Share via

Tutorial: Memfilter lalu lintas Internet masuk dengan DNAT Kebijakan Azure Firewall menggunakan portal Microsoft Azure

  • Artikel

Anda dapat mengonfigurasi Penafsiran Alamat Jaringan Tujuan (Destination Network Address Translation atau DNAT) Kebijakan Azure Firewall untuk menafsirkan dan memfilter lalu lintas Internet masuk ke subnet Anda. Saat Anda mengonfigurasi DNAT, tindakan pengumpulan aturan diatur ke DNAT. Kemudian, setiap aturan dalam pengumpulan aturan NAT dapat digunakan untuk menafsirkan alamat IP publik dan port firewall Anda ke alamat IP dan port privat. Aturan DNAT secara implisit menambahkan aturan jaringan yang sesuai untuk membuka lalu lintas yang diterjemahkan. Untuk alasan keamanan, pendekatan yang disarankan adalah menambahkan sumber internet tertentu untuk membuka akses DNAT ke jaringan dan menghindari penggunaan wildcard. Untuk mempelajari selengkapnya tentang logika pemrosesan aturan Azure Firewall, lihat logika pemrosesan aturan Azure Firewall.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Menyebarkan firewall dan kebijakan
  • Membuat rute default
  • Mengonfigurasi aturan DNAT
  • Menguji firewall

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Buat grup sumber daya

  1. Masuk ke portal Microsoft Azure.
  2. Pada beranda portal Microsoft Azure, pilih Grup sumber daya, lalu pilih Tambahkan.
  3. Untuk Langganan, pilih langganan Anda.
  4. Untuk Nama grup sumber daya, ketik RG-DNAT-Test.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Menyiapkan lingkungan jaringan

Untuk tutorial ini, Anda membuat dua VNet yang direkankan:

  • VN-Hub - firewall ada di VNet ini.
  • VN-Spoke - server beban kerja ada di VNet ini.

Pertama, buat VNet-VNet dan kemudian rekankan.

Membuat Hub VNet

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Di bawah Jaringan, pilih Jaringan virtual.

  3. Pilih Tambahkan.

  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  5. Untuk Nama, ketik VNet-Hub.

  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Pilih Selanjutnya: Alamat IP.

  8. Untuk Ruang Alamat IPv4, terima default 10.0.0.0/16.

  9. Di Nama subnet, pilih default.

  10. Edit Nama subnet dan ketik AzureFirewallSubnet.

    Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

    Catatan

    Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi selengkapnya tentang ukuran subjaringan, lihat Tanya Jawab Umum Azure Firewall.

  11. Untuk Rentang alamat subnet, ketik 10.0.1.0/26.

  12. Pilih Simpan.

  13. Pilih Tinjau + buat.

  14. Pilih Buat.

Membuat spoke VNet

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.
  2. Di bawah Jaringan, pilih Jaringan virtual.
  3. Pilih Tambahkan.
  4. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  5. Untuk Nama, ketik VN-Spoke.
  6. Untuk Wilayah: pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
  7. Pilih Selanjutnya: Alamat IP.
  8. Untuk Ruang Alamat IPv4, edit default dan ketik 192.168.0.0/16.
  9. Pilih Tambahkan Subnet.
  10. Untuk Nama subnet, ketik SN-Workload.
  11. Untuk Rentang alamat subnet, ketik 192.168.1.0/24.
  12. Pilih Tambahkan.
  13. Pilih Tinjau + buat.
  14. Pilih Buat.

Rekankan VNet

Sekarang rekankan kedua VNet.

  1. Pilih jaringan virtual VN-Hub.
  2. Pada Pengaturan, pilih Perekanan.
  3. Pilih Tambahkan.
  4. Di bawah Jaringan virtual ini, untuk Nama tautan perekanan, ketik Peer-HubSpoke.
  5. Di bawah Jaringan virtual jarak jauh , untuk Nama tautan perekanan, ketik Peer-SpokeHub.
  6. Pilih VN-Spoke untuk jaringan virtual.
  7. Terima semua default lainnya, lalu pilih Tambahkan.

Membuat komputer virtual

Buat komputer virtual beban kerja, dan tempatkan di subnet SN-Workload.

  1. Di portal Microsoft Azure, pilih Buat sumber daya.
  2. Di Populer, pilih Pusat Data Windows Server 2016.

Dasar

  1. Untuk Langganan, pilih langganan Anda.
  2. Untuk Grup sumber daya, pilih RG-DNAT-Test.
  3. Untuk Nama mesin virtual, ketik Srv-Workload.
  4. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  5. Ketik nama pengguna dan kata sandi.
  6. Pilih Selanjutnya:Disk.

Disk

  1. Pilih Selanjutnya:Jaringan.

Jaringan

  1. Untuk Jaringan Virtual, pilih VN-Spoke.
  2. Untuk Subnet, pilih SN-Workload.
  3. Untuk IP Publik, pilih Tidak ada.
  4. Untuk Port masuk publik, pilih Tidak Ada.
  5. Tinggalkan pengaturan default lainnya dan pilih Berikutnya: Manajemen.

