Oktatóanyag: Az Azure Firewall privát IP DNAT-jának üzembe helyezése átfedésben lévő és nem átirányítható hálózatokhoz

Az Azure Firewall privát IP-címfordítás (Célhálózati címfordítás) lehetővé teszi a bejövő forgalom lefordítását és szűrését a tűzfal privát IP-címével a nyilvános IP-cím helyett. Ez a képesség olyan helyzetekben hasznos, amelyek átfedésben lévő hálózatokat vagy nem irányítható hálózati hozzáférést foglalnak magukban, ha a hagyományos nyilvános IP-cím nem megfelelő.

A privát IP-DNST két fő forgatókönyvet kezel:

  • Átfedésben lévő hálózatok: Ha több hálózat azonos IP-címtérrel rendelkezik
  • Nem irányítható hálózatok: Ha közvetlenül nem elérhető hálózatokon keresztül kell hozzáférnie az erőforrásokhoz

Ebben az oktatóanyagban a következőket sajátíthatja el:

  • A privát IP DNAT-használati esetek ismertetése
  • Az Azure Firewall üzembe helyezése privát IP DNAT-képességgel
  • DNST-szabályok konfigurálása átfedésben lévő hálózati forgatókönyvekhez
  • DNAT-szabályok konfigurálása nem útvonalazható hálózati hozzáféréshez
  • Privát IP DNAT-funkciók tesztelése
  • Forgalom- és szabályfeldolgozás ellenőrzése

Előfeltételek

Fontos

A privát IP DNAT csak az Azure Firewall Standard és a Prémium termékváltozatokban érhető el. Az alapszintű termékváltozat nem támogatja ezt a funkciót.

Forgatókönyv áttekintése

Ez az oktatóanyag két gyakori privát IP-DNST-forgatókönyvet mutat be:

1. forgatókönyv: Átfedésben lévő hálózatok

Több olyan virtuális hálózattal rendelkezik, amelyek ugyanazt az IP-címteret használják (például 10.0.0.0/16), és IP-ütközések nélkül kell hozzáférniük ezen hálózatok erőforrásaihoz.

2. forgatókönyv: Nem irányítható hálózati hozzáférés

Olyan hálózatokban kell hozzáférést biztosítania az erőforrásokhoz, amelyek nem közvetlenül a forrásból származnak, például a helyszíni erőforrásokhoz való hozzáférést az Azure Firewallon keresztül.

A környezet telepítése

A megadott ARM-sablonnal hozza létre a tesztkörnyezetet az összes szükséges összetevővel.

Az üzembehelyezési sablon letöltése

  1. Töltse le az ARM-sablont az Azure Network Security GitHub-adattárból.

  2. Mentse a PrivateIpDnatArmTemplateV2.json fájlt a helyi gépre.

Üzembe helyezés az Azure Portal használatával

  1. Jelentkezzen be a Azure portalra.

  2. Válassza Erőforrás létrehozása>Sablon üzembe helyezése (egyéni sablonok használatával történő üzembe helyezés) lehetőséget.

  3. Válassza a Saját sablon készítése a szerkesztőben lehetőséget.

  4. Törölje a meglévő tartalmat, és illessze be a letöltött ARM-sablon tartalmát.

  5. Válassza az Mentésgombot.

  6. Adja meg az alábbi információkat:

    • Előfizetés: Az Azure-előfizetés kiválasztása
    • Erőforráscsoport: Új erőforráscsoport létrehozása vagy meglévő kijelölése
    • Régió: Válassza ki az előnyben részesített Azure-régiót
    • Hely: Ez a paraméter automatikusan fel van töltve a kiválasztott régió alapján

  7. Tekintse át a sablon paramétereit, és szükség szerint módosítsa.

  8. Válassza a Véleményezés + létrehozás, majd a Létrehozás lehetőséget a sablon üzembe helyezéséhez.

Az üzembe helyezés a következő erőforrásokat hozza létre:

  • Virtuális hálózatok átfedett és nem irányítható forgatókönyvekhez
  • Azure Firewall privát IP DNAT-konfigurációval
  • Virtuális gépek a kapcsolat teszteléséhez
  • Hálózati biztonsági csoportok és útvonaltáblák
  • Minden szükséges hálózati összetevő

Megjegyzés:

Az ARM-sablon előre konfigurált DNST-szabályokat tartalmaz mindkét forgatókönyv teszteléséhez. Ezeket a szabályokat az üzembe helyezés után is megvizsgálhatja, vagy szükség szerint módosíthatja őket az adott követelményeknek megfelelően.

