Share via

Memfilter lalu lintas Internet masuk dengan DNAT Azure Firewall menggunakan portal Microsoft Azure

  • Artikel

Anda dapat mengonfigurasi Penafsiran Alamat Jaringan Tujuan (DNAT) Azure Firewall untuk menafsirkan dan memfilter lalu lintas Internet masuk ke subnet Anda. Saat Anda mengonfigurasi DNAT, tindakan pengumpulan aturan NAT diatur ke Dnat. Kemudian, setiap aturan dalam pengumpulan aturan NAT dapat digunakan untuk menafsirkan alamat IP publik dan port firewall Anda ke alamat IP dan port privat. Aturan DNAT secara implisit tambahkan aturan jaringan yang sesuai untuk mengizinkan lalu lintas yang diterjemahkan. Untuk alasan keamanan, pendekatan yang disarankan adalah menambahkan sumber internet tertentu untuk membuka akses DNAT ke jaringan dan menghindari penggunaan wildcard. Untuk mempelajari selengkapnya tentang aturan Azure Firewall, lihat logika pemrosesan aturan Azure Firewall.

Catatan

Tutorial ini menggunakan aturan Firewall klasik untuk mengelola firewall. Metode yang dipilih adalah menggunakan Kebijakan Firewall. Untuk menyelesaikan prosedur ini menggunakan Kebijakan Firewall, lihat Tutorial: Memfilter lalu lintas Internet masuk dengan DNAT kebijakan Azure Firewall menggunakan portal Microsoft Azure

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Buat grup sumber daya

  1. Masuk ke portal Azure.
  2. Pada beranda portal Azure, pilih Grup sumber daya, lalu pilih Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup sumber daya, ketik RG-DNAT-Test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Menyiapkan lingkungan jaringan

Untuk artikel ini, Anda membuat dua VNet yang direkankan:

  • VN-Hub - firewall ada di VNet ini.
  • VN-Spoke - server beban kerja ada di VNet ini.

Pertama, buat VNet-VNet dan kemudian rekankan.

Membuat Hub VNet

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Di bawah Jaringan, pilih Jaringan virtual.

  3. Pilih Buat.

  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  5. Untuk Nama, ketik VNet-Hub.

  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Pilih Selanjutnya.

  8. Pada tab Keamanan , pilih Berikutnya.

  9. Untuk Ruang Alamat IPv4,terima default 10.0.0.0/16.

  10. Di bawah Subnet, pilih default.

  11. Untuk Templat subnet, pilih Azure Firewall.

    Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

    Catatan

    Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  12. Pilih Simpan.

  13. Pilih Tinjau + buat.

  14. Pilih Buat.

Membuat spoke VNet

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  5. Untuk Nama, ketik VN-Spoke.
  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk Ruang Alamat IPv4,edit default dan ketik 192.168.0.0/16.
  10. Di bawah Subnet, pilih default.
  11. Untuk nama subnet jenis SN-Workload.
  12. Untuk Alamat awal, ketik 192.168.1.0.
  13. Untuk Ukuran subnet, pilih /24.
  14. Pilih Simpan.
  15. Pilih Tinjau + buat.
  16. Pilih Buat.

Rekankan VNet

Sekarang rekankan kedua VNet.

  1. Pilih jaringan virtual VN-Hub.
  2. Di bawah Pengaturan, pilih Peering.
  3. Pilih Tambahkan.
  4. Di bawah Jaringan virtual ini, untuk Nama tautan perekanan,ketik Peer-HubSpoke.
  5. Di bawah Jaringan virtual jarak jauh , untuk Nama tautan perekanan,ketik Peer-SpokeHub.
  6. Pilih VN-Spoke untuk jaringan virtual.
  7. Terima semua default lainnya, lalu pilih Tambahkan.

Membuat mesin virtual

Buat komputer virtual beban kerja, dan tempatkan di subnet SN-Workload.

  1. Pada menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bagian Produk Marketplace Populer, pilih Pusat Data Windows Server 2019.

Dasar

  1. Untuk Langganan, Pilih langganan Anda.
  2. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  3. Untuk Nama mesin virtual,ketik Srv-Workload.
  4. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  5. Ketik nama pengguna dan kata sandi.
  6. Pilih Selanjutnya:Disk.

Disk

  1. Pilih Next: Networking.

Jaringan

  1. Untuk Jaringan Virtual, pilih VN-Spoke.
  2. Untuk Subnet, pilih SN-Workload.
  3. Untuk IP Publik, pilih Tidak Ada.
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Tinggalkan pengaturan default lainnya dan pilih Berikutnya: Manajemen.

