Oktatóanyag: Bejövő internetes forgalom szűrése Azure Firewall szabályzat DNST használatával a Azure Portal
Konfigurálhatja Azure Firewall házirend célhálózati címfordítását (DNAT) az alhálózatokra irányuló bejövő internetes forgalom lefordításához és szűréséhez. A DNST konfigurálásakor a szabálygyűjtési műveletDNAT értékre van állítva. A NAT-szabálygyűjteményben található minden szabály használható a tűzfal nyilvános IP-címének és portjának privát IP-címre és portra való lefordításához. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból az ajánlott módszer egy adott internetes forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.
Eben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Tesztelési hálózati környezet beállítása
- Tűzfal és szabályzat üzembe helyezése
- Alapértelmezett útvonal létrehozása
- DNAT-szabály konfigurálása
- A tűzfal tesztelése
Előfeltételek
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Hozzon létre egy erőforráscsoportot
- Jelentkezzen be az Azure Portalra.
- A Azure Portal kezdőlapon válassza az Erőforráscsoportok, majd a Hozzáadás lehetőséget.
- Az Előfizetés beállításnál válassza ki az előfizetését.
- Az Erőforráscsoport neve mezőbe írja be a következőt: RG-DNAT-Test.
- A Régió mezőben válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Válassza a Létrehozás lehetőséget.
A hálózati környezet beállítása
Ebben az oktatóanyagban két társított virtuális hálózatot hozunk létre:
- VN-Hub (központi virtuális hálózat) – ezen a virtuális hálózaton található a tűzfal.
- VN-Spoke (küllő virtuális hálózat) – ezen a virtuális hálózaton található a számítási feladat kiszolgálója.
Először hozza létre a virtuális hálózatokat, és társítsa őket.
A központi virtuális hálózat létrehozása
A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
A Hálózat területen válassza a Virtuális hálózatok lehetőséget.
Válassza a Hozzáadás lehetőséget.
Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
A Név mezőbe írja be a következőt: VN-Hub.
A Region (Régió) mezőben válassza ki azt a régiót, amelyet korábban használt.
Válassza a Tovább: IP-címek lehetőséget.
IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.
Az Alhálózat neve területen válassza az alapértelmezett lehetőséget.
Szerkessze az alhálózat nevét , és írja be az AzureFirewallSubnet nevet.
Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.
Megjegyzés
Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért lásd Azure Firewall gyakori kérdéseket.
Az Alhálózat címtartománya mezőbe írja be a 10.0.1.0/26 értéket.
Kattintson a Mentés gombra.
Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Küllő virtuális hálózat létrehozása
- A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
- A Hálózat területen válassza a Virtuális hálózatok lehetőséget.
- Válassza a Hozzáadás lehetőséget.
- Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
- A Név mezőbe írja be a következőt: VN-Spoke.
- A Region (Régió) mezőben válassza ki azt a régiót, amelyet korábban használt.
- Válassza a Tovább: IP-címek lehetőséget.
- IPv4-címtartomány esetén szerkessze az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
- Válassza az Alhálózat hozzáadása lehetőséget.
- Az Alhálózat neve típushoz írja be az SN-Workload nevet.
- Az Alhálózat címtartománya mezőbe írja be a 192.168.1.0/24 értéket.
- Válassza a Hozzáadás lehetőséget.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Válassza a Létrehozás lehetőséget.
A virtuális hálózatok társítása
Most társítsa a két virtuális hálózatot.
- Válassza ki a VN-Hub virtuális hálózatot.
- A Beállítások területen válassza a Társviszonyok lehetőséget.
- Válassza a Hozzáadás lehetőséget.
- Az Ez a virtuális hálózat mezőbe írja be a Társviszony-létesítési hivatkozás nevét: Peer-HubSpoke.
- A Távoli virtuális hálózat területen a Társviszony-létesítési hivatkozás neve mezőbe írja be a Peer-SpokeHub kifejezést.
- A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
- Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.
Virtuális gép létrehozása
Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.
- Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
- A Népszerű területen válassza a Windows Server 2016 Adatközpont elemet.
Alapvető beállítások
- Az Előfizetés beállításnál válassza ki az előfizetését.
- Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
- A Virtuális gép neve mezőbe írja be az Srv-Workload nevet.
- A Region (Régió) mezőben válassza ki ugyanazt a helyet, amelyet korábban használt.
- Adjon meg egy felhasználónevet és jelszót.
