Tutorial: Memfilter lalu lintas Internet masuk dengan kebijakan DNAT Azure Firewall menggunakan portal Azure

Anda dapat mengonfigurasi Kebijakan Azure Firewall Destination Network Address Translation (DNAT) untuk menerjemahkan dan memfilter lalu lintas internet masuk ke subnet Anda. Saat Anda mengonfigurasi DNAT, tindakan pengumpulan aturan diatur ke DNAT. Setiap aturan dalam kumpulan aturan NAT kemudian dapat digunakan untuk menerjemahkan alamat IP publik firewall dan port Anda ke alamat IP dan port privat. Aturan DNAT secara implisit menambahkan aturan jaringan yang berkaitan, untuk mengizinkan lalu lintas yang diterjemahkan. Untuk alasan keamanan, pendekatan yang direkomendasikan adalah menambahkan sumber tertentu untuk memungkinkan akses DNAT ke jaringan dan menghindari penggunaan kartubebas. Untuk mempelajari selengkapnya tentang aturan Azure Firewall, lihat logika pemrosesan aturan Azure Firewall.

Tutorial ini menunjukkan penerbitan server web menggunakan DNAT.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Menyebarkan firewall dan kebijakan keamanan
  • Buat rute default
  • Menyebarkan dan mengonfigurasi server web
  • Mengonfigurasi aturan DNAT untuk menerbitkan server web
  • Uji firewall

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Buat grup sumber daya

  1. Masuk ke portal Azure.
  2. Pada beranda portal Microsoft Azure, pilih Grup sumber daya, lalu pilih Tambahkan.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Nama grup sumber daya, ketik RG-DNAT-Test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Periksa dan Buat.
  7. Pilih Buat.

Menyiapkan lingkungan jaringan

Untuk tutorial ini, Anda membuat dua VNet yang terhubung.

  • VN-Hub - firewall ada di VNet ini.
  • VN-Spoke - server beban kerja ada di VNet ini.

Pertama, buat VNets dan lalu hubungkan.

Membuat Hub VNet

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Di bawah Jaringan, pilih Jaringan virtual.

  3. Pilih Tambahkan.

  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  5. Untuk Nama, ketik VNet-Hub.

  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Pilih Selanjutnya: Alamat IP.

  8. Untuk Ruang Alamat IPv4, terima default 10.0.0.0/16.

  9. Di Nama subnet, pilih default.

  10. Edit Nama subnet dan ketik AzureFirewallSubnet.

    Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

    Catatan

    Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  11. Untuk Rentang alamat subnet, ketik 10.0.1.0/26.

  12. Pilih Simpan.

  13. Pilih Periksa dan Buat.

  14. Pilih Buat.

Membuat jaringan VNet spoke

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Tambahkan.
  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  5. Untuk Nama, ketik VN-Spoke.
  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya: Alamat IP.
  8. Untuk Ruang Alamat IPv4,edit default dan ketik 192.168.0.0/16.
  9. Pilih Tambahkan Subnet.
  10. Untuk Nama subnet, ketik SN-Workload.
  11. Untuk Rentang alamat subnet, ketik 192.168.1.0/24.
  12. Pilih Tambahkan.
  13. Pilih Periksa dan Buat.
  14. Pilih Buat.

Hubungkan antar VNet

Sekarang hubungkan kedua VNet.

  1. Pilih jaringan virtual VN-Hub.
  2. Di bawah Pengaturan, pilih Peerings.
  3. Pilih Tambahkan.
  4. Di bawah Jaringan virtual ini, untuk Nama tautan perekanan, ketik Peer-HubSpoke.
  5. Di bawah Jaringan virtual jarak jauh , untuk Nama tautan perekanan,ketik Peer-SpokeHub.
  6. Pilih VN-Spoke untuk jaringan virtual.
  7. Terima semua default lainnya, lalu pilih Tambahkan.

Membuat mesin virtual

Buat komputer virtual beban kerja, dan tempatkan di subnet SN-Workload.

  1. Pada menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bawah Populer, pilih Ubuntu Server 22.04 LTS.

Dasar

  1. Untuk Langganan, Pilih langganan Anda.
  2. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  3. Untuk Nama mesin virtual,ketik Srv-Workload.
  4. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  5. Untuk Gambar, pilih Ubuntu Server 22.04 LTS - x64 Gen2.
  6. Untuk Ukuran, pilih Standard_B2s.
  7. Untuk Jenis autentikasi, pilih kunci umum SSH.
  8. Untuk Nama Pengguna, ketik azureuser.
  9. Untuk sumber kunci publik SSH, pilih Hasilkan pasangan kunci baru.
  10. Untuk Nama pasangan kunci, ketik Srv-Workload_key.
  11. Pilih Tidak Ada di Port masuk publik.
  12. Pilih Selanjutnya:Disk.

Disk

  • Pilih Next: Networking.

Jaringan

  1. Untuk Jaringan Virtual, pilih VN-Spoke.
  2. Untuk Subnet, pilih SN-Workload.
  3. Untuk IP Publik, pilih Tidak Ada.
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Tinggalkan pengaturan default lainnya dan pilih Berikutnya: Manajemen.

Manajemen

  • Pilih Berikutnya: Pemantauan.

Monitoring

  1. Untuk Diagnostik boot, pilih Nonaktifkan.
  2. Pilih Tinjau + Buat.

Tinjau + Buat

Tinjau ringkasan, lalu pilih Buat.

  • Pada dialog Buat pasangan kunci baru , pilih Unduh kunci privat dan buat sumber daya. Simpan file kunci sebagai Srv-Workload_key.pem.

