Tutorial: Menyebarkan DNAT IP privat Azure Firewall untuk jaringan yang tumpang tindih dan tidak dapat dialihkan

DNAT IP privat Azure Firewall (Terjemahan Alamat Jaringan Tujuan) memungkinkan Anda menerjemahkan dan memfilter lalu lintas masuk menggunakan alamat IP privat firewall alih-alih alamat IP publiknya. Kemampuan ini berguna untuk skenario yang melibatkan jaringan yang tumpang tindih atau akses jaringan yang tidak dapat dialihkan di mana DNAT IP publik tradisional tidak cocok.

DNAT IP privat membahas dua skenario utama:

• Jaringan yang tumpang tindih: Saat beberapa jaringan berbagi ruang alamat IP yang sama
• Jaringan yang tidak dapat dirutekan: Saat Anda perlu mengakses sumber daya melalui jaringan yang tidak dapat dirutekan secara langsung

Dalam tutorial ini, Anda akan belajar cara:

• Memahami kasus penggunaan IP pribadi DNAT
• Menyebarkan Azure Firewall dengan kemampuan DNAT IP privat
• Mengonfigurasi aturan DNAT untuk skenario jaringan yang tumpang tindih
• Mengonfigurasi aturan DNAT untuk akses jaringan yang tidak dapat dirutekan
• Menguji fungsionalitas DNAT pada IP privat
• Memvalidasi arus lalu lintas dan pemrosesan aturan

Prasyarat

• Sebuah langganan Azure. Jika Anda belum memiliki satu, buatlah akun gratis sebelum Anda mulai.
• Azure Firewall Standard atau Premium (DNAT IP privat tidak didukung di SKU Dasar)
• Keakraban dengan konsep jaringan Azure
• Memahami logika pemrosesan aturan Azure Firewall

Penting

DNAT IP privat hanya tersedia di Azure Firewall Standard dan SKU Premium. SKU Dasar tidak mendukung fitur ini.

Gambaran umum skenario

Tutorial ini menunjukkan dua skenario DNAT IP privat umum:

Skenario 1: Jaringan yang tumpang tindih

Anda memiliki beberapa jaringan virtual yang menggunakan ruang alamat IP yang sama (misalnya, 10.0.0.0/16) dan perlu mengakses sumber daya di seluruh jaringan ini tanpa konflik IP.

Skenario 2: Akses jaringan yang tidak dapat dirutekan

Anda perlu menyediakan akses ke sumber daya di jaringan yang tidak dapat dirutekan secara langsung dari sumbernya, seperti mengakses sumber daya lokal melalui Azure Firewall.

Mengaktifkan lingkungan

Gunakan templat ARM yang disediakan untuk membuat lingkungan pengujian dengan semua komponen yang diperlukan.

Unduh templat penyebaran

1. Unduh templat ARM dari repositori GitHub Azure Network Security.

2. Simpan PrivateIpDnatArmTemplateV2.json file ke komputer lokal Anda.

Menyebarkan menggunakan portal Microsoft Azure

1. Masuk ke portal Azure.

2. Pilih Buat sumber daya>Penyebaran templat (sebarkan menggunakan templat kustom).

3. Pilih Bangun templat Anda sendiri di editor.

4. Hapus konten yang ada dan tempelkan konten templat ARM yang diunduh.

5. Pilih Simpan.

6. Berikan informasi berikut:

   • Langganan: Pilih langganan Azure Anda
   • Grup sumber daya: Buat grup sumber daya baru atau pilih grup sumber daya yang sudah ada
   • Wilayah: Pilih wilayah Azure pilihan Anda
   • Lokasi: Parameter ini diisi otomatis berdasarkan wilayah yang dipilih

7. Tinjau parameter templat dan ubah sesuai kebutuhan.

8. Pilih Tinjau + buat, lalu Buat untuk menyebarkan templat.

Penyebaran membuat sumber daya berikut:

• Jaringan virtual untuk skenario yang tumpang tindih dan tidak dapat dialihkan
• Azure Firewall dengan konfigurasi DNAT IP privat
• Komputer virtual untuk menguji konektivitas
• Grup keamanan jaringan dan tabel rute
• Semua komponen jaringan yang diperlukan

Nota

Templat ARM mencakup aturan DNAT yang telah dikonfigurasi sebelumnya untuk menguji kedua skenario. Anda dapat memeriksa aturan ini setelah penyebaran atau memodifikasinya sesuai kebutuhan spesifik Anda.

