Condividi tramite

Esercitazione - Filtrare il traffico Internet in ingresso con DNAT per i criteri di Firewall di Azure tramite il portale di Azure

È possibile configurare i criteri di Firewall di Azure Destination Network Address Translation (DNAT) per convertire e filtrare il traffico Internet in ingresso nelle subnet. Quando si configura DNAT, l'azione di raccolta regole è impostata su DNAT. Ogni regola nella raccolta di regole NAT può quindi essere usata per convertire l'indirizzo IP pubblico e la porta del firewall in un indirizzo IP e una porta privati. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, l'approccio consigliato è di aggiungere un'origine specifica per consentire l'accesso DNAT alla rete ed evitare di utilizzare caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).

Questa esercitazione illustra la pubblicazione di un server Web con DNAT.

In questa esercitazione verranno illustrate le procedure per:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall e un criterio
  • Creare una route predefinita
  • Distribuire e configurare un server Web
  • Configurare una regola DNAT per pubblicare il server Web
  • Testare il firewall

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

  1. Accedere al portale di Azure.
  2. Nella home page del portale di Azure selezionare Gruppi di risorse e quindi selezionare Aggiungi.
  3. In Sottoscrizione selezionare la propria sottoscrizione.
  4. In Nome del gruppo di risorse digitare RG-DNAT-Test.
  5. Per Area, selezionare un'area. Tutte le altre risorse create devono risiedere nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Selezionare Crea.

Configurare l'ambiente di rete

Per questa esercitazione vengono create due reti virtuali con peering:

  • VN-Hub: in questa rete virtuale si trova il firewall.
  • VN-Spoke: in questa rete virtuale si trova il server del carico di lavoro.

Creare innanzitutto le reti virtuali e quindi eseguire il peering.

Creare la rete virtuale dell'hub

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Reti virtuali.

  3. Selezionare Aggiungi.

  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.

  5. In Nome digitare VN-Hub.

  6. Per Area, selezionare la stessa area usata in precedenza.

  7. Selezionare Avanti: Indirizzi IP.

  8. In Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.

  9. In Nome subnet selezionare predefinito.

  10. Modificare il Nome subnet e digitare AzureFirewallSubnet.

    Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

    Note

    La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  11. In Intervallo di indirizzi della subnet digitare 10.0.1.0/26.

  12. Selezionare Salva.

  13. Selezionare Rivedi e crea.

  14. Selezionare Crea.

Creare un rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Selezionare Aggiungi.
  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Spoke.
  6. Per Area, selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti: Indirizzi IP.
  8. Per Spazio indirizzi IPv4, modificare il valore predefinito e digitare 192.168.0.0/16.
  9. Selezionare Aggiungi subnet.
  10. In Nome subnet digitare SN-Workload.
  11. Per Intervallo di indirizzi subnet, digitare 192.168.1.0/24.
  12. Selezionare Aggiungi.
  13. Selezionare Rivedi e crea.
  14. Selezionare Crea.

Eseguire il peering delle reti virtuali

Ora è il momento di eseguire il peering delle due reti virtuali.

  1. Selezionare la rete virtuale VN-Hub.
  2. In Impostazioni selezionare Peer.
  3. Selezionare Aggiungi.
  4. In Questa rete virtuale, per il Nome del collegamento di peering, digitare Peer-HubSpoke.
  5. In Rete virtuale remota, perNome collegamento peering digitare Peer-SpokeHub.
  6. Selezionare VN-Spoke per la rete virtuale.
  7. Accettare tutte le altre impostazioni predefinite, quindi selezionare Aggiungi.

Creare una macchina virtuale

Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.

  1. Nel menu del portale di Azure selezionare Crea una risorsa.
  2. In Popolare selezionare Ubuntu Server 22.04 LTS.

Nozioni di base

  1. In Sottoscrizione selezionare la propria sottoscrizione.
  2. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  3. In Nome macchina virtuale digitare Srv-Workload.
  4. In Area selezionare la stessa località usata in precedenza.
  5. Per Immagine selezionare Ubuntu Server 22.04 LTS - x64 Gen2.
  6. In Dimensioni selezionare Standard_B2s.
  7. In Tipo di autenticazione selezionare Chiave pubblica SSH.
  8. Per Nome utente digitare azureuser.
  9. Per Origine chiave pubblica SSH selezionare Genera nuova coppia di chiavi.
  10. In Nome coppia di chiavi digitare Srv-Workload_key.
  11. Selezionare Nessuno nelle porte in ingresso pubbliche.
  12. Selezionare Avanti:Dischi.

Dischi

  • Selezionare Passaggio successivo: Rete.

Rete

  1. In Rete virtuale selezionare VN-Spoke.
  2. In Subnet selezionare SN-Workload.
  3. In IP pubblico selezionare Nessuno.
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.

Gestione

  • Selezionare Avanti: Monitoraggio.

Monitoring

  1. In Diagnostica di avvio, selezionare Disabilita.
  2. Selezionare Rivedi e crea.

Rivedi e crea

Esaminare il riepilogo e quindi selezionare Crea.

