Megosztás a következőn keresztül:

Bejövő internetes forgalom szűrése az Azure Firewall DNAT használatával az Azure Portal használatával

  • Cikk

Az Azure Firewall DNAT (Destination Network Address Translation, célhálózati címfordítás) funkciójának konfigurálásával lefordíthatja és szűrheti az alhálózatokra bejövő internetes forgalmat. A DNAT konfigurálásakor a NAT-szabálygyűjtési művelet a Dnat értékre van állítva. A NAT-szabálygyűjtemény minden szabálya használható a tűzfal nyilvános IP-címének és portjának lefordításához egy privát/nyilvános IP-címre és portra. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból az ajánlott módszer egy adott internetes forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.

Feljegyzés

Ez a cikk klasszikus tűzfalszabályokat használ a tűzfal kezeléséhez. Az előnyben részesített módszer a tűzfalszabályzat használata. Az eljárás tűzfalszabályzat használatával történő végrehajtásához tekintse meg az oktatóanyagot: Bejövő internetes forgalom szűrése az Azure Firewall-szabályzat DNST-ével az Azure Portal használatával

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Erőforráscsoport létrehozása

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal kezdőlapján válassza az Erőforráscsoportok, majd a Létrehozás lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Erőforráscsoport esetén írja be az RG-DNAT-Test parancsot.
  5. Régió esetén válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A hálózati környezet beállítása

Ebben a cikkben két társhálózatot hoz létre:

  • VN-Hub (központi virtuális hálózat) – ezen a virtuális hálózaton található a tűzfal.
  • VN-Spoke (küllő virtuális hálózat) – ezen a virtuális hálózaton található a számítási feladat kiszolgálója.

Először hozza létre a virtuális hálózatokat, és társítsa őket.

A központi virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  5. A Név mezőbe írja be a következőt: VN-Hub.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. Válassza a Tovább lehetőséget.

  8. A Biztonság lapon válassza a Tovább gombot.

  9. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  10. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.

  11. Alhálózati sablon esetén válassza az Azure Firewall lehetőséget.

    Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

    Feljegyzés

    Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  12. Válassza a Mentés lehetőséget.

  13. Válassza az Áttekintés + létrehozás lehetőséget.

  14. Válassza a Létrehozás lehetőséget.

Küllő virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  5. A Név mezőbe írja be a következőt: VN-Spoke.
  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  7. Válassza a Tovább lehetőséget.
  8. A Biztonság lapon válassza a Tovább gombot.
  9. IPv4-címtartomány esetén módosítsa az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
  10. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.
  11. Az alhálózat neve SN-Workload típusú.
  12. A kezdőcímhez írja be a 192.168.1.0-t.
  13. Az alhálózat méretéhez válassza a /24 lehetőséget.
  14. Válassza a Mentés lehetőséget.
  15. Válassza az Áttekintés + létrehozás lehetőséget.
  16. Válassza a Létrehozás lehetőséget.

A virtuális hálózatok társítása

Most társítsa a két virtuális hálózatot.

  1. Válassza ki a VN-Hub virtuális hálózatot.
  2. A Beállítások területen válassza a Társviszonyok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. A virtuális hálózatban a társviszony-létesítési hivatkozás neveként írja be a Peer-HubSpoke nevet.
  5. A Távoli virtuális hálózat területen a társviszony-létesítési hivatkozás neveként írja be a Peer-SpokeHub nevet.
  6. A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
  7. Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.

Virtuális gép létrehozása

Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
  2. A Népszerű Marketplace-termékek területen válassza a Windows Server 2019 Datacenter lehetőséget.

Alapvető beállítások

  1. Az Előfizetés mezőben válassza ki az előfizetését.
  2. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  3. A virtuális gép neveként írja be az Srv-Workload nevet.
  4. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Adjon meg egy felhasználónevet és jelszót.
  6. Válassza a Tovább: Lemezek lehetőséget.

Lemezek

  1. Válassza a Tovább: Hálózatkezelés lehetőséget.

Hálózat

  1. Virtuális hálózat esetén válassza a VN-Küllő lehetőséget.
  2. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
  3. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  4. Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
  5. Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

Felügyelet

  1. Válassza a Következő: Figyelés lehetőséget.

Figyelés

  1. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  2. Válassza a Felülvizsgálat és létrehozás lehetőséget.

