Bagikan melalui

Memfilter lalu lintas Internet masuk dengan Azure Firewall DNAT menggunakan portal Microsoft Azure

Anda dapat mengonfigurasi Azure Firewall Destination Network Address Translation (DNAT) untuk menerjemahkan dan memfilter lalu lintas internet masuk ke subnet Anda. Saat Anda mengonfigurasi DNAT, tindakan kumpulan aturan NAT diatur ke DNAT. Setiap aturan dalam kumpulan aturan NAT kemudian dapat digunakan untuk menerjemahkan alamat IP publik atau privat firewall Anda dan port ke alamat IP dan port privat. Aturan DNAT secara implisit menambahkan aturan jaringan yang sesuai untuk mengizinkan lalu lintas yang telah diterjemahkan. Untuk alasan keamanan, tambahkan sumber tertentu untuk memungkinkan akses DNAT ke jaringan dan hindari menggunakan wildcard. Untuk mempelajari selengkapnya tentang aturan Azure Firewall, lihat logika pemrosesan aturan Azure Firewall.

Catatan

Tutorial ini menggunakan aturan Firewall klasik untuk mengelola firewall. Metode yang dipilih adalah menggunakan Kebijakan Firewall. Untuk menyelesaikan prosedur ini menggunakan Kebijakan Azure Firewall, lihat "Tutorial: Memfilter lalu lintas Internet masuk dengan DNAT menggunakan kebijakan Azure Firewall melalui portal Microsoft Azure."

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Buat grup sumber daya

  1. Masuk ke portal Azure.
  2. Pada beranda portal Azure, pilih Grup sumber daya, lalu pilih Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup sumber daya, ketik RG-DNAT-Test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Menyiapkan lingkungan jaringan

Untuk artikel ini, Anda akan membuat dua jaringan VNet yang saling terhubung.

  • VN-Hub - firewall berada di jaringan virtual ini.
  • VN-Spoke - server yang menangani beban kerja berada di jaringan virtual ini.

Pertama, buat VNets dan kemudian susun peer.

Membuat jaringan virtual Hub

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  5. Untuk Nama, ketik VNet-Hub.
  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk Ruang Alamat IPv4, terima default 10.0.0.0/16.
  10. Di bawah Subnet, pilih default.
  11. Untuk Subnet template, pilih Azure Firewall.

Firewall berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  1. Pilih Simpan.
  2. Pilih Tinjau + buat.
  3. Pilih Buat.

Membuat jaringan virtual tipe spoke

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Buat.
  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  5. Untuk Nama, ketik VN-Spoke.
  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya.
  8. Pada tab Keamanan , pilih Berikutnya.
  9. Untuk Ruang Alamat IPv4,edit default dan ketik 192.168.0.0/16.
  10. Di bawah Subnet, pilih default.
  11. Untuk subnet Nama, ketik SN-Workload.
  12. Untuk Alamat awal, ketik 192.168.1.0.
  13. Untuk Ukuran Subnet, pilih /24.
  14. Pilih Simpan.
  15. Pilih Tinjau + buat.
  16. Pilih Buat.

Pasangkan VNets

Sekarang hubungkan kedua VNet.

  1. Pilih jaringan virtual VN-Hub.
  2. Di bawah Pengaturan, pilih Peerings.
  3. Pilih Tambahkan.
  4. Di bawah Jaringan virtual ini, untuk Nama tautan perekanan, ketik Peer-HubSpoke.
  5. Di bawah Jaringan virtual jarak jauh , untuk Nama tautan perekanan,ketik Peer-SpokeHub.
  6. Pilih VN-Spoke untuk jaringan virtual.
  7. Terima semua default lainnya, lalu pilih Tambahkan.

Membuat mesin virtual

Buat komputer virtual beban kerja, dan tempatkan di subnet SN-Workload.

  1. Pada menu portal Microsoft Azure, pilih Buat sumber daya.
  2. Di bawah Produk Marketplace Populer, pilih Ubuntu Server 22.04 LTS.

