Filtern von eingehendem Internetdatenverkehr mit Azure Firewall-DNAT im Azure-Portal

Sie können die Ziel-Netzwerkadressübersetzung (Destination Network Address Translation, DNAT) von Azure Firewall so konfigurieren, dass eingehender Internetdatenverkehr für Ihre Subnetze übersetzt und gefiltert wird. Wenn Sie DNAT konfigurieren, ist die Aktion für die NAT-Regelsammlung auf Dnat festgelegt. Jede Regel in der NAT-Regelsammlung kann dann verwendet werden, um die öffentliche IP-Adresse und den Port Ihrer Firewall in eine private IP-Adresse und den zugehörigen Port zu übersetzen. Mit DNAT-Regeln wird implizit eine entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Aus Sicherheitsgründen besteht die empfohlene Vorgehensweise darin, eine bestimmte Internetquelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu gewähren und die Verwendung von Platzhaltern zu vermeiden. Weitere Informationen zur Logik für die Azure Firewall-Regelverarbeitung finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.

Hinweis

In diesem Artikel werden für die Verwaltung der Firewall klassische Firewallregeln verwendet. Die bevorzugte Methode ist die Verwendung einer Firewallrichtlinie. Informationen zum Ausführen dieses Verfahrens mithilfe der Firewallrichtlinie finden Sie unter Tutorial: Filtern von eingehendem Internetdatenverkehr mit Azure Firewall-Richtlinien-DNAT im Azure-Portal.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

1. Melden Sie sich beim Azure-Portal an.
2. Klicken Sie auf der Startseite des Azure-Portals auf Ressourcengruppen und dann auf Erstellen.
3. Wählen Sie unter Abonnement Ihr Abonnement aus.
4. Geben Sie unter Ressourcengruppe die Zeichenfolge RG-DNAT-Test ein.
5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
6. Klicken Sie auf Überprüfen + erstellen.
7. Klicken Sie auf Erstellen.

Einrichten der Netzwerkumgebung

In diesem Artikel erstellen Sie zwei mittels Peering verknüpfte VNets:

• VN-Hub:In diesem VNET befindet sich die Firewall.
• VN-Spoke: In diesem VNET befindet sich der Workloadserver.

Erstellen Sie zuerst die VNETs, und führen Sie anschließend das Peering dafür durch.

Erstellen des Hub-VNET

1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.

2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.

3. Klicken Sie auf Erstellen.

4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

5. Geben Sie unter Name den Namen VN-Hub ein.

6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.

7. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.

9. Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.

10. Wählen Sie unter Subnetze die Option Standard aus.

11. Wählen Sie unter Subnetzvorlage die Vorlage Azure Firewall aus.

    Die Firewall befindet sich diesem Subnetz, und der Subnetzname muss „AzureFirewallSubnet“ lauten.

    Hinweis

    Die Größe des Subnetzes AzureFirewallSubnet beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

12. Wählen Sie Speichern aus.

13. Klicken Sie auf Überprüfen + erstellen.

14. Klicken Sie auf Erstellen.

Erstellen eines Spoke-VNET

1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
3. Klicken Sie auf Erstellen.
4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
5. Geben Sie unter Name den Namen VN-Spoke ein.
6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
7. Wählen Sie Weiter aus.
8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.
9. Bearbeiten Sie unter IPv4-Adressraum die Standardeinstellung, und geben Sie 192.168.0.0/16 ein.
10. Wählen Sie unter Subnetze die Option Standard aus.
11. Geben Sie in Name für das Subnetz den Namen SN-Workload ein.
12. Geben Sie für Startadresse den Wert 192.168.1.0 ein.
13. Wählen Sie unter Subnetzgröße die Option /24 aus.
14. Wählen Sie Speichern aus.
15. Klicken Sie auf Überprüfen + erstellen.
16. Klicken Sie auf Erstellen.

Verknüpfen der VNETs per Peering

Führen Sie nun das Peering für die beiden VNETs durch.

1. Klicken Sie auf das virtuelle Netzwerk VN-Hub.
2. Klicken Sie unter Einstellungen auf Peerings.
3. Wählen Sie Hinzufügen.
4. Geben Sie unter This virtual network (Dieses virtuelle Netzwerk) für Peering link name (Name des Peeringlinks) Peer-HubSpoke ein.
5. Geben Sie unter Virtuelles Remotenetzwerk für Peering link name (Name des Peeringlinks) Peer-SpokeHub ein.
6. Wählen Sie VN-Spoke für das virtuelle Netzwerk aus.
7. Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Hinzufügen.

Erstellen eines virtuellen Computers

Erstellen Sie einen virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz SN-Workload an.

1. Wählen Sie im Menü des Azure-Portals die Option Ressource erstellen aus.
2. Wählen Sie unter Beliebte Marketplace-Produkte die Option Windows Server 2019 Datacenter aus.

Grundlagen

1. Wählen Sie unter Abonnement Ihr Abonnement aus.
2. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
3. Geben Sie unter Name des virtuellen ComputersSrv-Workload ein.
4. Wählen Sie unter Region denselben Standort aus wie zuvor.
5. Geben Sie einen Benutzernamen und ein Kennwort ein.
6. Klicken Sie auf Weiter: Datenträger.

Datenträger

1. Klicken Sie auf Weiter: Netzwerk aus.

Netzwerk

1. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
2. Wählen Sie unter Subnetz die Option SN-Workload.
3. Wählen Sie unter Öffentliche IP die Option Keine aus.
4. Klicken Sie unter Öffentliche Eingangsports auf Keine.
5. Lassen Sie die restlichen Standardeinstellungen unverändert, und klicken Sie auf Weiter: Verwaltung.

