Zelfstudie: Privé-IP-DNAT van Azure Firewall implementeren voor overlappende en niet-routable netwerken

Met Azure Firewall private IP DNAT (Destination Network Address Translation) kunt u binnenkomend verkeer vertalen en filteren met behulp van het privé-IP-adres van de firewall in plaats van het openbare IP-adres. Deze mogelijkheid is handig voor scenario's met overlappende netwerken of niet-routable netwerktoegang waarbij traditionele openbare IP DNAT niet geschikt is.

Privé-IP DNAT heeft betrekking op twee belangrijke scenario's:

• Overlappende netwerken: wanneer meerdere netwerken dezelfde IP-adresruimte delen
• Niet-routeerbare netwerken: wanneer u toegang nodig hebt tot resources via netwerken die niet rechtstreeks routeerbaar zijn

In deze handleiding leer je hoe je:

• Begrijp privé-IP DNAT-gebruikscases
• Azure Firewall implementeren met privé-IP DNAT-mogelijkheid
• DNAT-regels configureren voor overlappende netwerkscenario's
• DNAT-regels configureren voor niet-routeerbare netwerktoegang
• Privé-IP DNAT-functionaliteit testen
• Verkeersstroom en regelverwerking valideren

Vereiste voorwaarden

• Een Azure-abonnement. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
• Azure Firewall Standard of Premium (privé-IP DNAT wordt niet ondersteund in Basic SKU)
• Bekendheid met Azure-netwerkconcepten
• Inzicht in verwerkingslogica voor Azure Firewall-regels

Belangrijk

Privé-IP DNAT is alleen beschikbaar in Azure Firewall Standard- en Premium-SKU's. De Basic-SKU biedt geen ondersteuning voor deze functie.

Overzicht van scenario

In deze handleiding demonstreert u twee veelvoorkomende privé-IP DNAT-scenario's:

Scenario 1: Overlappende netwerken

U hebt meerdere virtuele netwerken die gebruikmaken van dezelfde IP-adresruimte (bijvoorbeeld 10.0.0.0/16) en die toegang nodig hebben tot resources in deze netwerken zonder IP-conflicten.

Scenario 2: Niet-routable netwerktoegang

U moet toegang bieden tot resources in netwerken die niet rechtstreeks routeerbaar zijn vanuit de bron, zoals toegang tot on-premises resources via Azure Firewall.

De omgeving implementeren

Gebruik de opgegeven ARM-sjabloon om de testomgeving te maken met alle benodigde onderdelen.

De implementatiesjabloon downloaden

1. Download de ARM-sjabloon uit de GitHub-opslagplaats voor Azure Network Security.

2. Sla het PrivateIpDnatArmTemplateV2.json bestand op uw lokale computer op.

Implementeren met behulp van Azure Portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer een resource maken>Resourcesjabloonimplementatie (gebruik aangepaste sjablonen voor implementatie).

3. Selecteer Bouw uw eigen sjabloon in de editor.

4. Verwijder de bestaande inhoud en plak de inhoud van de gedownloade ARM-sjabloon.

5. Selecteer Opslaan.

6. Geef de volgende informatie op:

   • Abonnement: Selecteer uw Azure-abonnement
   • Resourcegroep: Een nieuwe resourcegroep maken of een bestaande groep selecteren
   • Regio: Selecteer uw gewenste Azure-regio
   • Locatie: Deze parameter wordt automatisch ingevuld op basis van de geselecteerde regio

7. Controleer de sjabloonparameters en wijzig indien nodig.

8. Selecteer Beoordelen en maken en vervolgens Maken om de sjabloon te implementeren.

De implementatie maakt de volgende resources:

• Virtuele netwerken voor overlappende en niet-routable scenario's
• Azure Firewall met privé-IP DNAT-configuratie
• Virtuele machines voor het testen van connectiviteit
• Netwerkbeveiligingsgroepen en routetabellen
• Alle benodigde netwerkonderdelen

Opmerking

De ARM-sjabloon bevat vooraf geconfigureerde DNAT-regels voor het testen van beide scenario's. U kunt deze regels na de implementatie onderzoeken of indien nodig wijzigen voor uw specifieke vereisten.

Privé-IP DNAT-regels verifiëren

Nadat de implementatie is voltooid, controleert u of de DNAT-regels correct zijn gemaakt voor beide scenario's.

Regels voor overlappende netwerken controleren

1. Navigeer in Azure Portal naar uw Azure Firewall-resource (azfw-hub-vnet-1).

2. Selecteer onder Instellingenhet firewallbeleid.

3. Selecteer het firewallbeleid (fp-azfw-hub-vnet-1).

4. Selecteer onder Instellingenregelverzamelingsgroepen.

5. Selecteer DefaultDnatRuleCollectionGroup deze optie om de vooraf geconfigureerde regels weer te geven.

U zou de volgende DNAT-regels moeten zien:

• ToVM2-Http: vertaalt 10.10.0.4:80 → 10.10.2.4:80 (toegang tot hub-vnet-2-firewall van spoke-vnet-1)
• ToVM2-Rdp: vertaalt 10.10.0.4:53388 → 10.10.2.4:3389 (RDP-toegang)
• ToVM3-Http: vertaalt 10.10.0.4:8080 → 172.16.0.4:80 (access branch-vnet-1 from spoke-vnet-1)
• ToVM3-Rdp: vertaalt 10.10.0.4:53389 → 172.16.0.4:3389 (RDP-toegang)