Dasar

  1. Untuk Langganan, Pilih langganan Anda.
  2. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  3. Untuk Nama mesin virtual,ketik Srv-Workload.
  4. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  5. Untuk Gambar, pilih Ubuntu Server 22.04 LTS - x64 Gen2.
  6. Untuk Ukuran, pilih Standard_B2s.
  7. Untuk Jenis autentikasi, pilih kunci umum SSH.
  8. Untuk Nama Pengguna, ketik azureuser.
  9. Untuk sumber kunci publik SSH, pilih Hasilkan pasangan kunci baru.
  10. Untuk Nama pasangan kunci, ketik Srv-Workload_key.
  11. Pilih Selanjutnya:Disk.

Disk

  1. Pilih Next: Networking.

Jaringan

  1. Untuk Jaringan Virtual, pilih VN-Spoke.
  2. Untuk Subnet, pilih SN-Workload.
  3. Untuk IP Publik, pilih Tidak Ada.
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Tinggalkan pengaturan default lainnya dan pilih Berikutnya: Manajemen.

Manajemen

  1. Pilih Berikutnya: Pemantauan.

Pemantauan

  1. Untuk Diagnostik boot, pilih Nonaktifkan.
  2. Pilih Tinjau + Buat.

Tinjau + Buat

Tinjau ringkasan, lalu pilih Buat. Proses ini membutuhkan waktu beberapa menit untuk diselesaikan.

  1. Pada dialog Buat pasangan kunci baru , pilih Unduh kunci privat dan buat sumber daya. Simpan file kunci sebagai Srv-Workload_key.pem.

Setelah penyebaran selesai, perhatikan alamat IP privat komputer virtual. Anda memerlukan alamat IP ini nanti saat mengonfigurasi firewall. Pilih nama komputer virtual, buka Ringkasan, dan di bawah Jaringan, perhatikan alamat IP privat.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di dalam kumpulan backend dari Azure Load Balancer dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

  • Alamat IP publik ditetapkan ke VM.
  • VM ditempatkan di pool backend load balancer standar, dengan atau tanpa aturan keluaran.
  • Resource Azure NAT Gateway ditetapkan pada subnet VM.

VM yang Anda buat dengan menggunakan set skala mesin virtual dalam modus orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Memasang server web

Gunakan fitur Jalankan Perintah portal Microsoft Azure untuk menginstal server web di komputer virtual.

  1. Navigasikan ke komputer virtual Srv-Workload di portal Microsoft Azure.

  2. Di bawah Operasi, pilih Jalankan perintah.

  3. Pilih RunShellScript.

  4. Di jendela Jalankan Skrip Perintah , tempelkan skrip berikut ini:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Pilih Jalankan.

  6. Tunggu hingga skrip selesai. Output harus menunjukkan penginstalan Nginx yang berhasil.

Mengaktifkan firewall

  1. Dari portal beranda, pilih Buat sumber daya.

  2. Cari Firewall, lalu pilih Firewall.

  3. Pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Pilih RG-DNAT-Test
    Nama Uji FW-DNAT
    Wilayah Pilih lokasi yang sama yang digunakan sebelumnya
    Firewall Kode Produk Standar
    Pengelolaan firewall Gunakan aturan Firewall (klasik) untuk mengelola firewall ini
    Pilih jaringan virtual Gunakan yang ada: VN-Hub
    Alamat IP publik Tambahkan baru, Nama: fw-pip

  5. Terima default lainnya lalu pilih Tinjau + buat.

  6. Tinjau ringkasan, lalu pilih Buat untuk menerapkan firewall.

    Proses ini membutuhkan waktu beberapa menit untuk diselesaikan.

  7. Setelah penyebaran selesai, buka grup sumber daya RG-DNAT-Test dan pilih firewall FW-DNAT-test.

  8. Catatlah alamat IP privat dan publik firewall. Anda menggunakannya nanti saat membuat rute default dan aturan NAT.

Buat rute default

Untuk subnet SN-Workload, konfigurasikan rute default keluar agar melewati firewall.