Manajemen

  1. Untuk Diagnostik boot, pilih Nonaktifkan.
  2. Pilih Tinjau + Buat.

Tinjau + Buat

Tinjau ringkasan, lalu pilih Buat. Ini akan memakan waktu beberapa menit untuk menyelesaikannya.

Setelah penyebaran selesai, catatlah alamat IP pribadi untuk mesin virtual. Alamat IP akan digunakan nanti ketika Anda mengonfigurasi firewall. Pilih nama mesin virtual, dan di bawahPengaturan, pilih Jaringan untuk menemukan alamat IP pribadi.

Menyebarkan firewall dan kebijakan

  1. Dari beranda portal, pilih Buat sumber daya.

  2. Cari Firewall, lalu pilih Firewall.

  3. Pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Pilih RG-DNAT-Test
    Nama FW-DNAT-test
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Manajemen firewall Gunakan Firewall Policy untuk mengelola firewall ini
    Kebijakan firewall Tambah baru:
    fw-dnat-pol
    wilayah yang Anda pilih
    Pilih jaringan virtual Gunakan yang ada: VN-Hub
    Alamat IP Publik Tambahkan yang baru, Nama: fw-pip.

  5. Terima default lainnya lalu pilih Tinjau + buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini perlu beberapa menit untuk menyebarkan.

  7. Setelah penyebaran selesai, buka grup sumber daya RG-DNAT-Test, lalu pilih firewall FW-DNAT-test.

  8. Catatlah alamat IP privat dan publik firewall. Anda akan menggunakannya nanti saat membuat rute default dan aturan NAT.

Membuat rute default

Untuk subnet SN-Workload, Anda mengonfigurasi rute default keluar untuk melewati firewall.

Penting

Anda tidak perlu mengonfigurasi rute eksplisit kembali ke firewall di subnet tujuan. Azure Firewall adalah layanan stateful dan menangani paket dan sesi secara otomatis. Jika Anda membuat rute ini, Anda akan membuat lingkungan perutean asimetris yang mengganggu logika sesi stateful dan menghasilkan paket dan koneksi yang terputus.

  1. Pada halaman beranda portal Microsoft Azure, pilih Semua layanan.

  2. Di bawah Jaringan, pilih Tabel rute.

  3. Pilih Tambahkan.

  4. Untuk Langganan, pilih langganan Anda.

  5. Untuk Grup sumber daya, pilih RG-DNAT-Test.

  6. Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.

  7. Untuk Nama, ketik RT-FW-route.

  8. Pilih Tinjau + buat.

  9. Pilih Buat.

  10. Pilih Buka sumber daya.

  11. Pilih Subnet, lalu pilih Kaitkan.

  12. Untuk Jaringan Virtual, pilih VN-Spoke.

  13. Untuk Subnet, pilih SN-Workload.

  14. PilihOK.

  15. Pilih Rute, lalu pilih Tambahkan.

  16. Untuk Nama rute, ketik fw-dg.

  17. Untuk Awalan alamat, ketik 0.0.0.0/0.

  18. Untuk Jenis lompatan berikutnya, pilih Appliance virtual.

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  19. Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.

  20. PilihOK.

Mengonfigurasi aturan NAT

Aturan ini memungkinkan Anda menyambungkan desktop jarak jauh ke komputer virtual Srv-Workload melalui firewall.

  1. Buka grup sumber daya RG-DNAT-Test, dan pilih kebijakan firewall FW-DNAT-test.
  2. Di Pengaturan, pilih Aturan DNAT.
  3. Pilih Tambahkan Kumpulan Aturan.
  4. Untuk Nama, ketik rdp.
  5. Untuk Prioritas, ketik 200.
  6. Untuk Grup kumpulan aturan, pilih DefaultNetworkRuleCollectionGroup.
  7. Di bawah Aturan, untuk Nama, ketik rdp-nat.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketik * .
  10. Untuk Protokol, pilih TCP.
  11. Untuk Port Tujuan, ketik 3389.
  12. Untuk Jenis Tujuan, pilih Alamat IP.
  13. Untuk Tujuan, ketik alamat IP publik firewall.
  14. Untuk Alamat terjemahan, ketik alamat IP privat Srv-Workload.
  15. Untuk Port terjemahan, ketik 3389.
  16. Pilih Tambahkan.

Menguji firewall

  1. Sambungkan desktop jarak jauh ke alamat IP publik firewall. Anda harus terhubung ke komputer virtual Srv-Workload.
  2. Menutup desktop jarak jauh.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya, atau jika tidak lagi diperlukan, hapus grup sumber daya RG-DNAT-Test untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Menyebarkan dan mengonfigurasi Azure Firewall Premium