Freigeben über

Filtern Sie eingehenden Internetverkehr mit Azure Firewall DNAT mithilfe des Azure-Portals

Sie können azure Firewall Destination Network Address Translation (DNAT) konfigurieren, um eingehenden Internetdatenverkehr in Ihre Subnetze zu übersetzen und zu filtern. Wenn Sie DNAT konfigurieren, ist die Aktion für die NAT-Regelsammlung auf DNAT festgelegt. Jede Regel in der NAT-Regelsammlung kann dann verwendet werden, um die öffentliche oder private IP-Adresse und den Port Ihrer Firewall in eine private IP-Adresse und einen Port zu übersetzen. Mit DNAT-Regeln wird implizit eine entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Fügen Sie aus Sicherheitsgründen eine bestimmte Quelle hinzu, um DNAT-Zugriff auf das Netzwerk zu ermöglichen und die Verwendung von Wildcards zu vermeiden. Weitere Informationen zur Logik für die Azure Firewall-Regelverarbeitung finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.

Hinweis

In diesem Artikel werden für die Verwaltung der Firewall klassische Firewallregeln verwendet. Die bevorzugte Methode ist die Verwendung einer Firewallrichtlinie. Informationen zum Abschließen dieses Verfahrens mithilfe der Firewallrichtlinie finden Sie im Lernprogramm: Filtern eingehender Internetdatenverkehr mit Azure Firewall Policy DNAT mithilfe des Azure-Portals.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

  1. Melden Sie sich beim Azure-Portal an.
  2. Klicken Sie auf der Startseite des Azure-Portals auf Ressourcengruppen und dann auf Erstellen.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie unter Ressourcengruppe die Zeichenfolge RG-DNAT-Test ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Einrichten der Netzwerkumgebung

In diesem Artikel erstellen Sie zwei mittels Peering verknüpfte VNets:

  • VN-Hub – die Firewall befindet sich in diesem virtuellen Netzwerk.
  • VN-Spoke – der Workloadserver befindet sich in diesem virtuellen Netzwerk.

Erstellen Sie zuerst die VNETs, und führen Sie anschließend das Peering dafür durch.

Erstellen des virtuellen Hubnetzwerks

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  5. Geben Sie unter Name den Namen VN-Hub ein.
  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.
  9. Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.
  10. Wählen Sie unter Subnetze die Option Standard aus.
  11. Wählen Sie unter Subnetzvorlage die Vorlage Azure Firewall aus.

Die Firewall befindet sich in diesem Subnetz, und der Subnetzname muss AzureFirewallSubnet sein.

Hinweis

Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  1. Wählen Sie Speichern aus.
  2. Klicken Sie auf Überprüfen + erstellen.
  3. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Spoke-Netzwerks

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  5. Geben Sie unter Name den Namen VN-Spoke ein.
  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.
  9. Bearbeiten Sie unter IPv4-Adressraum die Standardeinstellung, und geben Sie 192.168.0.0/16 ein.
  10. Wählen Sie unter Subnetze die Option Standard aus.
  11. Geben Sie für den SubnetznamenSN-Workload ein.
  12. Geben Sie unter Startadresse den Wert 192.168.1.0 ein.
  13. Wählen Sie unter Subnetzgröße die Option /24 aus.
  14. Wählen Sie Speichern aus.
  15. Klicken Sie auf Überprüfen + erstellen.
  16. Klicken Sie auf Erstellen.

Verknüpfen der VNETs per Peering

Führen Sie nun das Peering für die beiden VNETs durch.

  1. Klicken Sie auf das virtuelle Netzwerk VN-Hub.
  2. Klicken Sie unter Einstellungen auf Peerings.
  3. Wählen Sie Hinzufügen.
  4. Geben Sie unter This virtual network (Dieses virtuelle Netzwerk) für Peering link name (Name des Peeringlinks) Peer-HubSpoke ein.
  5. Geben Sie unter Virtuelles Remotenetzwerk für Peering link name (Name des Peeringlinks) Peer-SpokeHub ein.
  6. Wählen Sie VN-Spoke für das virtuelle Netzwerk aus.
  7. Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Hinzufügen.

Erstellen eines virtuellen Computers

Erstellen Sie einen virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz SN-Workload an.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressource erstellen aus.
  2. Wählen Sie unter beliebten Marketplace-ProduktenUbuntu Server 22.04 LTS aus.

