Megosztás a következőn keresztül:

Oktatóanyag: Bejövő internetes vagy intranetes forgalom szűrése az Azure Firewall policy DNAT használatával az Azure Portal használatával

  • Cikk

Konfigurálhatja az Azure Firewall-házirend célhálózati címfordítását (DNAT) az alhálózatokra irányuló bejövő internetes vagy intranetes (előzetes verziójú) forgalom fordítására és szűrésére. A DNAT konfigurálásakor a szabálygyűjteményi művelet a DNAT értékre van állítva. Ezután a NAT-szabálygyűjtemény minden szabálya használható a tűzfal nyilvános vagy privát IP-címének és portjának egy privát IP-címre és portra való fordításához. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból az ajánlott módszer egy adott forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal és szabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • DNAT-szabály konfigurálása
  • A tűzfal tesztelése

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Erőforráscsoport létrehozása

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal kezdőlapján válassza az Erőforráscsoportok, majd a Hozzáadás lehetőséget.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőbe írja be a következőt: RG-DNAT-Test.
  5. Régió esetén válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A hálózati környezet beállítása

Ebben az oktatóanyagban két társított virtuális hálózatot hozunk létre:

  • VN-Hub (központi virtuális hálózat) – ezen a virtuális hálózaton található a tűzfal.
  • VN-Spoke (küllő virtuális hálózat) – ezen a virtuális hálózaton található a számítási feladat kiszolgálója.

Először hozza létre a virtuális hálózatokat, és társítsa őket.

A központi virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  5. A Név mezőbe írja be a következőt: VN-Hub.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. Válassza a Tovább: IP-címek lehetőséget.

  8. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  9. Az Alhálózat neve területen válassza az alapértelmezett lehetőséget.

  10. Szerkessze az alhálózat nevét, és írja be az AzureFirewallSubnet nevet.

    Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

    Feljegyzés

    Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  11. Alhálózati címtartomány esetén írja be a 10.0.1.0/26-ot.

  12. Válassza a Mentés lehetőséget.

  13. Válassza az Áttekintés + létrehozás lehetőséget.

  14. Válassza a Létrehozás lehetőséget.

Küllő virtuális hálózat létrehozása

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózatkezelés területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  5. A Név mezőbe írja be a következőt: VN-Spoke.
  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  7. Válassza a Tovább: IP-címek lehetőséget.
  8. IPv4-címtartomány esetén módosítsa az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
  9. Válassza az Alhálózat hozzáadása lehetőséget.
  10. Az alhálózat neve SN-Workload típusú.
  11. Alhálózati címtartomány esetén írja be a 192.168.1.0/24-es típust.
  12. Válassza a Hozzáadás lehetőséget.
  13. Válassza az Áttekintés + létrehozás lehetőséget.
  14. Válassza a Létrehozás lehetőséget.

A virtuális hálózatok társítása

Most társítsa a két virtuális hálózatot.

  1. Válassza ki a VN-Hub virtuális hálózatot.
  2. A Beállítások területen válassza a Társviszonyok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. A virtuális hálózatban a társviszony-létesítési hivatkozás neveként írja be a Peer-HubSpoke nevet.
  5. A Távoli virtuális hálózat területen a társviszony-létesítési hivatkozás neveként írja be a Peer-SpokeHub nevet.
  6. A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
  7. Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.

Virtuális gép létrehozása

Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
  2. A Népszerű csoportban válassza a Windows Server 2016 Datacenter lehetőséget.

Alapvető beállítások

  1. Az Előfizetés mezőben válassza ki az előfizetését.
  2. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.
  3. A virtuális gép neveként írja be az Srv-Workload nevet.
  4. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Adjon meg egy felhasználónevet és jelszót.
  6. Válassza a Tovább: Lemezek lehetőséget.

Lemezek

  1. Válassza a Tovább: Hálózatkezelés lehetőséget.

Hálózat

  1. Virtuális hálózat esetén válassza a VN-Küllő lehetőséget.
  2. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
  3. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  4. Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
  5. Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

Felügyelet

  1. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget.
  2. Válassza a Felülvizsgálat és létrehozás lehetőséget.