Memverifikasi aturan DNAT IP privat

Setelah penyebaran selesai, verifikasi bahwa aturan DNAT dibuat dengan benar untuk kedua skenario.

Memverifikasi aturan untuk jaringan yang tumpang tindih

1. Di portal Microsoft Azure, navigasikan ke sumber daya Azure Firewall Anda (azfw-hub-vnet-1).

2. Di bawah Pengaturan, pilih Kebijakan Firewall.

3. Pilih kebijakan firewall (fp-azfw-hub-vnet-1).

4. Di bawah Pengaturan, pilih Grup kumpulan aturan.

5. Pilih DefaultDnatRuleCollectionGroup untuk melihat aturan yang telah dikonfigurasi sebelumnya.

Anda akan melihat aturan DNAT berikut:

• ToVM2-Http: Menerjemahkan 10.10.0.4:80 → 10.10.2.4:80 (mengakses firewall hub-vnet-2 dari spoke-vnet-1)
• ToVM2-Rdp: Menerjemahkan 10.10.0.4:53388 → 10.10.2.4:3389 (akses RDP)
• ToVM3-Http: Menerjemahkan 10.10.0.4:8080 → 172.16.0.4:80 (mengakses branch-vnet-1 dari spoke-vnet-1)
• ToVM3-Rdp: Menerjemahkan 10.10.0.4:53389 → 172.16.0.4:3389 (akses RDP)

Memverifikasi aturan untuk jaringan yang tidak dapat dialihkan

1. Navigasi ke sumber daya Azure Firewall kedua (azfw-hub-vnet-2).

2. Di bawah Pengaturan, pilih Kebijakan Firewall.

3. Pilih kebijakan firewall (fp-azfw-hub-vnet-2).

4. Di bawah Pengaturan, pilih Grup kumpulan aturan.

5. Pilih DefaultDnatRuleCollectionGroup untuk melihat aturan untuk skenario kedua.

Anda akan melihat aturan DNAT berikut:

• ToVM2-Http: Menerjemahkan 10.10.2.4:80 → 192.168.0.4:80 (mengakses spoke-vnet-2 dari subnet firewall hub-vnet-1)
• ToVM2-Rdp: Menerjemahkan 10.10.2.4:3389 → 192.168.0.4:3389 (akses RDP ke spoke-vnet-2)

Aturan ini menunjukkan skenario jaringan yang tumpang tindih di mana kedua jaringan spoke menggunakan ruang IP yang sama (192.168.0.0/24).

Menyiapkan komputer virtual

Selesaikan konfigurasi VM dengan menjalankan skrip PowerShell yang disediakan.

Mengonfigurasi VM dalam skenario 1 (Jaringan tumpang tindih)

1. Sambungkan ke komputer win-vm-2 virtual menggunakan Azure Bastion atau RDP.

2. Buka PowerShell sebagai Administrator.

3. Unduh dan jalankan skrip konfigurasi:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

Mengonfigurasi VM dalam skenario 2 (Jaringan yang tidak dapat dialihkan)

1. Sambungkan ke komputer win-vm-3 virtual menggunakan Azure Bastion atau RDP.

2. Buka PowerShell sebagai Administrator.

3. Unduh dan jalankan skrip konfigurasi:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

Menguji fungsionalitas DNAT pada IP privat

Verifikasi bahwa konfigurasi DNAT IP privat berfungsi dengan benar untuk kedua skenario.