Grundlagen

  1. Wählen Sie unter Abonnement Ihr Abonnement aus.
  2. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  3. Geben Sie unter Name des virtuellen ComputersSrv-Workload ein.
  4. Wählen Sie unter Region denselben Standort aus wie zuvor.
  5. Wählen Sie für ImageUbuntu Server 22.04 LTS - x64 Gen2 aus.
  6. Wählen Sie für "Größe" Standard_B2s aus.
  7. Wählen Sie für den AuthentifizierungstypDEN öffentlichen SSH-Schlüssel aus.
  8. Geben Sie für "Benutzername" den Namen "azureuser" ein.
  9. Wählen Sie für ssh public key source die Option "Neues Schlüsselpaar generieren" aus.
  10. Geben Sie für den Schlüsselpaarnamen, Srv-Workload_key ein.
  11. Wählen Sie Weiter: Datenträger aus.

Datenträger

  1. Wählen Sie Weiter: Netzwerk aus.

Netzwerk

  1. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
  2. Wählen Sie unter Subnetz die Option SN-Workload.
  3. Wählen Sie unter Öffentliche IP die Option Keine aus.
  4. Klicken Sie unter Öffentliche Eingangsports auf Keine.
  5. Lassen Sie die restlichen Standardeinstellungen unverändert, und klicken Sie auf Weiter: Verwaltung.

Verwaltung

  1. Wählen Sie Weiter: Überwachung aus.

Überwachung

  1. Wählen Sie für VerwaltungDeaktivieren aus.
  2. Klicken Sie auf Überprüfen + erstellen.

Überprüfen + erstellen

Überprüfen Sie die Zusammenfassung, und klicken Sie auf Erstellen. Dieser Vorgang dauert einige Minuten.

  1. Wählen Sie im Dialogfeld " Neues Schlüsselpaar generieren " die Option "Privaten Schlüssel herunterladen" und "Ressource erstellen" aus. Speichern Sie die Schlüsseldatei als Srv-Workload_key.pem.

Notieren Sie sich nach Abschluss der Bereitstellung die private IP-Adresse des virtuellen Computers. Sie benötigen diese IP-Adresse später beim Konfigurieren der Firewall. Wählen Sie den Namen des virtuellen Computers aus, wechseln Sie zu "Übersicht", und notieren Sie sich unter "Netzwerk" die private IP-Adresse.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eins der folgenden Ereignisse auftritt:

  • Der VM wird eine öffentliche IP-Adresse zugewiesen.
  • Die VM wird im Back-End-Pool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
  • Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellt werden, haben keinen standardmäßigen ausgehenden Zugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Installieren des Webservers

Verwenden Sie das Feature "Befehl ausführen" des Azure-Portals, um einen Webserver auf dem virtuellen Computer zu installieren.

  1. Navigieren Sie im Azure-Portal zum virtuellen Computer "Srv-Workload ".

  2. Wählen Sie unter "Vorgänge" den Befehl "Ausführen" aus.

  3. Wählen Sie RunShellScript aus.

  4. Fügen Sie im Fenster "Befehlsskript ausführen " das folgende Skript ein:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Klicken Sie auf Ausführen.

  6. Warten Sie, bis das Skript abgeschlossen ist. Die Ausgabe sollte eine erfolgreiche Installation von Nginx anzeigen.

Bereitstellen der Firewall

  1. Wählen Sie auf der Startseite des Portals Ressource erstellen aus.

  2. Suchen Sie nach Firewall, und wählen Sie dann Firewall aus.

  3. Klicken Sie auf Erstellen.

  4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

    Einstellung Wert
    Subscription <Ihr Abonnement>
    Ressourcengruppe Wählen Sie RG-DNAT-Test aus.
    Name FW-DNAT-Test
    Region Wählen Sie denselben zuvor verwendeten Ort aus
    Firewall-SKU Norm
    Firewallverwaltung Use Firewall rules (classic) to manage this firewall (Firewallregeln (klassisch) zum Verwalten dieser Firewall verwenden)
    Virtuelles Netzwerk auswählen Vorhandene verwenden: VN-Hub
    Öffentliche IP-Adresse Neuen Namen hinzufügen: fw-pip

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Überprüfen + erstellen.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann "Erstellen" aus, um die Firewall bereitzustellen.

    Dieser Vorgang dauert einige Minuten.

