Condividi tramite

Filtrare il traffico Internet in ingresso con DNAT di Firewall di Azure usando il portale di Azure

È possibile configurare DNAT (Destination Network Address Translation) di Firewall di Azure per convertire e filtrare il traffico Internet in ingresso nelle subnet. Quando si configura la modalità DNAT, l'azione di raccolta delle regole NAT è impostata su DNAT. Ogni regola nella raccolta di regole NAT può quindi essere usata per convertire l'indirizzo IP pubblico o privato del firewall e la porta in un indirizzo IP e una porta privati. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, aggiungere un'origine specifica per consentire l'accesso DNAT alla rete ed evitare l'uso di caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).

Note

Questo articolo usa le regole del firewall classiche per gestire il firewall. Il metodo preferito consiste nell'usare un criterio firewall. Per completare questa procedura usando i criteri firewall, vedere Esercitazione: Filtrare il traffico Internet in ingresso con DNAT dei criteri di Firewall di Azure usando il portale di Azure.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

  1. Accedere al portale di Azure.
  2. Nella home page del portale di Azure, selezionare Gruppi di risorse e quindi selezionare Crea.
  3. In Sottoscrizione selezionare la propria sottoscrizione.
  4. In Gruppo di risorse, digitare RG-DNAT-Test.
  5. Per Area, selezionare un'area. Tutte le altre risorse create devono risiedere nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Selezionare Crea.

Configurare l'ambiente di rete

Per questo articolo, vengono create due reti virtuali con peering:

  • VN-Hub : il firewall si trova in questa rete virtuale.
  • VN-Spoke : il server del carico di lavoro si trova in questa rete virtuale.

Creare innanzitutto le reti virtuali e quindi eseguire il peering.

Creare la rete virtuale hub

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Selezionare Crea.
  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Hub.
  6. Per Area, selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti.
  8. Selezionare Avanti nella scheda Sicurezza.
  9. In Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.
  10. In Subnet, selezionare predefinita.
  11. Per Modello subnet, selezionare Firewall di Azure.

Il firewall si trova in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

Note

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Selezionare Salva.
  2. Selezionare Rivedi e crea.
  3. Selezionare Crea.

Creare una rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Selezionare Crea.
  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Spoke.
  6. Per Area, selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti.
  8. Selezionare Avanti nella scheda Sicurezza.
  9. Per Spazio indirizzi IPv4, modificare il valore predefinito e digitare 192.168.0.0/16.
  10. In Subnet, selezionare predefinita.
  11. In Nome subnet digitare SN-Workload.
  12. Per Indirizzo iniziale, digitare 192.168.1.0.
  13. Per Dimensioni subnet, selezionare /24.
  14. Selezionare Salva.
  15. Selezionare Rivedi e crea.
  16. Selezionare Crea.

Eseguire il peering delle reti virtuali

Ora è il momento di eseguire il peering delle due reti virtuali.

  1. Selezionare la rete virtuale VN-Hub.
  2. In Impostazioni selezionare Peer.
  3. Selezionare Aggiungi.
  4. In Questa rete virtuale, per il Nome del collegamento di peering, digitare Peer-HubSpoke.
  5. In Rete virtuale remota, perNome collegamento peering digitare Peer-SpokeHub.
  6. Selezionare VN-Spoke per la rete virtuale.
  7. Accettare tutte le altre impostazioni predefinite, quindi selezionare Aggiungi.

Creare una macchina virtuale

Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.

  1. Nel menu del portale di Azure selezionare Crea una risorsa.
  2. In Prodotti Marketplace più diffusi selezionare Ubuntu Server 22.04 LTS.

Nozioni di base

  1. In Sottoscrizione selezionare la propria sottoscrizione.
  2. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  3. In Nome macchina virtuale digitare Srv-Workload.
  4. In Area selezionare la stessa località usata in precedenza.
  5. Per Immagine selezionare Ubuntu Server 22.04 LTS - x64 Gen2.
  6. In Dimensioni selezionare Standard_B2s.
  7. In Tipo di autenticazione selezionare Chiave pubblica SSH.
  8. Per Nome utente digitare azureuser.
  9. Per Origine chiave pubblica SSH selezionare Genera nuova coppia di chiavi.
  10. In Nome coppia di chiavi digitare Srv-Workload_key.
  11. Selezionare Avanti:Dischi.

Dischi

  1. Selezionare Passaggio successivo: Rete.

Rete

  1. In Rete virtuale selezionare VN-Spoke.
  2. In Subnet selezionare SN-Workload.
  3. In IP pubblico selezionare Nessuno.
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.

Gestione

  1. Selezionare Avanti: Monitoraggio.

Monitoring

  1. In Diagnostica di avvio, selezionare Disabilita.
  2. Selezionare Rivedi e crea.

Rivedi e crea

Esaminare il riepilogo e quindi selezionare Crea. Il completamento di questo processo richiede alcuni minuti.

  1. Nella finestra di dialogo Genera nuova coppia di chiavi selezionare Scarica chiave privata e crea risorsa. Salvare il file di chiave come Srv-Workload_key.pem.

Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Questo indirizzo IP è necessario in un secondo momento durante la configurazione del firewall. Selezionare il nome della macchina virtuale, passare a Panoramica e in Rete prendere nota dell'indirizzo IP privato.

Note

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Installare il server Web

Usare la funzionalità Esegui comando del portale di Azure per installare un server Web nella macchina virtuale.

  1. Passare alla macchina virtuale Srv-Workload nel portale di Azure.

  2. In Operazioni selezionare Esegui comando.

  3. Selezionare EseguiShellScript.

  4. Nella finestra Esegui script comando incollare lo script seguente:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Selezionare Esegui.

  6. Attendere il completamento dello script. L'output dovrebbe mostrare l'installazione corretta di Nginx.

Distribuire il firewall

  1. Dalla home page del portale selezionare Crea una risorsa.

  2. Cercare Firewall, quindi selezionare Firewall.

  3. Selezionare Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione valore
    Abbonamento <sottoscrizione in uso>
    Gruppo di risorse Selezionare RG-DNAT-Test
    Nome FW-DNAT-test
    Region Selezionare la stessa posizione usata in precedenza
    SKU firewall Standard
    Firewall Management Usa le regole del firewall (versione classica) per gestire questo firewall
    Scegliere una rete virtuale Usa esistente: VN-Hub
    Indirizzo IP pubblico Aggiungi nuovo, Nome: fw-pip

  5. Accettare tutte le altre impostazioni predefinite, quindi selezionare Rivedi e crea.

  6. Esaminare il riepilogo e quindi selezionare Crea per distribuire il firewall.

    Il completamento di questo processo richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test .

  8. Prendere nota degli indirizzi IP pubblico e privato del firewall. Li usi in un secondo momento durante la creazione della route predefinita e della regola NAT.

Creare una route predefinita

Per la subnet SN-Workload , configurare la route predefinita in uscita per passare attraverso il firewall.

Importante

Non occorre configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. La creazione di questa route comporta un ambiente di routing asimmetrico, interrompendo la logica di sessione con stato e causando pacchetti e connessioni ignorati.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Cercare e selezionare Tabella di route.

  3. Selezionare Crea.

  4. In Sottoscrizione selezionare la propria sottoscrizione.

  5. Per Gruppo di risorse, selezionare RG-DNAT-Test.

  6. In Area selezionare la stessa area usata in precedenza.

  7. In Nome digitare RT-FWroute.

  8. Selezionare Rivedi e crea.

  9. Selezionare Crea.

  10. Selezionare Vai alla risorsa.

  11. Selezionare Subnet e quindi Associa.

  12. In Rete virtuale selezionare VN-Spoke.

  13. In Subnet selezionare SN-Workload.

  14. Selezionare OK.

  15. Selezionare Route e quindi Aggiungi.

  16. In Nome route immettere FW-DG.

  17. Per Tipo di destinazione selezionare Indirizzo IP.

  18. Per Indirizzi IP/Intervalli CIDR di destinazione digitare 0.0.0.0/0.

  19. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è un servizio gestito, ma la selezione di appliance virtuali funziona in questa situazione.

  20. In Indirizzo hop successivo immettere l'indirizzo IP privato del firewall annotato in precedenza.

  21. Selezionare Aggiungi.

Configurare una regola DNAT

Questa regola consente al traffico HTTP in ingresso da Internet di raggiungere il server Web attraverso il firewall.

  1. Aprire il gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.
  2. Nella pagina FW-DNAT-test, in Impostazioni, selezionare Regole (versione classica).
  3. Selezionare la scheda Raccolta regole NAT.
  4. Selezionare Aggiungi raccolta regole NAT.
  5. In Nome digitare web-access.
  6. In Priorità immettere 200.
  7. Sotto Regole, per Nome, digitare http-dnat.
  8. In Protocollo selezionare TCP.
  9. In Tipo di origine selezionare Indirizzo IP.
  10. In Origine digitare * per consentire il traffico da qualsiasi origine.
  11. In Indirizzi di destinazione digitare l'indirizzo IP pubblico del firewall.
  12. Per Porte di destinazione digitare 80.
  13. In Indirizzo convertito digitare l'indirizzo IP privato di Srv-Workload.
  14. Per Porta tradotta digitare 80.
  15. Selezionare Aggiungi.

Testare il firewall

  1. Aprire un Web browser e passare all'indirizzo IP pubblico del firewall:

    http://<firewall-public-ip>

    Verrà visualizzata la pagina web "Demo DNAT di Firewall di Azure - Srv-Workload".

  2. Questa procedura conferma che la regola DNAT converte correttamente il traffico HTTP in ingresso nell'indirizzo IP pubblico del firewall nell'indirizzo IP privato del server Web.

Pulire le risorse

È possibile conservare le risorse del firewall per ulteriori test oppure, se non è più necessario, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

È possibile ora monitorare i log di Firewall di Azure.

Esercitazione: Monitorare i log di Firewall di Azure

  • Last updated on