Tutorial: Filtern von eingehendem Internet- oder Intranetdatenverkehr mit Azure Firewall-Richtlinien-DNAT im Azure-Portal
Sie können die Azure Firewall-Richtlinie für DNAT (Destination Network Address Translation, Ziel-Netzwerkadressübersetzung) so konfigurieren, dass eingehender Internet- oder Intranetdatenverkehr für Ihre Subnetze übersetzt und gefiltert wird. Wenn Sie DNAT konfigurieren, ist die Aktion für die Regelsammlung auf DNAT festgelegt. Jede Regel in der NAT-Regelsammlung kann dann verwendet werden, um die öffentliche oder private IP-Adresse und den Port Ihrer Firewall in eine private IP-Adresse und den zugehörigen Port zu übersetzen. Mit DNAT-Regeln wird implizit eine entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Aus Sicherheitsgründen besteht die empfohlene Vorgehensweise darin, eine bestimmte Quelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu gewähren, und die Verwendung von Platzhaltern zu vermeiden. Weitere Informationen zur Logik für die Azure Firewall-Regelverarbeitung finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.
In diesem Tutorial lernen Sie Folgendes:
- Einrichten einer Netzwerkumgebung zu Testzwecken
- Bereitstellen einer Firewall und Richtlinie
- Erstellen einer Standardroute
- Konfigurieren einer DNAT-Regel
- Testen der Firewall
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erstellen einer Ressourcengruppe
- Melden Sie sich beim Azure-Portal an.
- Klicken Sie auf der Startseite des Azure-Portals auf Ressourcengruppen und dann auf Hinzufügen.
- Wählen Sie unter Abonnement Ihr Abonnement aus.
- Geben Sie unter Ressourcengruppenname die Zeichenfolge RG-DNAT-Test ein.
- Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
- Klicken Sie auf Überprüfen + erstellen.
- Klicken Sie auf Erstellen.
Einrichten der Netzwerkumgebung
In diesem Tutorial erstellen Sie zwei mittels Peering verknüpfte VNETs:
- VN-Hub:In diesem VNET befindet sich die Firewall.
- VN-Spoke: In diesem VNET befindet sich der Workloadserver.
Erstellen Sie zuerst die VNETs, und führen Sie anschließend das Peering dafür durch.
Erstellen des Hub-VNET
Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
Wählen Sie Hinzufügen.
Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
Geben Sie unter Name den Namen VN-Hub ein.
Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
Klicken Sie auf Weiter: IP-Adressen.
Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.
Wählen Sie unter Subnetzname die Einstellung Standard aus.
Bearbeiten Sie die Einstellung für Subnetzname, und geben Sie AzureFirewallSubnet ein.
Die Firewall befindet sich diesem Subnetz, und der Subnetzname muss „AzureFirewallSubnet“ lauten.
Hinweis
Die Größe des Subnetzes AzureFirewallSubnet beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.
Geben Sie unter Subnetzadressbereich10.0.1.0/26 ein.
Klicken Sie auf Speichern.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Erstellen eines Spoke-VNET
- Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
- Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
- Wählen Sie Hinzufügen.
- Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
- Geben Sie unter Name den Namen VN-Spoke ein.
- Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
- Klicken Sie auf Weiter: IP-Adressen.
- Bearbeiten Sie unter IPv4-Adressraum die Standardeinstellung, und geben Sie 192.168.0.0/16 ein.
- Wählen Sie Subnetz hinzufügen aus.
- Geben Sie für den Typ von SubnetznameSN-Workload ein.
- Geben Sie unter Subnetzadressbereich den Bereich 192.168.1.0/24 ein.
- Wählen Sie Hinzufügen.
- Klicken Sie auf Überprüfen + erstellen.
- Klicken Sie auf Erstellen.
Verknüpfen der VNETs per Peering
Führen Sie nun das Peering für die beiden VNETs durch.
- Klicken Sie auf das virtuelle Netzwerk VN-Hub.
- Klicken Sie unter Einstellungen auf Peerings.
- Wählen Sie Hinzufügen.
- Geben Sie unter This virtual network (Dieses virtuelle Netzwerk) für Peering link name (Name des Peeringlinks) Peer-HubSpoke ein.
- Geben Sie unter Virtuelles Remotenetzwerk für Peering link name (Name des Peeringlinks) Peer-SpokeHub ein.
- Wählen Sie VN-Spoke für das virtuelle Netzwerk aus.
- Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Hinzufügen.
Erstellen eines virtuellen Computers
Erstellen Sie einen virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz SN-Workload an.
- Wählen Sie im Menü des Azure-Portals die Option Ressource erstellen aus.
- Wählen Sie unter Beliebt die Option Windows Server 2016 Datacenter aus.
Grundlagen
- Wählen Sie unter Abonnement Ihr Abonnement aus.
- Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
- Geben Sie unter Name des virtuellen ComputersSrv-Workload ein.
- Wählen Sie unter Region denselben Standort aus wie zuvor.
- Geben Sie einen Benutzernamen und ein Kennwort ein.
- Klicken Sie auf Weiter: Datenträger.
Datenträger
- Klicken Sie auf Weiter: Netzwerk aus.
Netzwerk
- Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
- Wählen Sie unter Subnetz die Option SN-Workload.
- Wählen Sie unter Öffentliche IP die Option Keine aus.