  • Nella finestra di dialogo Genera nuova coppia di chiavi selezionare Scarica chiave privata e crea risorsa. Salvare il file di chiave come Srv-Workload_key.pem.

Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Sarà necessario più avanti per la configurazione del firewall. Selezionare il nome della macchina virtuale e in Impostazioni selezionare Rete per trovare l'indirizzo IP privato.

Installare il server Web

Usare la funzionalità Esegui comando del portale di Azure per installare un server Web nella macchina virtuale.

  1. Passare alla macchina virtuale Srv-Workload nel portale di Azure.

  2. In Operazioni selezionare Esegui comando.

  3. Selezionare EseguiShellScript.

  4. Nella finestra Esegui script comando incollare lo script seguente:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Selezionare Esegui.

  6. Attendere il completamento dello script. L'output dovrebbe mostrare l'installazione corretta di Nginx.

Distribuire il firewall e il criterio

  1. Dalla home page del portale selezionare Crea una risorsa.

  2. Cercare Firewall, quindi selezionare Firewall.

  3. Selezionare Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione valore
    Abbonamento <sottoscrizione in uso>
    Gruppo di risorse Selezionare RG-DNAT-Test
    Nome FW-DNAT-test
    Region Selezionare la stessa località usata in precedenza
    Firewall Management Usa un criterio firewall per gestire questo firewall
    Criterio firewall Aggiungi nuovo:
    fw-dnat-pol
    l'area selezionata
    Scegliere una rete virtuale Usa esistente: VN-Hub
    Indirizzo IP pubblico Aggiungi nuovo, Nome: fw-pip.

  5. Deselezionare la casella accanto a Abilita scheda di interfaccia di rete di gestione firewall.

  6. Accettare tutte le altre impostazioni predefinite, quindi selezionare Rivedi e crea.

  7. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  8. Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.

  9. Prendere nota degli indirizzi IP pubblico e privato del firewall. Saranno necessari più avanti per la creazione della route predefinita e della regola NAT.

Creare una route predefinita

Per la subnet SN-Workload configurare la route predefinita in uscita per passare attraverso il firewall.

Importante

Non occorre configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. Se si crea questa route, si creerà un ambiente di routing asimmetrico che interrompe la logica della sessione con stato e porta all'eliminazione di pacchetti e connessioni.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Tabelle route.

  3. Selezionare Aggiungi.

  4. In Sottoscrizione selezionare la propria sottoscrizione.

  5. Per Gruppo di risorse, selezionare RG-DNAT-Test.

  6. In Area selezionare la stessa area usata in precedenza.

  7. In Nome digitare RT-FW-route.

  8. Selezionare Rivedi e crea.

  9. Selezionare Crea.

  10. Selezionare Vai alla risorsa.

  11. Selezionare Subnet e quindi Associa.

  12. In Rete virtuale selezionare VN-Spoke.

  13. In Subnet selezionare SN-Workload.

  14. Selezionare OK.

  15. Selezionare Route e quindi Aggiungi.

  16. In Nome route digitare fw-dg.

  17. In Prefisso indirizzo immettere 0.0.0.0/0.

  18. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  19. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  20. Selezionare OK.

Configurare una regola DNAT

Questa regola consente al traffico HTTP in ingresso da Internet di raggiungere il server Web attraverso il firewall.

  1. Aprire il gruppo di risorse RG-DNAT-Test e selezionare il criterio firewall fw-dnat-pol.
  2. In Impostazioni selezionare Regole DNAT.
  3. Selezionare Aggiungi una raccolta regole.
  4. In Nome digitare web-access.
  5. In Priorità immettere 200.
  6. Per Gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  7. Sotto Regole, per Nome, digitare http-dnat.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. In Origine digitare * per consentire il traffico da qualsiasi origine.
  10. In Protocollo selezionare TCP.
  11. In Porte di destinazione digitare 80.
  12. In Tipo di destinazione selezionare Indirizzo IP.
  13. In Destinazione digitare l'indirizzo IP pubblico del firewall.
  14. In Indirizzo convertito digitare l'indirizzo IP privato di Srv-Workload.
  15. Per Porta tradotta digitare 80.
  16. Selezionare Aggiungi.

Testare il firewall

Testare ora la regola DNAT per verificare che il server Web sia accessibile tramite il firewall.

  1. Aprire un Web browser.
  2. Passare a http://<firewall-public-ip> (usare l'indirizzo IP pubblico del firewall annotato in precedenza).
  3. Verrà visualizzata la pagina Web: Demo DNAT di Firewall di Azure - Srv-Workload

La regola DNAT converte correttamente la richiesta HTTP in ingresso nell'indirizzo IP pubblico del firewall nell'indirizzo IP privato del server Web. In questo modo viene illustrato come usare DNAT di Firewall di Azure per pubblicare applicazioni Web mantenendo i server back-end in una subnet privata.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Per scenari DNAT avanzati che coinvolgono reti sovrapposte o accesso alla rete non instradabile, vedere:

Distribuire DNAT di IP privato di Firewall di Azure per le reti sovrapposte e non instradabili

  • Last updated on