Condividi tramite

Esercitazione: Filtrare il traffico Internet o Intranet in ingresso con il criterio DNAT di Firewall di Azure tramite il portale di Azure

  • Articolo

È possibile configurare il criterio DNAT (Destination Network Address Translation) di Firewall di Azure per convertire e filtrare il traffico Internet o Intranet (anteprima) in ingresso nelle subnet. Quando si configura DNAT, l'azione di raccolta regole è impostata su DNAT. Ogni regola nella raccolta regole NAT può quindi essere usata per convertire la porta e l'indirizzo IP pubblico o privato del firewall in una porta e un indirizzo IP privato. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, l'approccio consigliato è di aggiungere un'origine specifica per consentire l'accesso DNAT alla rete ed evitare di usare caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).

In questa esercitazione apprenderai a:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall e un criterio
  • Creare una route predefinita
  • Configurare una regola DNAT
  • Testare il firewall

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

  1. Accedere al portale di Azure.
  2. Nella home page del portale di Azure selezionare Gruppi di risorse e quindi selezionare Aggiungi.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. In Nome del gruppo di risorse digitare RG-DNAT-Test.
  5. Per Area selezionare la area desiderata. Tutte le altre risorse create devono risiedere nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Configurare l'ambiente di rete

Per questa esercitazione vengono create due reti virtuali con peering:

  • VN-Hub: in questa rete virtuale si trova il firewall.
  • VN-Spoke: in questa rete virtuale si trova il server del carico di lavoro.

Creare innanzitutto le reti virtuali e quindi eseguire il peering.

Creare la rete virtuale dell'hub

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Reti virtuali.

  3. Selezionare Aggiungi.

  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.

  5. In Nome digitare VN-Hub.

  6. Per Area, selezionare la stessa area usata in precedenza.

  7. Selezionare Avanti: Indirizzi IP.

  8. In Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.

  9. In Nome subnet selezionare predefinito.

  10. Modificare il Nome subnet e digitare AzureFirewallSubnet.

    Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

    Nota

    La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  11. In Intervallo di indirizzi della subnet digitare 10.0.1.0/26.

  12. Seleziona Salva.

  13. Selezionare Rivedi e crea.

  14. Seleziona Crea.

Creare un rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Selezionare Aggiungi.
  4. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Spoke.
  6. Per Area, selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti: Indirizzi IP.
  8. Per Spazio indirizzi IPv4, modificare il valore predefinito e digitare 192.168.0.0/16.
  9. Selezionare Aggiungi subnet.
  10. In Nome subnet digitare SN-Workload.
  11. Per Intervallo di indirizzi subnet, digitare 192.168.1.0/24.
  12. Selezionare Aggiungi.
  13. Selezionare Rivedi e crea.
  14. Seleziona Crea.

Eseguire il peering delle reti virtuali

Ora è il momento di eseguire il peering delle due reti virtuali.

  1. Selezionare la rete virtuale VN-Hub.
  2. In Impostazioni selezionare Peering.
  3. Selezionare Aggiungi.
  4. In Questa rete virtuale, per il Nome del collegamento di peering, digitare Peer-HubSpoke.
  5. In Rete virtuale remota, perNome collegamento peering digitare Peer-SpokeHub.
  6. Selezionare VN-Spoke per la rete virtuale.
  7. Accettare tutte le altre impostazioni predefinite, quindi selezionare Aggiungi.

Creare una macchina virtuale

Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.

  1. Dal menu del portale di Azure, selezionare Crea una risorsa.
  2. In Più comuni selezionare Windows Server 2016 Datacenter.

Nozioni di base

  1. Seleziona la tua sottoscrizione in Sottoscrizione.
  2. Per Gruppo di risorse, selezionare RG-DNAT-Test.
  3. In Nome macchina virtuale digitare Srv-Workload.
  4. In Area selezionare la stessa località usata in precedenza.
  5. Immettere un nome utente e la password.
  6. Selezionare Avanti: dischi.

