Filtrare il traffico Internet o Intranet in ingresso con DNAT di Firewall di Azure tramite il portale di Azure
È possibile configurare la modalità DNAT (Destination Network Address Translation) di Firewall di Azure per convertire e filtrare il traffico Internet in ingresso nelle subnet o il traffico Intranet tra reti private (anteprima). Quando si configura la modalità DNAT, l'azione di raccolta delle regole NAT è impostata su Dnat. Ogni regola nella raccolta regole NAT può quindi essere usata per convertire la porta e l'indirizzo IP pubblici o privati del firewall in porta e indirizzo IP privati. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, l'approccio consigliato è di aggiungere una fonte specifica per consentire l'accesso DNAT alla rete ed evitare di usare caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).
Nota
Questo articolo usa le regole del firewall classiche per gestire il firewall. Il metodo preferito consiste nell'usare un criterio firewall. Per completare questa procedura usando i criteri firewall, vedere Esercitazione: Filtrare il traffico Internet in ingresso con DNAT di Firewall di Azure tramite il portale di Azure
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare un gruppo di risorse
- Accedere al portale di Azure.
- Nella home page del portale di Azure, selezionare Gruppi di risorse e quindi selezionare Crea.
- Seleziona la tua sottoscrizione in Sottoscrizione.
- In Gruppo di risorse, digitare RG-DNAT-Test.
- Per Area selezionare la area desiderata. Tutte le altre risorse create devono risiedere nella stessa area.
- Selezionare Rivedi e crea.
- Seleziona Crea.
Configurare l'ambiente di rete
Per questo articolo, vengono create due reti virtuali con peering:
- VN-Hub: in questa rete virtuale si trova il firewall.
- VN-Spoke: in questa rete virtuale si trova il server del carico di lavoro.
Creare innanzitutto le reti virtuali e quindi eseguire il peering.
Creare la rete virtuale dell'hub
Nella home page del portale di Azure selezionare Tutti i servizi.
In Rete selezionare Reti virtuali.
Seleziona Crea.
Per Gruppo di risorse, selezionare RG-DNAT-Test.
In Nome digitare VN-Hub.
Per Area, selezionare la stessa area usata in precedenza.
Selezionare Avanti.
Selezionare Avanti nella scheda Sicurezza.
In Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.
In Subnet, selezionare predefinita.
Per Modello subnet, selezionare Firewall di Azure.
Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.
Nota
La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.
Seleziona Salva.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare un rete virtuale spoke
- Nella home page del portale di Azure selezionare Tutti i servizi.
- In Rete selezionare Reti virtuali.
- Seleziona Crea.
- Per Gruppo di risorse, selezionare RG-DNAT-Test.
- In Nome digitare VN-Spoke.
- Per Area, selezionare la stessa area usata in precedenza.
- Selezionare Avanti.
- Selezionare Avanti nella scheda Sicurezza.
- Per Spazio indirizzi IPv4, modificare il valore predefinito e digitare 192.168.0.0/16.
- In Subnet, selezionare predefinita.
- Per il Nome della subnet, digitare SN-Workload.
- Per Indirizzo iniziale, digitare 192.168.1.0.
- Per Dimensioni subnet, selezionare /24.
- Seleziona Salva.
- Selezionare Rivedi e crea.
- Seleziona Crea.
Eseguire il peering delle reti virtuali
Ora è il momento di eseguire il peering delle due reti virtuali.
- Selezionare la rete virtuale VN-Hub.
- In Impostazioni selezionare Peering.
- Selezionare Aggiungi.
- In Questa rete virtuale, per il Nome del collegamento di peering, digitare Peer-HubSpoke.
- In Rete virtuale remota, perNome collegamento peering digitare Peer-SpokeHub.
- Selezionare VN-Spoke per la rete virtuale.
- Accettare tutte le altre impostazioni predefinite, quindi selezionare Aggiungi.
Creare una macchina virtuale
Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.
- Dal menu del portale di Azure, selezionare Crea una risorsa.
- In Prodotti più diffusi del marketplace, selezionare Windows Server 2019 Datacenter.
Nozioni di base
- Seleziona la tua sottoscrizione in Sottoscrizione.
- Per Gruppo di risorse, selezionare RG-DNAT-Test.
- In Nome macchina virtuale digitare Srv-Workload.
- In Area selezionare la stessa località usata in precedenza.
- Immettere un nome utente e la password.
- Selezionare Avanti: dischi.