Privát IP-DNST-szabályok ellenőrzése

Az üzembe helyezés befejezése után ellenőrizze, hogy a DNST-szabályok helyesen lettek-e létrehozva mindkét forgatókönyv esetében.

Átfedésben lévő hálózatok szabályainak ellenőrzése

  1. Az Azure Portalon keresse meg az Azure Firewall-erőforrást (azfw-hub-vnet-1).

  2. A Beállítások területen válassza a Tűzfalszabályzat lehetőséget.

  3. Válassza ki a tűzfalszabályzatot (fp-azfw-hub-vnet-1).

  4. A Beállítások területen válassza a Szabálycsoportcsoportokat.

  5. Válassza ki DefaultDnatRuleCollectionGroup az előre konfigurált szabályok megtekintéséhez.

A következő DNAT-szabályokat kell látnia:

  • ToVM2-Http: Átkapcsol 10.10.0.4:80 a → 10.10.2.4:80 (hozzáférés a hub-vnet-2 tűzfalhoz a spoke-vnet-1-ből)
  • ToVM2-Rdp: Lefordítja a 10.10.0.4:5338810.10.2.4:3389 (RDP-hozzáférés)
  • ToVM3-Http: Átirányítja a 10.10.0.4:8080172.16.0.4:80 (elérhető a branch-vnet-1 a spoke-vnet-1-ből)
  • ToVM3-Rdp: Lefordítja 10.10.0.4:53389 a → 172.16.0.4:3389 (RDP-hozzáférés)

Nemroutable-hálózatok szabályainak ellenőrzése

  1. Lépjen a második Azure Firewall-erőforrásra (azfw-hub-vnet-2).

  2. A Beállítások területen válassza a Tűzfalszabályzat lehetőséget.

  3. Válassza ki a tűzfalszabályzatot (fp-azfw-hub-vnet-2).

  4. A Beállítások területen válassza a Szabálycsoportcsoportokat.

  5. Válassza ki DefaultDnatRuleCollectionGroup a második forgatókönyv szabályainak megtekintéséhez.

A következő DNAT-szabályokat kell látnia:

  • ToVM2-Http: Irányítja 10.10.2.4:80192.168.0.4:80 (spoke-vnet-2 elérése a hub-vnet-1 tűzfal alhálózatán keresztül)
  • ToVM2-Rdp: Fordítja 10.10.2.4:3389192.168.0.4:3389 (RDP-hozzáférés a csatolt vnet-2-höz)

Ezek a szabályok azt az átfedésben lévő hálózati forgatókönyvet mutatják be, amelyben mindkét küllős hálózat ugyanazt az IP-helyet használja (192.168.0.0/24).

Virtuális gépek beállítása

A megadott PowerShell-szkriptek futtatásával fejezze be a virtuálisgép-konfigurációt.

Virtuális gép konfigurálása az 1. forgatókönyvben (átfedésben lévő hálózat)

  1. Csatlakozzon a virtuális géphez win-vm-2 az Azure Bastion vagy az RDP használatával.

  2. Nyissa meg a PowerShellt rendszergazdaként.

  3. Töltse le és futtassa a konfigurációs szkriptet:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

Virtuális gép konfigurálása a 2. forgatókönyvben (nem átirányítható hálózat)

  1. Csatlakozzon a virtuális géphez win-vm-3 az Azure Bastion vagy az RDP használatával.

  2. Nyissa meg a PowerShellt rendszergazdaként.

  3. Töltse le és futtassa a konfigurációs szkriptet:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

Privát IP DNAT-funkciók tesztelése

Ellenőrizze, hogy a privát IP-DNST-konfiguráció mindkét esetben megfelelően működik-e.