  7. Wechseln Sie nach Abschluss der Bereitstellung zur Ressourcengruppe "RG-DNAT-Test" , und wählen Sie die FW-DNAT-Testfirewall aus.

  8. Notieren Sie sich die private und öffentliche IP-Adresse der Firewall. Sie verwenden sie später beim Erstellen der Standardrouten- und NAT-Regel.

Erstellen einer Standardroute

Konfigurieren Sie für das SN-Workload-Subnetz die ausgehende Standardroute, um die Firewall zu durchlaufen.

Wichtig

Sie müssen keine explizite Route zurück zur Firewall im Zielsubnetz konfigurieren. Azure Firewall ist ein zustandsbehafteter Dienst und verarbeitet die Pakete und Sitzungen automatisch. Die Erstellung dieser Route würde zu einer asymmetrischen Routingumgebung führen, die die zustandsbehaftete Sitzungslogik unterbricht und verworfene Pakete und Verbindungen verursacht.

  1. Wählen Sie auf der Startseite des Azure-Portals Ressource erstellen aus.

  2. Suchen Sie nach Routingtabelle, und wählen Sie sie aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie unter Abonnement Ihr Abonnement aus.

  5. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

  6. Wählen Sie für "Region" die zuvor verwendete Region aus.

  7. Geben Sie unter Name den Namen RT-FWroute ein.

  8. Klicken Sie auf Überprüfen + erstellen.

  9. Klicken Sie auf Erstellen.

  10. Wählen Sie Zu Ressource wechseln aus.

  11. Klicken Sie auf Subnetze und dann auf Zuordnen.

  12. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.

  13. Wählen Sie unter Subnetz die Option SN-Workload.

  14. Klicken Sie auf OK.

  15. Klicken Sie auf Routen und dann auf Hinzufügen.

  16. Geben Sie unter Routenname die Zeichenfolge FW-DG ein.

  17. Wählen Sie unter Zieltyp die Option IP-Adressen aus.

  18. Geben Sie 0.0.0.0/0 für Ziel-IP-Adressen/CIDR-Bereiche ein.

  19. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist ein verwalteter Dienst, aber die Auswahl der virtuellen Appliance funktioniert in dieser Situation.

  20. Geben Sie für die Adresse des nächsten Hops die private IP-Adresse der zuvor erwähnten Firewall ein.

  21. Wählen Sie Hinzufügen.

Konfigurieren einer DNAT-Regel

Diese Regel ermöglicht eingehenden HTTP-Datenverkehr aus dem Internet, den Webserver über die Firewall zu erreichen.

  1. Öffnen Sie die Ressourcengruppe RG-DNAT-Test, und wählen Sie die Firewall FW-DNAT-test aus.
  2. Klicken Sie auf der Seite FW-DNAT-test unter Einstellungen auf Rules (classic) (Regeln (klassisch)).
  3. Wählen Sie die Registerkarte NAT-Regelsammlung aus.
  4. Klicken Sie auf NAT-Regelsammlung hinzufügen.
  5. Geben Sie für "Name" den Webzugriff ein.
  6. Geben Sie für Priorität den Wert 200 ein.
  7. Geben Sie unter "Regeln" für "Name" "http-dnat" ein.
  8. Wählen Sie für Protokoll die Option TCP aus.
  9. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  10. Für Quelle geben Sie * ein, um Datenverkehr aus jeder Quelle zuzulassen.
  11. Geben Sie für Zieladressen die öffentliche IP-Adresse der Firewall ein.
  12. Geben Sie für Zielports80 ein.
  13. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-Workload ein.
  14. Geben Sie für übersetzten Port80 ein.
  15. Wählen Sie Hinzufügen.

Testen der Firewall

  1. Öffnen Sie einen Webbrowser, und navigieren Sie zur öffentlichen IP-Adresse der Firewall:

    http://<firewall-public-ip>

    Die Webseite mit der Anzeige "Azure Firewall DNAT Demo - Srv-Workload" sollte angezeigt werden.

  2. Dieses Verfahren bestätigt, dass die DNAT-Regel den eingehenden HTTP-Datenverkehr erfolgreich von der öffentlichen IP-Adresse der Firewall auf die private IP-Adresse des Webservers umleitet.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe RG-DNAT-Test löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Als Nächstes können Sie die Azure Firewall-Protokolle überwachen.

Tutorial: Überwachen von Azure Firewall-Protokollen

  • Last updated on