Menguji skenario jaringan yang tumpang tindih

1. Dari komputer klien di jaringan sumber, coba sambungkan ke alamat IP privat Azure Firewall menggunakan port yang dikonfigurasi.

2. Verifikasi bahwa koneksi berhasil diterjemahkan ke VM target di jaringan yang tumpang tindih.

3. Periksa log Azure Firewall untuk mengonfirmasi temuan aturan dan terjemahan yang berhasil.

Menguji skenario jaringan yang tidak dapat dialihkan

1. Dari jaringan sumber yang sesuai, sambungkan ke alamat IP privat Azure Firewall.

2. Verifikasi akses ke sumber daya di jaringan yang tidak dapat dialihkan melalui firewall.

3. Untuk memastikan pemrosesan aturan dan arus lalu lintas yang tepat, pantau log firewall.

Memantau dan memecahkan masalah

Untuk memantau performa DNAT IP privat, gunakan log dan metrik diagnostik Azure Firewall.

Aktifkan pembuatan log diagnostik

1. Di portal Microsoft Azure, navigasikan ke sumber daya Azure Firewall Anda.

2. Pilih Pengaturan >+ Tambahkan pengaturan diagnostik.

3. Mengonfigurasi pengelogan untuk:

   • Log Aturan Aplikasi Azure Firewall
   • Log Aturan Jaringan Azure Firewall
   • Log Aturan NAT Azure Firewall

4. Pilih tujuan pilihan Anda (ruang kerja Analitik Log, akun Penyimpanan, atau Azure Event Hubs).

Metrik utama untuk dipantau

Untuk memastikan performa optimal, pantau metrik ini:

• Data yang diproses: Jumlah total data yang diproses oleh firewall
• Jumlah pencocokan aturan jaringan: Jumlah aturan jaringan yang dipenuhi
• Jumlah hit aturan NAT: Jumlah aturan DNAT yang cocok
• Throughput: Kinerja throughput firewall

Praktik terbaik

Ikuti praktik terbaik ini saat menerapkan DNAT IP privat:

• Urutan aturan: Untuk memastikan urutan pemrosesan yang benar, tempatkan aturan yang lebih spesifik dengan nomor prioritas yang lebih rendah
• Spesifikasi sumber: Gunakan rentang IP sumber tertentu alih-alih kartubebas untuk keamanan yang lebih baik
• Segmentasi jaringan: Untuk mengisolasi jaringan yang tumpang tindih, terapkan segmentasi jaringan yang tepat
• Pemantauan: Untuk mengidentifikasi masalah performa, pantau log dan metrik firewall secara teratur
• Pengujian: Untuk memastikan keandalan dalam produksi, uji semua aturan DNAT secara menyeluruh sebelum menerapkan

Membersihkan sumber daya

Ketika Anda tidak lagi memerlukan lingkungan pengujian, hapus grup sumber daya untuk menghapus semua sumber daya yang dibuat dalam tutorial ini.

1. Di portal Microsoft Azure, navigasikan ke grup sumber daya Anda.

2. Pilih Hapus grup sumber daya.

3. Ketik nama grup sumber daya untuk mengonfirmasi penghapusan.

4. Pilih Hapus untuk menghapus semua sumber daya.

Langkah selanjutnya

Dalam tutorial ini, Anda mempelajari cara menyebarkan dan mengonfigurasi DNAT IP privat Azure Firewall untuk skenario jaringan yang tumpang tindih dan tidak dapat dialihkan. Anda menyebarkan lingkungan pengujian, mengonfigurasi aturan DNAT, dan memvalidasi fungsionalitas.

Untuk mempelajari selengkapnya tentang kemampuan DNAT Azure Firewall:

• Aturan DNAT untuk memfilter lalu lintas masuk
• Logika pemrosesan aturan Azure Firewall
• Memantau log dan metrik Azure Firewall
• Skenario DNAT IP privat dengan Azure Firewall (blog Komunitas Teknologi)