Oktatóanyag: Bejövő internetes forgalom szűrése az Azure Firewall-szabályzat DNST-ével az Azure Portal használatával

Konfigurálhatja az Azure Firewall-házirend célhálózati címfordítását (DNAT) az alhálózatokra irányuló bejövő internetes forgalom fordítására és szűrésére. A DNAT konfigurálásakor a szabálygyűjteményi művelet a DNAT értékre van állítva. A NAT-szabálygyűjtemény minden szabálya használható a tűzfal nyilvános IP-címének és portjának egy privát IP-címre és portra való fordításához. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból az ajánlott módszer egy adott forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.

Ez az oktatóanyag bemutatja, hogyan tehet közzé webkiszolgálót a DNAT használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal és szabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Webkiszolgáló üzembe helyezése és konfigurálása
  • DNAT-szabály konfigurálása a webszerver közzétételéhez
  • A tűzfal tesztelése

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Erőforráscsoport létrehozása

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal kezdőlapján válassza az Erőforráscsoportok, majd a Hozzáadás lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőbe írja be a következőt: RG-DNAT-Test.
  5. Régió esetén válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A hálózati környezet beállítása

Ebben az oktatóanyagban két társított virtuális hálózatot hozunk létre:

  • VN-Hub (központi virtuális hálózat) – ezen a virtuális hálózaton található a tűzfal.
  • VN-Spoke – ezen a virtuális hálózaton található a terhelés kiszolgáló.

Először hozza létre a VNets hálózatokat, és társítsa őket.

A központi virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  5. A Név mezőbe írja be a következőt: VN-Hub.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. Válassza a Tovább: IP-címek lehetőséget.

  8. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  9. Az Alhálózat neve mezőben válassza a alapértelmezett lehetőséget.

  10. Szerkessze a Subnet név-et, és írja be az AzureFirewallSubnet nevet.

    Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

    Megjegyzés

    Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  11. Alhálózati címtartomány esetén írja be a 10.0.1.0/26-ot.

  12. Válassza a Mentés lehetőséget.

  13. Válassza az Áttekintés + létrehozás lehetőséget.

  14. Válassza a Létrehozás lehetőséget.

Küllő típusú virtuális hálózat (Spoke VNet) létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  5. A Név mezőbe írja be a következőt: VN-Spoke.
  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  7. Válassza a Tovább: IP-címek lehetőséget.
  8. IPv4-címtartomány esetén módosítsa az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
  9. Válassza az Alhálózat hozzáadása lehetőséget.
  10. A(z) Alhálózat neve mezőbe írja be: SN-Workload.
  11. Alhálózati címtartomány esetén írja be a 192.168.1.0/24-es típust.
  12. Válassza a Hozzáadás lehetőséget.
  13. Válassza az Áttekintés + létrehozás lehetőséget.
  14. Válassza a Létrehozás lehetőséget.

A virtuális hálózatok összekapcsolása

Most kapcsolja össze a két virtuális hálózatot.

  1. Válassza ki a VN-Hub virtuális hálózatot.
  2. A Beállítások alatt válassza a Kapcsolatok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. A virtuális hálózatban a társviszony-létesítési hivatkozás nevéhez írja be a Peer-HubSpoke nevet.
  5. A Távoli virtuális hálózat területen a Peering link nevénél írja be a Peer-SpokeHub nevet.
  6. A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
  7. Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.

Virtuális gép létrehozása

Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
  2. A Népszerű területen válassza az Ubuntu Server 22.04 LTS lehetőséget.

Alapvető beállítások

  1. Az Előfizetés mezőben válassza ki az előfizetését.
  2. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  3. A virtuális gép neveként írja be az Srv-Workload nevet.
  4. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Kép esetén válassza az Ubuntu Server 22.04 LTS – x64 Gen2 lehetőséget.
  6. A Méret beállításnál válassza a Standard_B2s.
  7. Hitelesítési típus esetén válassza az SSH nyilvános kulcsát.
  8. Felhasználónévként írja be az azureuser nevet.
  9. Nyilvános SSH-kulcsforrás esetén válassza az Új kulcspár létrehozása lehetőséget.
  10. A kulcspár neveként írja be az Srv-Workload_key.
  11. Válassza a Nincs lehetőséget a nyilvános bejövő portokon.
  12. Válassza a Tovább: Lemezek lehetőséget.

lemezek

  • Válassza a Tovább: Hálózatkezelés lehetőséget.

Hálózat

  1. A Virtuális hálózat esetén válassza a VN-Spoke-ot.
  2. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
  3. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  4. Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
  5. Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

Felügyelet

  • Válassza a Következő: Figyelés lehetőséget.

Monitoring

  1. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  2. Válassza a Felülvizsgálat és létrehozás lehetőséget.

Áttekintés + Létrehozás

Tekintse át az összegzést, majd válassza Létrehozás.

  • Az Új kulcspár létrehozása párbeszédpanelen válassza a Titkos kulcs letöltése és az erőforrás létrehozása lehetőséget. Mentse a kulcsfájlt Srv-Workload_key.pem néven.

