Bejövő internetes forgalom szűrése az Azure Firewall DNAT használatával az Azure Portal használatával

Konfigurálhatja az Azure Firewall célhálózati címfordítását (DNAT) az alhálózatokra irányuló bejövő internetes forgalom fordítására és szűrésére. A DNAT konfigurálásakor a NAT-szabálygyűjtési művelet a DNAT értékre van állítva. A NAT-szabálygyűjtemény minden szabálya használható a tűzfal nyilvános vagy privát IP-címének és portjának egy privát IP-címre és portra való fordításához. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból adjon hozzá egy adott forrást a DNST hálózathoz való hozzáférésének engedélyezéséhez, és kerülje a helyettesítő karakterek használatát. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.

Megjegyzés

Ez a cikk klasszikus tűzfalszabályokat használ a tűzfal kezeléséhez. Az előnyben részesített módszer a tűzfalszabályzat használata. Az eljárásnak a Tűzfalszabályzat használatával történő befejezéséhez lásd: Oktatóanyag: Bejövő internetes forgalom szűrése az Azure Firewall-szabályzat DNAT használatával az Azure portálon.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Erőforráscsoport létrehozása

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal kezdőlapján válassza az Erőforráscsoportok, majd a Létrehozás lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Erőforráscsoport esetén írja be az RG-DNAT-Test parancsot.
  5. Régió esetén válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A hálózati környezet beállítása

Ebben a cikkben két összekapcsolt virtuális hálózatot hoz létre:

  • VN-Hub – a tűzfal ebben a virtuális hálózatban található.
  • VN-Spoke – a számítási feladat kiszolgálója ebben a virtuális hálózatban található.

Először hozza létre a VNets hálózatokat, és társítsa őket.

A központi virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  5. A Név mezőbe írja be a következőt: VN-Hub.
  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  7. Válassza a Tovább lehetőséget.
  8. A Biztonság lapon válassza a Tovább gombot.
  9. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.
  10. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.
  11. Alhálózati sablon esetén válassza az Azure Firewall lehetőséget.

A tűzfal ebben az alhálózatban található, és az alhálózat nevének AzureFirewallSubnetnek kell lennie.

Megjegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  1. Válassza a Mentés lehetőséget.
  2. Válassza az Áttekintés + létrehozás lehetőséget.
  3. Válassza a Létrehozás lehetőséget.

Küllős virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  5. A Név mezőbe írja be a következőt: VN-Spoke.
  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  7. Válassza a Tovább lehetőséget.
  8. A Biztonság lapon válassza a Tovább gombot.
  9. IPv4-címtartomány esetén módosítsa az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
  10. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.
  11. Az alhálózat Name mezőbe írja be SN-Workload.
  12. A kezdőcímhez írja be a 192.168.1.0-t.
  13. Az alhálózat méretéhez válassza a /24 lehetőséget.
  14. Válassza a Mentés lehetőséget.
  15. Válassza az Áttekintés + létrehozás lehetőséget.
  16. Válassza a Létrehozás lehetőséget.

A virtuális hálózatok összekapcsolása

Most kapcsolja össze a két virtuális hálózatot.

  1. Válassza ki a VN-Hub virtuális hálózatot.
  2. A Beállítások menüben válassza a Társviszonyok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. A virtuális hálózat alatt a társviszony-létesítési hivatkozás neveként írja be: Peer-HubSpoke.
  5. A Távoli virtuális hálózat területen a társviszony-létesítési hivatkozás nevénél írja be a Peer-SpokeHub nevet.
  6. A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
  7. Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.

Virtuális gép létrehozása

Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
  2. A Népszerű Marketplace-termékek területen válassza az Ubuntu Server 22.04 LTS lehetőséget.

Alapvető beállítások

  1. Az Előfizetés mezőben válassza ki az előfizetését.
  2. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  3. A virtuális gép neveként írja be az Srv-Workload nevet.
  4. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Kép esetén válassza az Ubuntu Server 22.04 LTS – x64 Gen2 lehetőséget.
  6. A Méret beállításnál válassza a Standard_B2s.
  7. Hitelesítési típus esetén válassza az SSH nyilvános kulcsát.
  8. Felhasználónévként írja be az azureuser nevet.
  9. Nyilvános SSH-kulcsforrás esetén válassza az Új kulcspár létrehozása lehetőséget.
  10. A kulcspár neveként írja be az Srv-Workload_key.
  11. Válassza a Tovább: Lemezek lehetőséget.

Lemezek

  1. Válassza a Tovább: Hálózatkezelés lehetőséget.

Hálózat

  1. A virtuális hálózathoz válassza a VN-Spoke-ot.
  2. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
  3. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  4. Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
  5. Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

Felügyelet

  1. Válassza a Következő: Figyelés lehetőséget.

Figyelés

  1. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  2. Válassza a Felülvizsgálat és létrehozás lehetőséget.

Áttekintés + Létrehozás

Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget. Ez a folyamat néhány percet vesz igénybe.

  1. Az Új kulcspár létrehozása párbeszédpanelen válassza a Titkos kulcs letöltése és az erőforrás létrehozása lehetőséget. Mentse a kulcsfájlt Srv-Workload_key.pem néven.

Az üzembe helyezés befejezése után jegyezze fel a virtuális gép magánhálózati IP-címét. A tűzfal konfigurálásakor később szüksége lesz erre az IP-címre. Válassza ki a virtuális gép nevét, lépjen az Áttekintés lapra, és a Hálózatkezelés területen jegyezze fel a magánhálózati IP-címet.

Megjegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletében helyezkedik el kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

A webkiszolgáló telepítése

Az Azure Portal Futtatási parancs funkciójával webkiszolgálót telepíthet a virtuális gépre.

  1. Lépjen a Srv-Workload virtuális gépre az Azure Portalon.

  2. A Műveletek területen válassza a Futtatás parancsot.

  3. Válassza a RunShellScript lehetőséget.

  4. A Parancsprogram futtatása ablakban illessze be a következő szkriptet:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Válassza a Futtatás parancsot.

  6. Várja meg, amíg a szkript befejeződik. A kimenetnek az Nginx sikeres telepítését kell mutatnia.

A tűzfal üzembe helyezése

  1. A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keressen rá a Tűzfal kifejezésre, majd válassza a Tűzfal lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <Az Ön előfizetése>
    Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget
    Név FW-DNAT-teszt
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt
    Tűzfal SKU azonosító Szabvány
    Tűzfalkezelés Tűzfalszabályok (klasszikus) használata a tűzfal kezeléséhez
    Válasszon egy virtuális hálózatot Meglévő használata: VN-Hub
    Nyilvános IP-cím Új hozzáadása, Név: fw-pip

  5. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget a tűzfal telepítéséhez.

    Ez a folyamat néhány percet vesz igénybe.

  7. Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.

  8. Figyelje meg a tűzfal privát és nyilvános IP-címét. Az alapértelmezett útvonal és NAT-szabály létrehozásakor később használhatja őket.

Alapértelmezett útvonal létrehozása

A SN-Workload alhálózat esetében konfigurálja a kimenő alapértelmezett útvonalat a tűzfalon keresztül.

Fontos

Nem kell kifejezett útvonalat konfigurálnia vissza a tűzfalhoz a célalhálózatról. Az Azure Firewall egy állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Az útvonal létrehozása aszimmetrikus útválasztási környezetet eredményezne, megszakítva az állapotalapú munkamenet logikáját, és megszakadt csomagokat és kapcsolatokat okozna.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg az Útvonal táblát , és jelölje ki.

  3. Válassza a Létrehozás lehetőséget.

  4. Az Előfizetés mezőben válassza ki az előfizetését.

  5. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  6. A(z) Régió esetében válassza ki ugyanazt a korábban használt régiót.

  7. A Név mezőbe írja be a következőt: RT-FWroute.

  8. Válassza az Áttekintés + létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

  10. Válassza az Erőforrás megnyitása lehetőséget.

  11. Válassza az Alhálózatok lehetőséget, majd válassza a Társít lehetőséget.

  12. A virtuális hálózathoz válassza a VN-Spoke-ot.

  13. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.

  14. Kattintson az OK gombra.

  15. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  16. Az Útvonal neve mezőbe írja be következőt: FW-DG.

  17. Céltípus esetén válassza az IP-címeket.

  18. Cél IP-címek/CIDR-tartományok esetén írja be a 0.0.0.0/0 típust.

  19. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall egy felügyelt szolgáltatás, de a virtuális berendezés kiválasztása ebben a helyzetben működik.

  20. A "Következő ugrási cím" mezőbe írja be a korábban feljegyzett tűzfal magánhálózati IP-címét.

  21. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi, hogy az internetről bejövő HTTP-forgalom a tűzfalon keresztül elérje a webkiszolgálót.

  1. Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az FW-DNAT-test tűzfalat.
  2. Az FW-DNAT-test lap Beállítások területén válassza a Szabályok (klasszikus) lehetőséget.
  3. Válassza a NAT-szabálygyűjtemény lapot.
  4. Válassza a NAT-szabálygyűjtemény hozzáadása lehetőséget.
  5. A Név mezőbe írja be a webes hozzáférést.
  6. A Prioritás mezőbe írja be a következőt: 200.
  7. A Szabályok területen a Név mezőbe írja be a http-dnat parancsot.
  8. A Protokoll beállításnál válassza a TCP lehetőséget.
  9. Forrástípus esetén válassza az IP-címet.
  10. A Forrás mezőbe írja be * , hogy engedélyezve legyen a forgalom bármely forrásból.
  11. Célcímek esetén írja be a tűzfal nyilvános IP-címét.
  12. Célportok esetén írja be a 80-at.
  13. Lefordított címként írja be a Srv-Workload privát IP-címét.
  14. Lefordított port esetén írja be a 80-at.
  15. Válassza a Hozzáadás lehetőséget.

A tűzfal tesztelése

  1. Nyisson meg egy webböngészőt, és keresse meg a tűzfal nyilvános IP-címét:

    http://<firewall-public-ip>

    Ekkor megjelenik az "Azure Firewall DNAT Demo – Srv-Workload" weblap.

  2. Ez az eljárás megerősíti, hogy a DNAT-szabály sikeresen lefordítja a tűzfal nyilvános IP-címén lévő bejövő HTTP-forgalmat a webkiszolgáló privát IP-címére.

Az erőforrások megtisztítása

Megtarthatja a tűzfal erőforrásait a további teszteléshez, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

A következő lépésben monitorozhatja az Azure Firewall naplóit.

Oktatóanyag: Az Azure Firewall naplóinak monitorozása

  • Last updated on