Áttekintés + Létrehozás

Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget. Ez eltarthat néhány percig.

Az üzembe helyezés befejeztével jegyezze fel a virtuális gép magánhálózati IP-címét. Ezt később a tűzfal konfigurálása során használjuk majd. Válassza ki a virtuális gép nevét, majd a Beállítások területen válassza a Hálózatkezelés lehetőséget a magánhálózati IP-cím megkereséséhez.

A tűzfal és a szabályzat üzembe helyezése

  1. A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg a tűzfalat, majd válassza a Tűzfal lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <Az Ön előfizetése>
    Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget
    Név FW-DNAT-teszt
    Régió Válassza a korábban használt helyet
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Új hozzáadása:
    fw-dnat-pol
    a kiválasztott régió
    Válasszon egy virtuális hálózatot Meglévő használata: VN-Hub
    Nyilvános IP-cím Új, név: fw-pip.

  5. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Ez néhány percet vesz igénybe az üzembe helyezéshez.

  7. Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.

  8. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket később fogja használni az alapértelmezett útvonal és NAT-szabály létrehozásakor.

Alapértelmezett útvonal létrehozása

Az SN-Workload alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

Fontos

Nem kell explicit útvonalat konfigurálnia a tűzfalhoz a célalhálózaton. Az Azure Firewall egy állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Ha ezt az útvonalat hozza létre, egy aszimmetrikus útválasztási környezetet fog létrehozni, amely megszakítja az állapotalapú munkamenet logikáját, és elvetett csomagokat és kapcsolatokat eredményez.

  1. Az Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés csoportban válassza az Útvonaltáblák lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Az Előfizetés mezőben válassza ki az előfizetését.

  5. Erőforráscsoport esetén válassza az RG-DNAT-Test lehetőséget.

  6. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. A Név mezőbe írja be az RT-FW-route nevet.

  8. Válassza az Áttekintés + létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

  10. Válassza az Erőforrás megnyitása lehetőséget.

  11. Válassza az Alhálózatok lehetőséget, majd válassza a Társítás lehetőséget.

  12. Virtuális hálózat esetén válassza a VN-Küllő lehetőséget.

  13. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.

  14. Kattintson az OK gombra.

  15. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  16. Az Útvonalnév mezőbe írja be az fw-dg nevet.

  17. A Címelőtag mezőbe írja be a következőt: 0.0.0.0/0.

  18. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  19. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  20. Kattintson az OK gombra.

NAT-szabály konfigurálása

Ez a szabály lehetővé teszi távoli asztal csatlakoztatását az Srv-Workload virtuális géphez a tűzfalon keresztül.

  1. Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az fw-dnat-pol tűzfalszabályzatot.
  2. A Beállítások területen válassza ki a DNST-szabályokat.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be az rdp parancsot.
  5. A Prioritás mezőbe írja be a következőt: 200.
  6. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  7. A Szabályok területen írja be az rdp-nat nevet a Név mezőbe.
  8. Forrástípus esetén válassza az IP-címet.
  9. A Forrás mezőbe írja be a következőt*:
  10. A Protokoll beállításnál válassza a TCP lehetőséget.
  11. Célportok esetén írja be a 3389-es típust.
  12. Céltípus esetén válassza az IP-cím lehetőséget.
  13. A Cél mezőbe írja be a tűzfal nyilvános vagy privát IP-címét.
  14. Lefordított címként írja be a Srv-Workload privát IP-címét.
  15. A Lefordított port mezőben adja meg a 3389 értéket.
  16. Válassza a Hozzáadás lehetőséget.

A tűzfal tesztelése

  1. Csatlakoztasson egy távoli asztalt a tűzfal nyilvános IP-címére. Ekkor az Srv-Workload virtuális gépre kell csatlakoznia.
  2. Zárja be a távoli asztalt.

Az erőforrások eltávolítása

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések

Az Azure Firewall Premium üzembe helyezése és konfigurálása