- Klicken Sie unter Öffentliche Eingangsports auf Keine.
- Lassen Sie die restlichen Standardeinstellungen unverändert, und klicken Sie auf Weiter: Verwaltung.
Verwaltung
- Wählen Sie für VerwaltungDeaktivieren aus.
- Klicken Sie auf Überprüfen + erstellen.
Überprüfen + erstellen
Überprüfen Sie die Zusammenfassung, und klicken Sie auf Erstellen. Dies nimmt einige Minuten in Anspruch.
Nachdem die Bereitstellung abgeschlossen ist, können Sie sich die private IP-Adresse für den virtuellen Computer notieren. Sie wird später beim Konfigurieren der Firewall benötigt. Klicken Sie auf den Namen des virtuellen Computers und dann unter Einstellungen auf Netzwerk, um nach der privaten IP-Adresse zu suchen.
Bereitstellen der Firewall und Richtlinie
Wählen Sie auf der Startseite des Portals Ressource erstellen aus.
Suchen Sie nach Firewall, und wählen Sie dann Firewall aus.
Klicken Sie auf Erstellen.
Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:
Einstellung Wert Abonnement <Ihr Abonnement> Resource group Wählen Sie RG-DNAT-Test aus. Name FW-DNAT-test Region Wählen Sie den gleichen Standort aus wie zuvor. Firewallverwaltung Firewallrichtlinie zum Verwalten dieser Firewall verwenden Firewallrichtlinie Neu hinzufügen:
fw-dnat-pol
Ihre ausgewählte RegionVirtuelles Netzwerk auswählen Vorhandene verwenden: VN-Hub Öffentliche IP-Adresse Neu hinzufügen, Name: fw-pip Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Überprüfen + erstellen.
Überprüfen Sie die Zusammenfassung, und wählen Sie dann Erstellen aus, um die Firewall zu erstellen.
Die Bereitstellung dauert einige Minuten.
Navigieren Sie nach Abschluss der Bereitstellung zur Ressourcengruppe RG-DNAT-Test, und klicken Sie auf die Firewall FW-DNAT-test.
Notieren Sie sich die private und öffentliche IP-Adresse der Firewall. Sie verwenden diese später, wenn Sie die Standardroute und NAT-Regel erstellen.
Erstellen einer Standardroute
Konfigurieren Sie die ausgehende Standardroute für das Subnetz SN-Workload so, dass sie die Firewall durchläuft.
Wichtig
Sie müssen keine explizite Route zurück zur Firewall im Zielsubnetz konfigurieren. Azure Firewall ist ein zustandsbehafteter Dienst und verarbeitet die Pakete und Sitzungen automatisch. Wenn Sie diese Route erstellen, erstellen Sie eine asymmetrische Routingumgebung, welche die zustandsbehaftete Sitzungslogik unterbricht und Pakete und Verbindungen zur Folge hat.
Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
Wählen Sie unter Netzwerk die Option Routingtabellen aus.
Wählen Sie Hinzufügen.
Wählen Sie unter Abonnement Ihr Abonnement aus.
Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
Wählen Sie unter Region die gleiche Region aus wie zuvor.
Geben Sie unter Name den Namen RT-FW-route ein.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Wählen Sie Zu Ressource wechseln aus.
Klicken Sie auf Subnetze und dann auf Zuordnen.
Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
Wählen Sie unter Subnetz die Option SN-Workload.
Klicken Sie auf OK.
Klicken Sie auf Routen und dann auf Hinzufügen.
Geben Sie für Routenname den Namen fw-dg ein.
Geben Sie unter Adresspräfix die Zeichenfolge 0.0.0.0/0 ein.
Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.
Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.
Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.
Klicken Sie auf OK.
Konfigurieren einer NAT-Regel
Mit dieser Regel können Sie eine Remotedesktopverbindung mit dem virtuellen Computer „Srv-Workload“ über die Firewall herstellen.
- Öffnen Sie die Ressourcengruppe RG-DNAT-Test, und wählen Sie die Firewallrichtlinie fw-dnat-pol aus.
- Wählen Sie unter Einstellungen die Option DNAT-Regeln aus.
- Wählen Sie Regelsammlung hinzufügen aus.
- Geben Sie für Name den Wert rdp ein.
- Geben Sie für Priorität den Wert 200 ein.
- Wählen Sie für Regelsammlungsgruppe die Option DefaultDnatRuleCollectionGroup aus.
- Geben Sie unter Regeln für Name die Zeichenfolge rdp-nat ein.
- Wählen Sie unter Quelltyp die Option IP-Adresse aus.
- Geben Sie unter Quelle* ein.
- Wählen Sie für Protokoll die Option TCP aus.
- Geben Sie unter Zielports den Wert 3389 ein.
- Wählen Sie unter Zieltyp die Option IP-Adresse aus.
- Geben Sie unter Ziel die öffentliche oder private IP-Adresse der Firewall ein.
- Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-Workload ein.
- Geben Sie für Übersetzter Port den Wert 3389 ein.
- Wählen Sie Hinzufügen.
Testen der Firewall
- Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall. Sie sollten mit dem virtuellen Computer Srv-Workload verbunden werden.
- Schließen Sie den Remotedesktop.
Bereinigen von Ressourcen
Sie können die Firewallressourcen für das nächste Tutorial behalten oder die Ressourcengruppe RG-DNAT-Test löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.