Setelah penyebaran selesai, catatlah alamat IP pribadi untuk mesin virtual. Ini akan digunakan nanti ketika Anda mengonfigurasi firewall. Pilih nama komputer virtual, dan di bawahPengaturan, pilih Jaringan untuk menemukan alamat IP pribadi.

Memasang server web

Gunakan fitur Jalankan Perintah portal Microsoft Azure untuk menginstal server web di komputer virtual.

  1. Navigasikan ke komputer virtual Srv-Workload di portal Microsoft Azure.

  2. Di bawah Operasi, pilih Jalankan perintah.

  3. Pilih RunShellScript.

  4. Di jendela Jalankan Skrip Perintah , tempelkan skrip berikut ini:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Pilih Jalankan.

  6. Tunggu hingga skrip selesai. Output harus menunjukkan penginstalan Nginx yang berhasil.

Menyebarkan firewall dan kebijakan

  1. Dari portal beranda, pilih Buat sumber daya.

  2. Cari Firewall, lalu pilih Firewall.

  3. Pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Pilih RG-DNAT-Test
    Nama Uji FW-DNAT
    Wilayah Pilih lokasi sama yang Anda gunakan sebelumnya
    Pengelolaan firewall Gunakan Firewall Policy untuk mengelola firewall ini
    Kebijakan Firewall Tambahkan yang baru:
    fw-dnat-pol
    wilayah yang Anda pilih
    Pilih jaringan virtual Gunakan yang ada: VN-Hub
    Alamat IP publik Tambahkan yang baru, Nama: fw-pip.

  5. Hapus centang pada kotak di samping Aktifkan NIC Manajemen Firewall.

  6. Terima default lainnya lalu pilih Tinjau + buat.

  7. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Proses ini memerlukan beberapa menit untuk diterapkan.

  8. Setelah penyebaran selesai, buka grup sumber daya RG-DNAT-Test, lalu pilih firewall FW-DNAT-test.

  9. Catatlah alamat IP privat dan publik firewall. Anda akan menggunakannya nanti saat membuat rute default dan aturan NAT.

Buat rute default

Untuk subnet SN-Workload, Anda mengonfigurasi rute default keluar untuk melewati firewall.

Penting

Anda tidak perlu mengonfigurasi rute eksplisit kembali ke firewall di subnet tujuan. Azure Firewall adalah layanan stateful dan menangani paket dan sesi secara otomatis. Jika Anda membuat rute ini, Anda akan menciptakan lingkungan perutean yang tidak seimbang, yang mengganggu logika sesi berstatus dan menghasilkan packet dan koneksi yang hilang.

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Di bawah Jaringan, pilih Tabel rute.

  3. Pilih Tambahkan.

  4. Untuk Langganan, Pilih langganan Anda.

  5. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  6. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Untuk Nama, ketik RT-FW-route.

  8. Pilih Periksa dan Buat.

  9. Pilih Buat.

  10. Pilih Pergi ke sumber daya.

  11. Pilih Subnet, lalu pilih Asosiasikan.

  12. Untuk Jaringan Virtual, pilih VN-Spoke.

  13. Untuk Subnet, pilih SN-Workload.

  14. Pilih OK.

  15. Pilih Rute, lalu pilih Tambahkan.

  16. Untuk Nama rute,ketik fw-dg.

  17. Untuk Awalan alamat, ketik 0.0.0.0/0.

  18. Untuk Jenis lompatan selanjutnya, pilih Perangkat Virtual.

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  19. Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.

  20. Pilih OK.

Mengatur aturan DNAT

Aturan ini memungkinkan lalu lintas HTTP masuk dari Internet untuk menjangkau server web melalui firewall.

  1. Buka grup sumber daya RG-DNAT-Test, dan pilih kebijakan firewall FW-DNAT-test.
  2. Di Pengaturan, pilih Aturan DNAT.
  3. Pilih Tambahkan Kumpulan Aturan.
  4. Untuk Nama, ketik akses web.
  5. Untuk Prioritas, ketik 200.
  6. Untuk Grup kumpulan aturan, pilih DefaultDnatRuleCollectionGroup.
  7. Di bawah Aturan, untuk Nama, ketik http-dnat.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketik * untuk mengizinkan lalu lintas dari sumber apa pun.
  10. Untuk Protokol, pilih TCP.
  11. Untuk Port Tujuan, ketikkan 80.
  12. Untuk Jenis Tujuan, pilih Alamat IP.
  13. Untuk Tujuan, ketik alamat IP publik firewall.
  14. Untuk Alamat terjemahan,ketik alamat IP privat Srv-Workload.
  15. Untuk Port yang diterjemahkan, ketik 80.
  16. Pilih Tambahkan.

Uji firewall

Sekarang uji aturan DNAT untuk memverifikasi bahwa server web dapat diakses melalui firewall.

  1. Buka browser web.
  2. Navigasi ke http://<firewall-public-ip> (gunakan alamat IP publik firewall yang Anda catat sebelumnya).
  3. Anda seharusnya dapat melihat halaman web yang menampilkan: Demo DNAT Azure Firewall - Srv-Workload

Aturan DNAT berhasil menerjemahkan permintaan HTTP masuk pada alamat IP publik firewall ke alamat IP privat server web. Ini menunjukkan bagaimana DNAT Azure Firewall dapat digunakan untuk menerbitkan aplikasi web sambil menyimpan server backend di subnet privat.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya, atau jika tidak lagi diperlukan, hapus grup sumber daya RG-DNAT-Test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Untuk skenario DNAT tingkat lanjut yang melibatkan jaringan yang tumpang tindih atau akses jaringan yang tidak dapat dirutekan, lihat:

Menerapkan DNAT IP privat Azure Firewall untuk jaringan yang tumpang tindih dan tidak dapat dirutekan

  • Last updated on