und dann unter Einstellungen auf Netzwerk, um nach der privaten IP-Adresse zu suchen.

Installieren des Webservers

Verwenden Sie das Feature "Befehl ausführen" des Azure-Portals, um einen Webserver auf dem virtuellen Computer zu installieren.

  1. Navigieren Sie im Azure-Portal zum virtuellen Computer "Srv-Workload ".

  2. Wählen Sie unter "Vorgänge" den Befehl "Ausführen" aus.

  3. Wählen Sie RunShellScript aus.

  4. Fügen Sie im Fenster "Befehlsskript ausführen " das folgende Skript ein:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Klicken Sie auf Ausführen.

  6. Warten Sie, bis das Skript abgeschlossen ist. Die Ausgabe sollte eine erfolgreiche Installation von Nginx anzeigen.

Bereitstellen der Firewall und Richtlinie

  1. Wählen Sie auf der Startseite des Portals Ressource erstellen aus.

  2. Suchen Sie nach Firewall, und wählen Sie dann Firewall aus.

  3. Klicken Sie auf Erstellen.

  4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

    Einstellung Wert
    Subscription <Ihr Abonnement>
    Ressourcengruppe Wählen Sie RG-DNAT-Test aus.
    Name FW-DNAT-Test
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Firewallverwaltung Firewallrichtlinie zum Verwalten dieser Firewall verwenden
    Firewallrichtlinie Neu hinzufügen:
    fw-dnat-pol
    Ihre ausgewählte Region
    Virtuelles Netzwerk auswählen Vorhandene verwenden: VN-Hub
    Öffentliche IP-Adresse Neu hinzufügen, Name: fw-pip

  5. Deaktivieren Sie das Kontrollkästchen neben der Option Firewall-Verwaltungs-NIC aktivieren.

  6. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Zusammenfassung, und wählen Sie dann Erstellen aus, um die Firewall zu erstellen.

    Die Bereitstellung dauert einige Minuten.

  8. Navigieren Sie nach Abschluss der Bereitstellung zur Ressourcengruppe RG-DNAT-Test, und klicken Sie auf die Firewall FW-DNAT-test.

  9. Notieren Sie sich die private und öffentliche IP-Adresse der Firewall. Sie verwenden diese später, wenn Sie die Standardroute und NAT-Regel erstellen.

Erstellen einer Standardroute

Konfigurieren Sie die ausgehende Standardroute für das Subnetz SN-Workload so, dass sie die Firewall durchläuft.

Wichtig

Sie müssen keine explizite Route zurück zur Firewall im Zielsubnetz konfigurieren. Azure Firewall ist ein zustandsbehafteter Dienst und verarbeitet die Pakete und Sitzungen automatisch. Wenn Sie diese Route erstellen, erstellen Sie eine asymmetrische Routingumgebung, welche die zustandsbehaftete Sitzungslogik unterbricht und Pakete und Verbindungen zur Folge hat.

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.

  2. Wählen Sie unter Netzwerk die Option Routingtabellen aus.

  3. Wählen Sie Hinzufügen.

  4. Wählen Sie unter Abonnement Ihr Abonnement aus.

  5. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

  6. Wählen Sie unter Region die gleiche Region aus wie zuvor.

  7. Geben Sie unter Name den Namen RT-FW-route ein.

  8. Klicken Sie auf Überprüfen + erstellen.

  9. Klicken Sie auf Erstellen.

  10. Wählen Sie Zu Ressource wechseln aus.

  11. Klicken Sie auf Subnetze und dann auf Zuordnen.

  12. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.

  13. Wählen Sie unter Subnetz die Option SN-Workload.

  14. Klicken Sie auf OK.

  15. Klicken Sie auf Routen und dann auf Hinzufügen.

  16. Geben Sie für Routenname den Namen fw-dg ein.

  17. Geben Sie unter Adresspräfix die Zeichenfolge 0.0.0.0/0 ein.

  18. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.

  19. Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.

  20. Klicken Sie auf OK.

Konfigurieren einer DNAT-Regel

Diese Regel ermöglicht eingehenden HTTP-Datenverkehr aus dem Internet, den Webserver über die Firewall zu erreichen.

  1. Öffnen Sie die Ressourcengruppe RG-DNAT-Test, und wählen Sie die Firewallrichtlinie fw-dnat-pol aus.
  2. Wählen Sie unter Einstellungen die Option DNAT-Regeln aus.
  3. Wählen Sie Regelsammlung hinzufügen aus.
  4. Geben Sie für "Name" den Webzugriff ein.
  5. Geben Sie für Priorität den Wert 200 ein.
  6. Wählen Sie für Regelsammlungsgruppe die Option DefaultDnatRuleCollectionGroup aus.
  7. Geben Sie unter "Regeln" für "Name" "http-dnat" ein.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Für Quelle geben Sie * ein, um Datenverkehr aus jeder Quelle zuzulassen.
  10. Wählen Sie für Protokoll die Option TCP aus.
  11. Geben Sie unter Zielports den Wert 80 ein.
  12. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  13. Geben Sie für "Ziel" die öffentliche IP-Adresse der Firewall ein.
  14. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-Workload ein.
  15. Geben Sie für übersetzten Port80 ein.
  16. Wählen Sie Hinzufügen.

Testen der Firewall

Testen Sie nun die DNAT-Regel, um zu überprüfen, ob der Webserver über die Firewall zugänglich ist.

  1. Öffnen Sie einen Webbrowser.
  2. Navigieren Sie zu http://<firewall-public-ip> (verwenden Sie die öffentliche IP-Adresse der Firewall, die Sie sich zuvor notiert haben).
  3. Die Webseite sollte angezeigt werden: Azure Firewall DNAT Demo - Srv-Workload

Die DNAT-Regel übersetzt die eingehende HTTP-Anforderung auf der öffentlichen IP-Adresse der Firewall erfolgreich in die private IP-Adresse des Webservers. Dies veranschaulicht, wie Azure Firewall DNAT zum Veröffentlichen von Webanwendungen verwendet werden kann, während die Back-End-Server in einem privaten Subnetz gespeichert werden.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für das nächste Tutorial behalten oder die Ressourcengruppe RG-DNAT-Test löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Erweiterte DNAT-Szenarien mit überlappenden Netzwerken oder nicht routingfähigem Netzwerkzugriff finden Sie unter:

Bereitstellen privater IP-DNAT von Azure Firewall für überlappende und nicht routingfähige Netzwerke

  • Last updated on