Átfedésben lévő hálózati forgatókönyv tesztelése

  1. A forráshálózat egyik ügyfélszámítógépéről próbáljon meg csatlakozni az Azure Firewall privát IP-címéhez a konfigurált port használatával.

  2. Ellenőrizze, hogy a kapcsolat sikeresen le van-e fordítva a cél virtuális gépre az átfedésben lévő hálózaton.

  3. Ellenőrizze az Azure Firewall naplóit a szabálysértések megerősítéséhez és a sikeres fordításhoz.

Nemroutable hálózati forgatókönyv tesztelése

  1. A megfelelő forráshálózatról csatlakozzon az Azure Firewall privát IP-címéhez.

  2. Ellenőrizze, hogy a tűzfalon keresztül fér-e hozzá a nem átirányítható hálózat erőforrásaihoz.

  3. A szabály megfelelő feldolgozásának és forgalmának biztosítása érdekében figyelje a tűzfalnaplókat.

Monitorozás és hibaelhárítás

A privát IP DNAT teljesítményének monitorozásához használja az Azure Firewall diagnosztikai naplóit és metrikáit.

Diagnosztikai naplózás engedélyezése

  1. Az Azure Portalon keresse meg az Azure Firewall-erőforrást.

  2. Válassza a Diagnosztikai beállítások+>Diagnosztikai beállítás hozzáadása lehetőséget.

  3. Naplózás konfigurálása a következőhöz:

    • Az Azure Firewall alkalmazásszabályának naplója
    • Az Azure Firewall hálózati szabálynaplója
    • Azure Firewall NAT-szabálynaplója

  4. Válassza ki a kívánt célhelyet (Log Analytics-munkaterület, Tárfiók vagy Event Hubs).

A figyelendő főbb metrikák

Az optimális teljesítmény biztosítása érdekében figyelje az alábbi metrikákat:

  • Feldolgozott adatok: A tűzfal által feldolgozott adatok teljes mennyisége
  • Hálózati szabály találatainak száma: Az egyeztetett hálózati szabályok száma
  • NAT-szabály találatainak száma: Az egyeztetett DNST-szabályok száma
  • Átviteli sebesség: Tűzfal átviteli sebességének teljesítménye

Ajánlott eljárások

Kövesse az alábbi ajánlott eljárásokat a privát IP DNAT implementálásakor:

  • Szabályrendezés: A helyes feldolgozási sorrend biztosítása érdekében helyezzen el pontosabb szabályokat alacsonyabb prioritási számokkal
  • Forrás specifikációja: Helyettesítő karakterek helyett használjon adott forrás IP-tartományokat a jobb biztonság érdekében
  • Hálózatszegmentálás: Az átfedésben lévő hálózatok elkülönítéséhez valósítsa meg a megfelelő hálózati szegmentálást
  • Monitorozás: A teljesítményproblémák azonosítása érdekében rendszeresen monitorozza a tűzfalnaplókat és a metrikákat
  • Tesztelés: Az éles környezetbeli megbízhatóság érdekében alaposan tesztelje az összes DNAT-szabályt a bevezetés előtt.

Erőforrások tisztítása

Ha már nincs szüksége a tesztkörnyezetre, törölje az erőforráscsoportot az oktatóanyagban létrehozott összes erőforrás eltávolításához.

  1. Az Azure Portalon keresse meg az erőforráscsoportot.

  2. Válassza az Erőforráscsoport törlése lehetőséget.

  3. Írja be az erőforráscsoport nevét a törlés megerősítéséhez.

  4. Az összes erőforrás eltávolításához válassza a Törlés lehetőséget.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan deployzolhatja és konfigurálja az Azure Firewall privát IP DNAT-ját átfedő és nem irányítható hálózati esetekben. Üzembe helyezte a tesztkörnyezetet, konfigurálta a DNST-szabályokat és az ellenőrzött funkciókat.

További információ az Azure Firewall DNST-képességeiről:

  • Last updated on