Áttekintés + Létrehozás

Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget. Ez eltarthat néhány percig.

Az üzembe helyezés befejeztével jegyezze fel a virtuális gép magánhálózati IP-címét. Ezt később használja a tűzfal konfigurálásakor. Válassza ki a virtuális gép nevét. Válassza az Áttekintés lehetőséget, és a Hálózatkezelés területen jegyezze fel a privát IP-címet.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

A tűzfal üzembe helyezése

  1. A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg a tűzfalat, majd válassza a Tűzfal lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <Az Ön előfizetése>
    Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget
    Név FW-DNAT-teszt
    Régió Válassza a korábban használt helyet
    Tűzfal termékváltozata Standard
    Tűzfalkezelés Tűzfalszabályok (klasszikus) használata a tűzfal kezeléséhez
    Válasszon egy virtuális hálózatot Meglévő használata: VN-Hub
    Nyilvános IP-cím Új, név: fw-pip.

  5. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Ez néhány percet vesz igénybe az üzembe helyezéshez.

  7. Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.

  8. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket később fogja használni az alapértelmezett útvonal és NAT-szabály létrehozásakor.

Alapértelmezett útvonal létrehozása

Az SN-Workload alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

Fontos

Nem kell explicit útvonalat konfigurálnia a tűzfalhoz a célalhálózaton. Az Azure Firewall egy állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Ha ezt az útvonalat hozza létre, egy aszimmetrikus útválasztási környezetet fog létrehozni, amely megszakítja az állapotalapú munkamenet logikáját, és elvetett csomagokat és kapcsolatokat eredményez.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg az Útvonal táblát , és jelölje ki.

  3. Válassza a Létrehozás lehetőséget.

  4. Az Előfizetés mezőben válassza ki az előfizetését.

  5. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. A Név mezőbe írja be a következőt: RT-FWroute.

  8. Válassza az Áttekintés + létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

  10. Válassza az Erőforrás megnyitása lehetőséget.

  11. Válassza az Alhálózatok lehetőséget, majd válassza a Társítás lehetőséget.

  12. Virtuális hálózat esetén válassza a VN-Küllő lehetőséget.

  13. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.

  14. Kattintson az OK gombra.

  15. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  16. Az Útvonal neve mezőbe írja be következőt: FW-DG.

  17. Céltípus esetén válassza az IP-címeket.

  18. Cél IP-címek/CIDR-tartományok esetén írja be a 0.0.0.0/0 típust.

  19. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  20. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  21. Válassza a Hozzáadás lehetőséget.

NAT-szabály konfigurálása

  1. Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az FW-DNAT-test tűzfalat.
  2. Az FW-DNAT-test lap Beállítások területén válassza a Szabályok (klasszikus) lehetőséget.
  3. Válassza a NAT-szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be a következőt: RC-DNAT-01.
  5. A Prioritás mezőbe írja be a következőt: 200.
  6. A Szabályok területen a Név mezőbe írja be a következőt: RL-01.
  7. A Protokoll beállításnál válassza a TCP lehetőséget.
  8. Forrástípus esetén válassza az IP-címet.
  9. A Forrás mezőbe írja be a *parancsot.
  10. Célcímek esetén írja be a tűzfal nyilvános IP-címét.
  11. A Célportok mezőbe írja be a következőt: 3389.
  12. A Lefordított cím mezőbe írja be az Srv-Workload virtuális gép magánhálózati IP-címét.
  13. A Lefordított port mezőben adja meg a 3389 értéket.
  14. Válassza a Hozzáadás lehetőséget.

Ez eltarthat néhány percig.

A tűzfal tesztelése

  1. Csatlakoztasson egy távoli asztalt a tűzfal nyilvános IP-címére. Ekkor az Srv-Workload virtuális gépre kell csatlakoznia.
  2. Zárja be a távoli asztalt.

Az erőforrások eltávolítása

Megtarthatja a tűzfal erőforrásait a további teszteléshez, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

A következő lépésben monitorozhatja az Azure Firewall naplóit.

Oktatóanyag: Az Azure Firewall naplóinak monitorozása