Manajemen

  1. Pilih Berikutnya: Pemantauan.

Pemantauan

  1. Untuk Diagnostik boot, pilih Nonaktifkan.
  2. Pilih Tinjau + Buat.

Tinjau + Buat

Tinjau ringkasan, lalu pilih Buat. Ini memerlukan beberapa menit untuk diselesaikan.

Setelah penyebaran selesai, catatlah alamat IP pribadi untuk mesin virtual. Ini digunakan nanti ketika Anda mengonfigurasi firewall. Pilih nama komputer virtual. Pilih Gambaran Umum, dan di bawah Jaringan perhatikan alamat IP privat.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
  • Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.

VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Menyebarkan firewall

  1. Dari portal beranda, pilih Buat sumber daya.

  2. Cari Firewall, lalu pilih Firewall.

  3. Pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Pilih RG-DNAT-Test
    Nama FW-DNAT-test
    Wilayah Pilih lokasi sama yang Anda gunakan sebelumnya
    Firewall SKU Standard
    Pengelolaan firewall Gunakan aturan Firewall (klasik) untuk mengelola firewall ini
    Pilih jaringan virtual Gunakan yang ada: VN-Hub
    Alamat IP publik Tambahkan yang baru, Nama: fw-pip.

  5. Terima default lainnya lalu pilih Tinjau + buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini perlu beberapa menit untuk menyebarkan.

  7. Setelah penyebaran selesai, buka grup sumber daya RG-DNAT-Test, lalu pilih firewall FW-DNAT-test.

  8. Catatlah alamat IP privat dan publik firewall. Anda akan menggunakannya nanti saat membuat rute default dan aturan NAT.

Buat rute default

Untuk subnet SN-Workload, Anda mengonfigurasi rute default keluar untuk melewati firewall.

Penting

Anda tidak perlu mengonfigurasi rute eksplisit kembali ke firewall di subnet tujuan. Azure Firewall adalah layanan stateful dan menangani paket dan sesi secara otomatis. Jika Anda membuat rute ini, Anda akan membuat lingkungan perutean asimetris yang mengganggu logika sesi stateful dan menghasilkan paket dan koneksi yang terputus.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.

  2. Cari tabel Rute dan pilih.

  3. Pilih Buat.

  4. Untuk Langganan, Pilih langganan Anda.

  5. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  6. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Untuk Nama, ketik RT-FWroute.

  8. Pilih Tinjau + buat.

  9. Pilih Buat.

  10. Pilih Buka sumber daya.

  11. Pilih Subnet, lalu pilih Kaitkan.

  12. Untuk Jaringan Virtual, pilih VN-Spoke.

  13. Untuk Subnet, pilih SN-Workload.

  14. Pilih OK.

  15. Pilih Rute, lalu pilih Tambahkan.

  16. Untuk Nama rute,ketik FW-DG.

  17. Untuk Jenis tujuan, pilih Alamat IP.

  18. Untuk Alamat IP tujuan/rentang CIDR, ketik 0.0.0.0/0.

  19. Untuk Jenis lompatan berikutnya, pilih Appliance virtual.

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  20. Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.

  21. Pilih Tambahkan.

Mengonfigurasi aturan NAT

  1. Buka grup sumber daya RG-DNAT-Test, dan pilih firewall FW-DNAT-test.
  2. Pada halaman FW-DNAT-test, di bawah Pengaturan,pilih Aturan (klasik).
  3. Pilih Tambahkan kumpulan aturan NAT.
  4. Untuk Nama,, ketik RC-DNAT-01.
  5. Untuk Prioritas, ketik 200.
  6. Di bawah Aturan, untuk Nama, ketik RL-01.
  7. Untuk Protokol, pilih TCP.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketik *.
  10. Untuk Alamat Tujuan, ketik alamat IP publik firewall.
  11. Untuk Port Tujuan, ketik 3389.
  12. Untuk Alamat Diterjemahkan ketik alamat IP pribadi untuk mesin virtual Srv-Workload Anda.
  13. Untuk Port terjemahan, ketik 3389.
  14. Pilih Tambahkan.

Ini memerlukan beberapa menit untuk diselesaikan.

Menguji firewall

  1. Sambungkan desktop jarak jauh ke alamat IP publik firewall. Anda harus terhubung ke komputer virtual Srv-Workload.
  2. Menutup desktop jarak jauh.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk pengujian lebih lanjut, atau jika tidak lagi diperlukan, hapus grup sumber daya RG-DNAT-Test untuk menghapus semua sumber daya yang terkait firewall.

Langkah berikutnya

Selanjutnya, Anda dapat memantau log Azure Firewall.

Tutorial: Memantau log Azure Firewall