Regels voor niet-routable netwerken controleren

1. Navigeer naar de tweede Azure Firewall-resource (azfw-hub-vnet-2).

2. Selecteer onder Instellingenhet firewallbeleid.

3. Selecteer het firewallbeleid (fp-azfw-hub-vnet-2).

4. Selecteer onder Instellingenregelverzamelingsgroepen.

5. Selecteer DefaultDnatRuleCollectionGroup deze optie om de regels voor het tweede scenario weer te geven.

U zou de volgende DNAT-regels moeten zien:

• ToVM2-Http: vertaalt 10.10.2.4:80 → 192.168.0.4:80 (toegang tot spoke-vnet-2 vanuit de hub-vnet-1 firewall subnet)
• ToVM2-Rdp: vertaalt 10.10.2.4:3389 → 192.168.0.4:3389 (RDP-toegang tot spoke-vnet-2)

Deze regels demonstreren het overlappende netwerkscenario waarbij beide spoke-netwerken dezelfde IP-ruimte gebruiken (192.168.0.0/24).

Virtuele machines instellen

Voltooi de VM-configuratie door de opgegeven PowerShell-scripts uit te voeren.

VM configureren in scenario 1 (overlappend netwerk)

1. Maak verbinding met de virtuele machine win-vm-2 met behulp van Azure Bastion of RDP.

2. Open PowerShell met beheerdersrechten.

3. Download en voer het configuratiescript uit:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

Vm configureren in scenario 2 (niet-routable-netwerk)

1. Maak verbinding met de virtuele machine win-vm-3 met behulp van Azure Bastion of RDP.

2. Open PowerShell met beheerdersrechten.

3. Download en voer het configuratiescript uit:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

Privé-IP DNAT-functionaliteit testen

Controleer of de privé-IP DNAT-configuratie correct werkt voor beide scenario's.

Overlappend netwerkscenario testen

1. Probeer vanaf een clientcomputer in het bronnetwerk verbinding te maken met het privé-IP-adres van Azure Firewall met behulp van de geconfigureerde poort.

2. Controleer of de verbinding is omgezet naar de doel-VM in het overlappende netwerk.

3. Controleer de Azure Firewall-logboeken om regeltreffers en geslaagde vertaling te bevestigen.

Niet-routable netwerkscenario testen

1. Maak vanuit het juiste bronnetwerk verbinding met het privé-IP-adres van Azure Firewall.

2. Controleer de toegang tot resources in het niet-routable netwerk via de firewall.

3. Controleer de firewalllogboeken om de juiste regelverwerking en verkeersstroom te garanderen.

Bewaken en problemen oplossen

Als u de prestaties van privé-IP DNAT wilt bewaken, gebruikt u diagnostische logboeken en metrische gegevens van Azure Firewall.

Diagnostische logboekregistratie inschakelen

1. Navigeer in Azure Portal naar uw Azure Firewall-resource.

2. Selecteer Diagnostische instellingen>+ Diagnostische instelling toevoegen.

3. Logboekregistratie configureren voor:

   • Toepassingsregellogboek van Azure Firewall
   • Azure Firewall-netwerkregellogboek
   • Azure Firewall NAT-regellogboek

4. Kies uw favoriete bestemming (Log Analytics-werkruimte, opslagaccount of Event Hubs).

Belangrijke metrische gegevens die moeten worden bewaakt

Bewaak deze metrische gegevens om optimale prestaties te garanderen:

• Verwerkte gegevens: totale hoeveelheid gegevens die door de firewall worden verwerkt
• Aantal treffers voor netwerkregels: aantal overeenkomende netwerkregels
• Aantal NAT-regelhits: aantal overeenkomende DNAT-regels
• Doorvoer: prestaties van firewalldoorvoer

Beste praktijken

Volg deze aanbevolen procedures bij het implementeren van privé-IP DNAT:

• Regelvolgorde: Plaats specifiekere regels met lagere prioriteitsnummers om de juiste verwerkingsvolgorde te garanderen
• Bronspecificatie: Specifieke IP-bereiken van bron gebruiken in plaats van jokertekens voor betere beveiliging
• Netwerksegmentatie: als u overlappende netwerken wilt isoleren, implementeert u de juiste netwerksegmentatie
• Bewaking: Om prestatieproblemen te identificeren, controleert u regelmatig firewalllogboeken en metrische gegevens
• Testen: Om betrouwbaarheid in productie te garanderen, test u alle DNAT-regels grondig voordat u implementeert

De hulpbronnen opschonen

Wanneer u de testomgeving niet meer nodig hebt, verwijdert u de resourcegroep om alle resources te verwijderen die in deze zelfstudie zijn gemaakt.

1. Navigeer in Azure Portal naar uw resourcegroep.

2. Selecteer Resourcegroep verwijderen.

3. Typ de naam van de resourcegroep om het verwijderen te bevestigen.

4. Selecteer Verwijderen om alle resources te verwijderen.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u privé-IP-DNAT van Azure Firewall implementeert en configureert voor overlappende en niet-routable netwerkscenario's. U hebt de testomgeving, de geconfigureerde DNAT-regels en de gevalideerde functionaliteit geïmplementeerd.

Voor meer informatie over mogelijkheden van Azure Firewall DNAT:

• DNAT-regel voor het filteren van inkomend verkeer
• Verwerkingslogica voor Azure Firewall-regels
• Azure Firewall-logboeken en metrische gegevens bewaken
• Privé-IP-adres DNAT-scenario's met Azure Firewall (van het Tech Community-blog)