Az üzembe helyezés befejeztével jegyezze fel a virtuális gép magánhálózati IP-címét. Ezt később a tűzfal konfigurálása során használjuk majd. Válassza ki a virtuális gép nevét, majd a Beállítások területen válassza a Hálózatkezelés lehetőséget a magánhálózati IP-cím megkereséséhez.

A webkiszolgáló telepítése

Az Azure Portal Futtatási parancs funkciójával webkiszolgálót telepíthet a virtuális gépre.

  1. Lépjen a Srv-Workload virtuális gépre az Azure Portalon.

  2. A Műveletek területen válassza a Futtatás parancsot.

  3. Válassza a RunShellScript lehetőséget.

  4. A Parancsprogram futtatása ablakban illessze be a következő szkriptet:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Válassza a Futtatás parancsot.

  6. Várja meg, amíg a szkript befejeződik. A kimenetnek az Nginx sikeres telepítését kell mutatnia.

A tűzfal és a szabályzat üzembe helyezése

  1. A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keressen rá a Tűzfal kifejezésre, majd válassza a Tűzfal lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <Az Ön előfizetése>
    Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget
    Név FW-DNAT-teszt
    Régió Válassza a korábban használt helyet
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Új hozzáadása:
    fw-dnat-pol
    a kiválasztott régió
    Válasszon egy virtuális hálózatot Meglévő használata: VN-Hub
    Nyilvános IP-cím Új hozzáadása, név: fw-pip.

  5. Törölje a jelet a Tűzfalfelügyeleti NIC engedélyezése melletti jelölőnégyzetből.

  6. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  7. Tekintse át az összegzést, majd kattintson a Létrehozás gombra a tűzfal létrehozásához.

    Ez néhány percet vesz igénybe az üzembe helyezéshez.

  8. Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.

  9. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket később fogja használni az alapértelmezett útvonal és NAT-szabály létrehozásakor.

Alapértelmezett útvonal létrehozása

Az SN-Workload alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

Fontos

Nem kell explicit útvonalat konfigurálnia a célalhálózaton vissza a tűzfalhoz. Az Azure Firewall egy állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Ha ezt az útvonalat hozza létre, egy aszimmetrikus útválasztási környezetet fog létrehozni, amely megszakítja az állapotalapú munkamenet logikáját, és elvetett csomagokat és kapcsolatokat eredményez.

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés csoportban válassza az Útvonaltáblák lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Az Előfizetés mezőben válassza ki az előfizetését.

  5. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. A Név mezőbe írja be az RT-FW-route nevet.

  8. Válassza az Áttekintés + létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

  10. Válassza az Erőforrás megnyitása lehetőséget.

  11. Válassza az Alhálózatok lehetőséget, majd válassza a Társítás lehetőséget.

  12. A Virtuális hálózat esetén válassza a VN-Spoke-ot.

  13. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.

  14. Kattintson az OK gombra.

  15. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  16. Az Útvonalnév mezőbe írja be az fw-dg nevet.

  17. A Címelőtag mezőbe írja be a következőt: 0.0.0.0/0.

  18. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális eszköz is működik.

  19. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  20. Kattintson az OK gombra.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi, hogy az internetről bejövő HTTP-forgalom a tűzfalon keresztül elérje a webkiszolgálót.

  1. Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az fw-dnat-pol tűzfalszabályzatot.
  2. A Beállítások területen válassza ki a DNST-szabályokat.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be a webes hozzáférést.
  5. A Prioritás mezőbe írja be a következőt: 200.
  6. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  7. A Szabályok területen a Név mezőbe írja be a http-dnat parancsot.
  8. Forrástípus esetén válassza az IP-címet.
  9. A Forrás mezőbe írja be * , hogy engedélyezve legyen a forgalom bármely forrásból.
  10. A Protokoll beállításnál válassza a TCP lehetőséget.
  11. Célportok esetén írja be a 80-at.
  12. Céltípus esetén válassza az IP-cím lehetőséget.
  13. A Cél mezőbe írja be a tűzfal nyilvános IP-címét.
  14. Lefordított címként írja be a Srv-Workload privát IP-címét.
  15. Lefordított port esetén írja be a 80-at.
  16. Válassza a Hozzáadás lehetőséget.

A tűzfal tesztelése

Most tesztelje a DNST-szabályt annak ellenőrzéséhez, hogy a webkiszolgáló elérhető-e a tűzfalon keresztül.

  1. Nyisson meg egy webböngészőt.
  2. Lépjen ide http://<firewall-public-ip> (használja a tűzfal korábban megjegyzett nyilvános IP-címét).
  3. Ekkor megjelenik a következő weblap: Azure Firewall DNAT Demo – Srv-Workload

A DNST-szabály sikeresen lefordítja a tűzfal nyilvános IP-címére érkező HTTP-kérést a webkiszolgáló privát IP-címére. Ez bemutatja, hogyan használható az Azure Firewall DNAT a webalkalmazások közzétételére, miközben a háttérkiszolgálókat privát alhálózaton tartja.

Az erőforrások kezelése

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések

Az átfedésben lévő hálózatokat vagy nem irányítható hálózati hozzáférést tartalmazó speciális DNAT-forgatókönyvek esetében lásd:

Azure Firewall privát IP DNAT beállítása átfedő és nem irányítható hálózatokhoz

  • Last updated on