Verwaltung

1. Klicken Sie auf Weiter: Überwachung aus.

Überwachung

1. Wählen Sie für VerwaltungDeaktivieren aus.
2. Klicken Sie auf Überprüfen + erstellen.

Überprüfen + erstellen

Überprüfen Sie die Zusammenfassung, und klicken Sie auf Erstellen. Der Vorgang kann einige Minuten dauern.

Nachdem die Bereitstellung abgeschlossen ist, können Sie sich die private IP-Adresse für den virtuellen Computer notieren. Sie wird später beim Konfigurieren der Firewall verwendet. Wählen Sie den Namen des virtuellen Computers aus. Wählen Sie Übersicht aus, und notieren Sie sich die private IP-Adresse unter Netzwerk.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eines der folgenden Ereignisse auftritt:

• Dem virtuellen Computer wird eine öffentliche IP-Adresse zugewiesen.
• Die VM wird im Backendpool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
• Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die Sie mithilfe von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellen, haben keinen ausgehenden Standardzugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Bereitstellen der Firewall

1. Wählen Sie auf der Startseite des Portals Ressource erstellen aus.

2. Suchen Sie nach Firewall, und wählen Sie dann Firewall aus.

3. Klicken Sie auf Erstellen.

4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

   Einstellung	Wert
   Abonnement	<Ihr Abonnement>
   Resource group	Wählen Sie RG-DNAT-Test aus.
   Name	FW-DNAT-test
   Region	Wählen Sie den gleichen Standort aus wie zuvor.
   Firewall-SKU	Standard
   Firewallverwaltung	Use Firewall rules (classic) to manage this firewall (Firewallregeln (klassisch) zum Verwalten dieser Firewall verwenden)
   Virtuelles Netzwerk auswählen	Vorhandene verwenden: VN-Hub
   Öffentliche IP-Adresse	Neu hinzufügen, Name: fw-pip

5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Überprüfen + erstellen.

6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann Erstellen aus, um die Firewall zu erstellen.

   Die Bereitstellung dauert einige Minuten.

7. Navigieren Sie nach Abschluss der Bereitstellung zur Ressourcengruppe RG-DNAT-Test, und klicken Sie auf die Firewall FW-DNAT-test.

8. Notieren Sie sich die private und öffentliche IP-Adresse der Firewall. Sie verwenden diese später, wenn Sie die Standardroute und NAT-Regel erstellen.

Erstellen einer Standardroute

Konfigurieren Sie die ausgehende Standardroute für das Subnetz SN-Workload so, dass sie die Firewall durchläuft.

Wichtig

Sie müssen keine explizite Route zurück zur Firewall im Zielsubnetz konfigurieren. Azure Firewall ist ein zustandsbehafteter Dienst und verarbeitet die Pakete und Sitzungen automatisch. Wenn Sie diese Route erstellen, erstellen Sie eine asymmetrische Routingumgebung, welche die zustandsbehaftete Sitzungslogik unterbricht und Pakete und Verbindungen zur Folge hat.

1. Wählen Sie auf der Startseite des Azure-Portals Ressource erstellen aus.

2. Suchen Sie nach Routingtabelle, und wählen Sie sie aus.

3. Klicken Sie auf Erstellen.

4. Wählen Sie unter Abonnement Ihr Abonnement aus.

5. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

6. Wählen Sie unter Region die gleiche Region aus wie zuvor.

7. Geben Sie unter Name den Namen RT-FWroute ein.

8. Klicken Sie auf Überprüfen + erstellen.

9. Klicken Sie auf Erstellen.

10. Wählen Sie Zu Ressource wechseln aus.

11. Klicken Sie auf Subnetze und dann auf Zuordnen.

12. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.

13. Wählen Sie unter Subnetz die Option SN-Workload.

14. Klicken Sie auf OK.

15. Klicken Sie auf Routen und dann auf Hinzufügen.

16. Geben Sie unter Routenname die Zeichenfolge FW-DG ein.

17. Wählen Sie unter Zieltyp die Option IP-Adressen aus.

18. Geben Sie 0.0.0.0/0 für Ziel-IP-Adressen/CIDR-Bereiche ein.

19. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.

20. Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.

21. Wählen Sie Hinzufügen.

Konfigurieren einer NAT-Regel

1. Öffnen Sie die Ressourcengruppe RG-DNAT-Test, und wählen Sie die Firewall FW-DNAT-test aus.
2. Klicken Sie auf der Seite FW-DNAT-test unter Einstellungen auf Rules (classic) (Regeln (klassisch)).
3. Klicken Sie auf NAT-Regelsammlung hinzufügen.
4. Geben Sie unter Name den Namen RC-DNAT-01 ein.
5. Geben Sie für Priorität den Wert 200 ein.
6. Geben Sie unter Regeln für Name die Zeichenfolge RL-01 ein.
7. Wählen Sie für Protokoll die Option TCP aus.
8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
9. Geben Sie unter Quelle „*“ ein.
10. Geben Sie unter Zieladressen die öffentliche IP-Adresse der Firewall ein.
11. Geben Sie unter Zielports den Wert 3389 ein.
12. Geben Sie für Übersetzte Adresse die private IP-Adresse für den virtuellen Computer „Srv-Workload“ ein.
13. Geben Sie für Übersetzter Port den Wert 3389 ein.
14. Klicken Sie auf Hinzufügen.

Der Vorgang kann einige Minuten dauern.

Testen der Firewall

1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall. Sie sollten mit dem virtuellen Computer Srv-Workload verbunden werden.
2. Schließen Sie den Remotedesktop.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe RG-DNAT-Test löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Als Nächstes können Sie die Azure Firewall-Protokolle überwachen.

Tutorial: Überwachen von Azure Firewall-Protokollen