- Válassza a Tovább: Lemezek lehetőséget.
Lemezek
- Válassza a Tovább: Hálózatkezelés lehetőséget.
Hálózat
- A Virtuális hálózat területen válassza a VN-Spoke lehetőséget.
- Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
- Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
- Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
- Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.
Felügyelet
- A Rendszerindítási diagnosztika beállításnál válassza a Letiltás lehetőséget.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
Áttekintés + Létrehozás
Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget. Ez eltarthat néhány percig.
Az üzembe helyezés befejeztével jegyezze fel a virtuális gép magánhálózati IP-címét. Ezt később a tűzfal konfigurálása során használjuk majd. Válassza ki a virtuális gép nevét, majd a Beállítások területen válassza a Hálózat lehetőséget a magánhálózati IP-cím megkereséséhez.
A tűzfal és a szabályzat üzembe helyezése
A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
Keresse meg a Tűzfal elemet, majd válassza a Tűzfal lehetőséget.
Válassza a Létrehozás lehetőséget.
A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:
Beállítás Érték Előfizetés <az Ön előfizetése> Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget Name FW-DNAT-test Region Válassza a korábban használt helyet Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez Tűzfalszabályzat Új hozzáadása:
fw-dnat-pol
a kiválasztott régióVálasszon egy virtuális hálózatot Meglévő használata: VN-Hub Nyilvános IP-cím Új hozzáadása, Név: fw-pip. Fogadja el a többi alapértelmezett beállítást, majd válassza az Áttekintés + létrehozás lehetőséget.
Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.
Ez néhány percet vesz igénybe az üzembe helyezéshez.
Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.
Jegyezze fel a tűzfal privát és nyilvános IP-címét. Ezeket később fogja használni, amikor létrehozza az alapértelmezett útvonalat és a NAT-szabályt.
Alapértelmezett útvonal létrehozása
Az SN-Workload alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.
Fontos
Nem kell explicit útvonalat konfigurálnia a tűzfalhoz a célalhálózaton. Azure Firewall állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Ha létrehozza ezt az útvonalat, létre fog hozni egy aszimmetrikus útválasztási környezetet, amely megszakítja az állapotalapú munkamenet logikáját, és elvetett csomagokat és kapcsolatokat eredményez.
A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
A Hálózatkezelés területen válassza az Útvonaltáblák lehetőséget.
Válassza a Hozzáadás lehetőséget.
Az Előfizetés beállításnál válassza ki az előfizetését.
Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
A Régió mezőben válassza ki ugyanazt a régiót, amelyet korábban használt.
A Név mezőbe írja be az RT-FW-route nevet.
Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Válassza az Erőforrás megnyitása lehetőséget.
Válassza az Alhálózatok, majd a Társítás lehetőséget.
A Virtuális hálózat beállításnál válassza a VN-Spoke lehetőséget.
Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
Válassza az OK lehetőséget.
Válassza az Útvonalak, majd a Hozzáadás lehetőséget.
Az Útvonal neve mezőbe írja be az fw-dg nevet.
A Címelőtag mezőbe írja be a következőt: 0.0.0.0/0.
A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.
Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.
A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.
Válassza az OK lehetőséget.
NAT-szabály konfigurálása
Ez a szabály lehetővé teszi távoli asztal csatlakoztatását a Srv-Workload virtuális géphez a tűzfalon keresztül.
- Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az fw-dnat-pol tűzfalszabályzatot .
- A Beállítások területen válassza a DNAT-szabályok lehetőséget.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be az rdp nevet.
- A Prioritás mezőbe írja be a következőt: 200.
- A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
- A Szabályok területen a Név mezőbe írja be az rdp-nat nevet.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a következőt *: .
- A Protokoll beállításnál válassza a TCP lehetőséget.
- A Célportok mezőbe írja be a 3389 értéket.
- A Céltípus mezőben válassza az IP-cím lehetőséget.
- A Cél mezőbe írja be a tűzfal nyilvános IP-címét.
- A Lefordított cím mezőbe írja be az Srv-Workload magánhálózati IP-címét.
- A Lefordított port mezőben adja meg a 3389 értéket.
- Válassza a Hozzáadás lehetőséget.
A tűzfal tesztelése
- Csatlakoztasson egy távoli asztalt a tűzfal nyilvános IP-címére. Ekkor az Srv-Workload virtuális gépre kell csatlakoznia.
- Zárja be a távoli asztalt.
Az erőforrások eltávolítása
A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.