Dischi

  1. Selezionare Avanti: Rete.

Networking

  1. In Rete virtuale selezionare VN-Spoke.
  2. In Subnet selezionare SN-Workload.
  3. In IP pubblico selezionare Nessuno.
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.

Gestione

  1. In Diagnostica di avvio, selezionare Disabilita.
  2. Selezionare Rivedi e crea.

Rivedi e crea

Esaminare il riepilogo e quindi selezionare Crea. Questa operazione richiederà qualche minuto.

Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Sarà necessario più avanti per la configurazione del firewall. Selezionare il nome della macchina virtuale e in Impostazioni selezionare Rete per trovare l'indirizzo IP privato.

Distribuire il firewall e il criterio

  1. Dalla home page del portale selezionare Crea una risorsa.

  2. Cercare Firewall, quindi selezionare Firewall.

  3. Seleziona Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Subscription <sottoscrizione in uso>
    Gruppo di risorse Selezionare RG-DNAT-Test
    Nome FW-DNAT-test
    Paese Selezionare la stessa posizione usata in precedenza
    Gestione del firewall Usare criteri firewall per gestire il firewall
    Criterio firewall Aggiungi nuove:
    fw-dnat-pol
    l'area selezionata
    Scegliere una rete virtuale Usa esistente: VN-Hub
    Indirizzo IP pubblico Aggiungi nuovo, Nome: fw-pip.

  5. Accettare tutte le altre impostazioni predefinite, quindi selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.

  8. Prendere nota degli indirizzi IP pubblico e privato del firewall. Saranno necessari più avanti per la creazione della route predefinita e della regola NAT.

Creare una route predefinita

Per la subnet SN-Workload configurare la route predefinita in uscita per passare attraverso il firewall.

Importante

Non occorre configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. Se si crea questa route, si creerà un ambiente di routing asimmetrico che interrompe la logica della sessione con stato e porta all'eliminazione di pacchetti e connessioni.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Tabelle route.

  3. Selezionare Aggiungi.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. Per Gruppo di risorse, selezionare RG-DNAT-Test.

  6. In Area selezionare la stessa area usata in precedenza.

  7. In Nome digitare RT-FW-route.

  8. Selezionare Rivedi e crea.

  9. Seleziona Crea.

  10. Selezionare Vai alla risorsa.

  11. Selezionare Subnet e quindi Associa.

  12. In Rete virtuale selezionare VN-Spoke.

  13. In Subnet selezionare SN-Workload.

  14. Seleziona OK.

  15. Selezionare Route e quindi Aggiungi.

  16. In Nome route digitare fw-dg.

  17. In Prefisso indirizzo immettere 0.0.0.0/0.

  18. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  19. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  20. Seleziona OK.

Configurare una regola NAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Workload attraverso il firewall.

  1. Aprire il gruppo di risorse RG-DNAT-Test e selezionare il criterio firewall fw-dnat-pol.
  2. In Impostazioni selezionare Regole DNAT.
  3. Selezionare Aggiungi una raccolta regole.
  4. Per Nome digitare rdp.
  5. In Priorità immettere 200.
  6. Per Gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  7. In Regole, per Nome, digitare rdp-nat.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. Per Origine, digitare *.
  10. In Protocollo selezionare TCP.
  11. In Porte di destinazione digitare 3389.
  12. In Tipo di destinazione selezionare Indirizzo IP.
  13. In Destinazione digitare l'indirizzo IP pubblico o privato del firewall.
  14. In Indirizzo convertito digitare l'indirizzo IP privato di Srv-Workload.
  15. Per Porta tradotta digitare 3389.
  16. Selezionare Aggiungi.

Testare il firewall

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall. Dovrebbe essere stabilita una connessione alla macchina virtuale Srv-Workload.
  2. Chiudere il desktop remoto.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium