Oktatóanyag: Bejövő internetes forgalom szűrése Azure Firewall szabályzat DNST használatával a Azure Portal

  • Cikk

Konfigurálhatja Azure Firewall házirend célhálózati címfordítását (DNAT) az alhálózatokra irányuló bejövő internetes forgalom lefordításához és szűréséhez. A DNST konfigurálásakor a szabálygyűjtési műveletDNAT értékre van állítva. A NAT-szabálygyűjteményben található minden szabály használható a tűzfal nyilvános IP-címének és portjának privát IP-címre és portra való lefordításához. A DNAT-szabályok implicit módon hozzáadnak egy kapcsolódó hálózati szabályt a lefordított adatforgalom engedélyezéséhez. Biztonsági okokból az ajánlott módszer egy adott internetes forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez. Az Azure Firewall szabályfeldolgozási logikájával kapcsolatos további információkért tekintse meg az Azure Firewall szabályfeldolgozási logikájával kapcsolatos cikket.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal és szabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • DNAT-szabály konfigurálása
  • A tűzfal tesztelése

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Hozzon létre egy erőforráscsoportot

  1. Jelentkezzen be az Azure Portalra.
  2. A Azure Portal kezdőlapon válassza az Erőforráscsoportok, majd a Hozzáadás lehetőséget.
  3. Az Előfizetés beállításnál válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőbe írja be a következőt: RG-DNAT-Test.
  5. A Régió mezőben válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A hálózati környezet beállítása

Ebben az oktatóanyagban két társított virtuális hálózatot hozunk létre:

  • VN-Hub (központi virtuális hálózat) – ezen a virtuális hálózaton található a tűzfal.
  • VN-Spoke (küllő virtuális hálózat) – ezen a virtuális hálózaton található a számítási feladat kiszolgálója.

Először hozza létre a virtuális hálózatokat, és társítsa őket.

A központi virtuális hálózat létrehozása

  1. A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózat területen válassza a Virtuális hálózatok lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.

  5. A Név mezőbe írja be a következőt: VN-Hub.

  6. A Region (Régió) mezőben válassza ki azt a régiót, amelyet korábban használt.

  7. Válassza a Tovább: IP-címek lehetőséget.

  8. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  9. Az Alhálózat neve területen válassza az alapértelmezett lehetőséget.

  10. Szerkessze az alhálózat nevét , és írja be az AzureFirewallSubnet nevet.

    Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

    Megjegyzés

    Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért lásd Azure Firewall gyakori kérdéseket.

  11. Az Alhálózat címtartománya mezőbe írja be a 10.0.1.0/26 értéket.

  12. Kattintson a Mentés gombra.

  13. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  14. Válassza a Létrehozás lehetőséget.

Küllő virtuális hálózat létrehozása

  1. A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.
  2. A Hálózat területen válassza a Virtuális hálózatok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
  5. A Név mezőbe írja be a következőt: VN-Spoke.
  6. A Region (Régió) mezőben válassza ki azt a régiót, amelyet korábban használt.
  7. Válassza a Tovább: IP-címek lehetőséget.
  8. IPv4-címtartomány esetén szerkessze az alapértelmezett értéket, és írja be a 192.168.0.0/16 értéket.
  9. Válassza az Alhálózat hozzáadása lehetőséget.
  10. Az Alhálózat neve típushoz írja be az SN-Workload nevet.
  11. Az Alhálózat címtartománya mezőbe írja be a 192.168.1.0/24 értéket.
  12. Válassza a Hozzáadás lehetőséget.
  13. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  14. Válassza a Létrehozás lehetőséget.

A virtuális hálózatok társítása

Most társítsa a két virtuális hálózatot.

  1. Válassza ki a VN-Hub virtuális hálózatot.
  2. A Beállítások területen válassza a Társviszonyok lehetőséget.
  3. Válassza a Hozzáadás lehetőséget.
  4. Az Ez a virtuális hálózat mezőbe írja be a Társviszony-létesítési hivatkozás nevét: Peer-HubSpoke.
  5. A Távoli virtuális hálózat területen a Társviszony-létesítési hivatkozás neve mezőbe írja be a Peer-SpokeHub kifejezést.
  6. A virtuális hálózatnál válassza a VN-Spoke lehetőséget.
  7. Fogadja el az összes többi alapértelmezett beállítást, majd válassza a Hozzáadás lehetőséget.

Virtuális gép létrehozása

Hozzon létre egy virtuális gépet a számítási feladat futtatásához, és helyezze el az SN-Workload alhálózaton.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.
  2. A Népszerű területen válassza a Windows Server 2016 Adatközpont elemet.

Alapvető beállítások

  1. Az Előfizetés beállításnál válassza ki az előfizetését.
  2. Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.
  3. A Virtuális gép neve mezőbe írja be az Srv-Workload nevet.
  4. A Region (Régió) mezőben válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Adjon meg egy felhasználónevet és jelszót.
  6. Válassza a Tovább: Lemezek lehetőséget.

Lemezek

  1. Válassza a Tovább: Hálózatkezelés lehetőséget.

Hálózat

  1. A Virtuális hálózat területen válassza a VN-Spoke lehetőséget.
  2. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.
  3. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
  4. Nyilvános bejövő portok esetén válassza a Nincs lehetőséget.
  5. Hagyja meg a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

Felügyelet

  1. A Rendszerindítási diagnosztika beállításnál válassza a Letiltás lehetőséget.
  2. Válassza a Felülvizsgálat és létrehozás lehetőséget.

Áttekintés + Létrehozás

Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget. Ez eltarthat néhány percig.

Az üzembe helyezés befejeztével jegyezze fel a virtuális gép magánhálózati IP-címét. Ezt később a tűzfal konfigurálása során használjuk majd. Válassza ki a virtuális gép nevét, majd a Beállítások területen válassza a Hálózat lehetőséget a magánhálózati IP-cím megkereséséhez.

A tűzfal és a szabályzat üzembe helyezése

  1. A portál kezdőlapján válassza az Erőforrás létrehozása lehetőséget.

  2. Keresse meg a Tűzfal elemet, majd válassza a Tűzfal lehetőséget.

  3. Válassza a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <az Ön előfizetése>
    Erőforráscsoport Válassza az RG-DNAT-Test lehetőséget
    Name FW-DNAT-test
    Region Válassza a korábban használt helyet
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Új hozzáadása:
    fw-dnat-pol
    a kiválasztott régió
    Válasszon egy virtuális hálózatot Meglévő használata: VN-Hub
    Nyilvános IP-cím Új hozzáadása, Név: fw-pip.

  5. Fogadja el a többi alapértelmezett beállítást, majd válassza az Áttekintés + létrehozás lehetőséget.

  6. Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Ez néhány percet vesz igénybe az üzembe helyezéshez.

  7. Az üzembe helyezés befejezése után lépjen az RG-DNAT-Test erőforráscsoportra, és válassza ki az FW-DNAT-test tűzfalat.

  8. Jegyezze fel a tűzfal privát és nyilvános IP-címét. Ezeket később fogja használni, amikor létrehozza az alapértelmezett útvonalat és a NAT-szabályt.

Alapértelmezett útvonal létrehozása

Az SN-Workload alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

Fontos

Nem kell explicit útvonalat konfigurálnia a tűzfalhoz a célalhálózaton. Azure Firewall állapotalapú szolgáltatás, amely automatikusan kezeli a csomagokat és a munkameneteket. Ha létrehozza ezt az útvonalat, létre fog hozni egy aszimmetrikus útválasztási környezetet, amely megszakítja az állapotalapú munkamenet logikáját, és elvetett csomagokat és kapcsolatokat eredményez.

  1. A Azure Portal kezdőlapján válassza a Minden szolgáltatás lehetőséget.

  2. A Hálózatkezelés területen válassza az Útvonaltáblák lehetőséget.

  3. Válassza a Hozzáadás lehetőséget.

  4. Az Előfizetés beállításnál válassza ki az előfizetését.

  5. Az Erőforráscsoport területen válassza az RG-DNAT-Test elemet.

  6. A Régió mezőben válassza ki ugyanazt a régiót, amelyet korábban használt.

  7. A Név mezőbe írja be az RT-FW-route nevet.

  8. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

  10. Válassza az Erőforrás megnyitása lehetőséget.

  11. Válassza az Alhálózatok, majd a Társítás lehetőséget.

  12. A Virtuális hálózat beállításnál válassza a VN-Spoke lehetőséget.

  13. Az Alhálózat mezőnél válassza az SN-Workload lehetőséget.

  14. Válassza az OK lehetőséget.

  15. Válassza az Útvonalak, majd a Hozzáadás lehetőséget.

  16. Az Útvonal neve mezőbe írja be az fw-dg nevet.

  17. A Címelőtag mezőbe írja be a következőt: 0.0.0.0/0.

  18. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  19. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  20. Válassza az OK lehetőséget.

NAT-szabály konfigurálása

Ez a szabály lehetővé teszi távoli asztal csatlakoztatását a Srv-Workload virtuális géphez a tűzfalon keresztül.

  1. Nyissa meg az RG-DNAT-Test erőforráscsoportot, és válassza ki az fw-dnat-pol tűzfalszabályzatot .
  2. A Beállítások területen válassza a DNAT-szabályok lehetőséget.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be az rdp nevet.
  5. A Prioritás mezőbe írja be a következőt: 200.
  6. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  7. A Szabályok területen a Név mezőbe írja be az rdp-nat nevet.
  8. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  9. A Forrás mezőbe írja be a következőt *: .
  10. A Protokoll beállításnál válassza a TCP lehetőséget.
  11. A Célportok mezőbe írja be a 3389 értéket.
  12. A Céltípus mezőben válassza az IP-cím lehetőséget.
  13. A Cél mezőbe írja be a tűzfal nyilvános IP-címét.
  14. A Lefordított cím mezőbe írja be az Srv-Workload magánhálózati IP-címét.
  15. A Lefordított port mezőben adja meg a 3389 értéket.
  16. Válassza a Hozzáadás lehetőséget.

A tűzfal tesztelése

  1. Csatlakoztasson egy távoli asztalt a tűzfal nyilvános IP-címére. Ekkor az Srv-Workload virtuális gépre kell csatlakoznia.
  2. Zárja be a távoli asztalt.

Az erőforrások eltávolítása

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje az RG-DNAT-Test erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések

Azure Firewall Premium üzembe helyezése és konfigurálása