Dischi
- Selezionare Avanti: Rete.
Networking
- In Rete virtuale selezionare VN-Spoke.
- In Subnet selezionare SN-Workload.
- In IP pubblico selezionare Nessuno.
- In Porte in ingresso pubbliche selezionare Nessuna.
- Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.
Gestione
- Selezionare Avanti: Monitoraggio.
Monitoraggio
- In Diagnostica di avvio, selezionare Disabilita.
- Selezionare Rivedi e crea.
Rivedi e crea
Esaminare il riepilogo e quindi selezionare Crea. Per il completamento dell'operazione sono richiesti alcuni minuti.
Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Sarà necessario più avanti per la configurazione del firewall. Selezionare il nome della macchina virtuale. Selezionare Panoramica e in Reti prendere nota dell'indirizzo IP privato.
Nota
Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.
L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:
- Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
- La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
- Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.
Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.
Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.
Distribuire il firewall
Dalla home page del portale selezionare Crea una risorsa.
Cercare Firewall, quindi selezionare Firewall.
Seleziona Crea.
Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:
Impostazione Valore Subscription <sottoscrizione in uso> Gruppo di risorse Selezionare RG-DNAT-Test Nome FW-DNAT-test Paese Selezionare la stessa posizione usata in precedenza SKU firewall Standard Gestione del firewall Usare Regole del firewall (versione classica) per gestire questo firewall Scegliere una rete virtuale Usa esistente: VN-Hub Indirizzo IP pubblico Aggiungi nuovo, Nome: fw-pip. Accettare tutte le altre impostazioni predefinite, quindi selezionare Rivedi e crea.
Controllare il riepilogo e quindi selezionare Crea per creare il firewall.
La distribuzione richiede alcuni minuti.
Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.
Prendere nota degli indirizzi IP pubblico e privato del firewall. Saranno necessari più avanti per la creazione della route predefinita e della regola NAT.
Creare una route predefinita
Per la subnet SN-Workload configurare la route predefinita in uscita per passare attraverso il firewall.
Importante
Non occorre configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. Se si crea questa route, si creerà un ambiente di routing asimmetrico che interrompe la logica della sessione con stato e porta all'eliminazione di pacchetti e connessioni.
Dalla home page del portale di Azure selezionare Crea una risorsa.
Cercare e selezionare Tabella di route.
Seleziona Crea.
Seleziona la tua sottoscrizione in Sottoscrizione.
Per Gruppo di risorse, selezionare RG-DNAT-Test.
In Area selezionare la stessa area usata in precedenza.
In Nome digitare RT-FWroute.
Selezionare Rivedi e crea.
Seleziona Crea.
Selezionare Vai alla risorsa.
Selezionare Subnet e quindi Associa.
In Rete virtuale selezionare VN-Spoke.
In Subnet selezionare SN-Workload.
Seleziona OK.
Selezionare Route e quindi Aggiungi.
In Nome route immettere FW-DG.
Per Tipo di destinazione selezionare Indirizzo IP.
Per Indirizzi IP/Intervalli CIDR di destinazione digitare 0.0.0.0/0.
In Tipo hop successivo selezionare Appliance virtuale.
Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.
In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.
Selezionare Aggiungi.
Configurare una regola NAT
- Aprire il gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.
- Nella pagina FW-DNAT-test, in Impostazioni, selezionare Regole (versione classica).
- Selezionare Aggiungi raccolta regole NAT.
- Per Nome digitare RC-DNAT-01.
- In Priorità immettere 200.
- In Regole per Nome digitare RL-01.
- In Protocollo selezionare TCP.
- In Tipo di origine selezionare Indirizzo IP.
- Per Origine, digitare *.
- Per Indirizzi di destinazione digitare l'indirizzo IP pubblico o privato del firewall.
- Per Porte di destinazione digitare 3389.
- Per Indirizzo convertito digitare l'indirizzo IP privato per la macchina virtuale Srv-Workload.
- Per Porta tradotta digitare 3389.
- Selezionare Aggiungi.
Per il completamento dell'operazione sono richiesti alcuni minuti.
Testare il firewall
- Connettere un desktop remoto all'indirizzo IP pubblico del firewall. Dovrebbe essere stabilita una connessione alla macchina virtuale Srv-Workload.
- Chiudere il desktop remoto.
Pulire le risorse
È possibile conservare le risorse del firewall per ulteriori test oppure, se non è più necessario, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.
Passaggi successivi
È possibile ora monitorare i log di Firewall di Azure.