Penting

Anda tidak perlu mengonfigurasi rute eksplisit kembali ke firewall di subnet tujuan. Azure Firewall adalah layanan stateful dan menangani paket dan sesi secara otomatis. Membuat rute ini akan mengakibatkan lingkungan perutean asimetris, mengganggu logika sesi stateful dan menyebabkan paket dan koneksi yang terputus.

  1. Pada beranda menu portal Microsoft Azure, pilih Buat sumber daya.

  2. Cari tabel perutean dan pilih.

  3. Pilih Buat.

  4. Untuk Langganan, Pilih langganan Anda.

  5. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  6. Untuk Wilayah, pilih wilayah yang sama yang telah digunakan sebelumnya.

  7. Untuk Nama, ketik RT-FWroute.

  8. Pilih Tinjau + buat.

  9. Pilih Buat.

  10. Pilih Pergi ke sumber daya.

  11. Pilih Subnet, lalu pilih Asosiasikan.

  12. Untuk Jaringan Virtual, pilih VN-Spoke.

  13. Untuk Subnet, pilih SN-Workload.

  14. Pilih OK.

  15. Pilih Rute, lalu pilih Tambahkan.

  16. Untuk Nama rute,ketik FW-DG.

  17. Untuk Jenis tujuan, pilih Alamat IP.

  18. Untuk Alamat IP tujuan/rentang CIDR, ketik 0.0.0.0/0.

  19. Untuk Hop berikutnya, pilih Virtual Appliance.

    Azure Firewall adalah layanan terkelola, tetapi memilih perangkat virtual berlaku dalam situasi ini.

  20. Untuk Alamat Next hop, ketik alamat IP privat firewall yang dicatat sebelumnya.

  21. Pilih Tambahkan.

Mengatur aturan DNAT

Aturan ini memungkinkan lalu lintas HTTP masuk dari Internet untuk menjangkau server web melalui firewall.

  1. Buka grup sumber daya RG-DNAT-Test, dan pilih firewall FW-DNAT-test.
  2. Pada halaman FW-DNAT-test, di bawah Pengaturan,pilih Aturan (klasik).
  3. Pilih tab Koleksi aturan NAT.
  4. Pilih Tambahkan kumpulan aturan NAT.
  5. Untuk Nama, ketik akses web.
  6. Untuk Prioritas, ketik 200.
  7. Di bawah Aturan, untuk Nama, ketik http-dnat.
  8. Untuk Protokol, pilih TCP.
  9. Untuk Jenis sumber, pilih alamat IP.
  10. Untuk Sumber, ketik * untuk mengizinkan lalu lintas dari sumber apa pun.
  11. Untuk Alamat Tujuan, ketik alamat IP publik firewall.
  12. Untuk Port tujuan, ketik 80.
  13. Untuk Alamat terjemahan,ketik alamat IP privat Srv-Workload.
  14. Untuk Port yang diterjemahkan, ketik 80.
  15. Pilih Tambahkan.

Menguji firewall

  1. Buka browser web dan navigasikan ke alamat IP publik firewall:

    http://<firewall-public-ip>

    Anda akan melihat halaman web yang menampilkan "Demo DNAT Azure Firewall - Srv-Workload."

  2. Prosedur ini mengonfirmasi bahwa aturan DNAT berhasil menerjemahkan lalu lintas HTTP masuk pada alamat IP publik firewall ke alamat IP privat server web.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk pengujian lebih lanjut, atau jika tidak lagi diperlukan, hapus grup sumber daya RG-DNAT-Test untuk menghapus semua sumber daya yang terkait firewall.

Langkah berikutnya

Selanjutnya, Anda dapat memantau log Azure Firewall.

Tutorial: Mengawasi log Azure Firewall

  • Last updated on