Delen via

Binnenkomend internet- of intranetverkeer filteren met Azure Firewall DNAT met behulp van Azure Portal

U kunt DNAT (Destination Network Address Translation) van Azure Firewall configureren om inkomend internetverkeer te vertalen en te filteren op uw subnetten of intranetverkeer tussen privénetwerken. Wanneer u DNAT configureert, wordt de actie voor het verzamelen van NAT-regels ingesteld op DNAT. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om het openbare of persoonlijke IP-adres en de poort van uw firewall te vertalen naar een privé-IP-adres en -poort. DNAT-regels voegen impliciet een bijbehorende netwerkregel toe om het verkeer dat is omgezet, toe te staan. Om veiligheidsredenen wordt aanbevolen een specifieke bron toe te voegen om DNAT-toegang tot het netwerk mogelijk te maken en het gebruik van wildcards te vermijden. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

Notitie

In dit artikel worden klassieke firewallregels gebruikt om de firewall te beheren. De voorkeursmethode is het gebruik van firewallbeleid. Zie zelfstudie: Binnenkomend internetverkeer filteren met Azure Firewall policy DNAT met behulp van Azure Portal om deze procedure te voltooien met behulp van Firewall Policy.

Vereiste voorwaarden

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een brongroep maken

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer op de startpagina van de Azure-portal Resourcegroepen en selecteer daarna Maken.
  3. Selecteer uw abonnement bij Abonnement.
  4. Voor de resourcegroep typt u RG-DNAT-Test.
  5. Selecteer een regio voor Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Kies Beoordelen + creëren.
  7. Selecteer Aanmaken.

De netwerkomgeving instellen

Voor dit artikel maakt u twee gekoppelde virtuele netwerken (VNets):

  • VN-Hub : de firewall bevindt zich in dit virtuele netwerk.
  • VN-Spoke : de workloadserver bevindt zich in dit virtuele netwerk.

Maak eerst de VNets en peer ze.

Het virtuele Hub-netwerk maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Aanmaken.
  4. Selecteer resourcegroep en kies RG-DNAT-Test.
  5. Bij Naam typt u VN-Hub.
  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
  7. Klik op Volgende.
  8. Selecteer Volgende op het tabblad Beveiliging.
  9. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.
  10. Selecteer onder Subnetten de standaardwaarde.
  11. Selecteer Azure Firewall voor een subnetsjabloon.

De firewall bevindt zich in dit subnet en de naam van het subnet moet AzureFirewallSubnet zijn.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer Opslaan.
  2. Kies Beoordelen + creëren.
  3. Selecteer Aanmaken.

Een virtueel spoke-netwerk maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Aanmaken.
  4. Selecteer resourcegroep en kies RG-DNAT-Test.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
  7. Klik op Volgende.
  8. Selecteer Volgende op het tabblad Beveiliging.
  9. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  10. Selecteer onder Subnetten de standaardwaarde.
  11. Voor de subnetnaam typt u SN-Workload.
  12. Voor het beginadres typt u 192.168.1.0.
  13. Selecteer /24 voor subnetgrootte.
  14. Selecteer Opslaan.
  15. Kies Beoordelen + creëren.
  16. Selecteer Aanmaken.

VNets peeren

Nu gaat u de twee VNets onderling koppelen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Onder dit virtuele netwerk typ voor de naam van de peeringkoppelingPeer-HubSpoke.
  5. Typ Peer-SpokeHub voor Peering linknaam onder Extern virtueel netwerk.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer Vervolgens Toevoegen.

Maak een virtuele machine

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van Azure Portal.
  2. Onder Populaire Marketplace-producten, selecteer Windows Server 2019 Datacenter.

Basisinstellingen

  1. Selecteer uw abonnement bij Abonnement.
  2. Selecteer resourcegroep en kies RG-DNAT-Test.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Typ een gebruikersnaam en wachtwoord.
  6. Selecteer Volgende: Schijven.

schijven

  1. Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  1. Selecteer Volgende: Monitoring.

Toezicht

  1. Selecteer Uitschakelen voor opstartdiagnostiek.
  2. Selecteer Beoordelen en Creëren.

Beoordelen en maken

Controleer de samenvatting en selecteer Aanmaken. Dit proces duurt enkele minuten.

Nadat de implementatie is voltooid, noteert u het privé-IP-adres van de virtuele machine. U hebt dit IP-adres later nodig bij het configureren van de firewall. Selecteer de naam van de virtuele machine, ga naar Overzicht en noteer onder Netwerken het privé-IP-adres.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De virtuele machine wordt geplaatst in de achterste pool van een standaard load balancer, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt door virtuele-machineschaalsets in de flexibele orchestratiemodus te gebruiken, hebben geen standaard uitgaande toegang.

Voor meer informatie over uitgaande verbindingen in Azure, zie Standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

De firewall implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar firewall en selecteer vervolgens Firewall.

  3. Selecteer Aanmaken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Configuratie Waarde
    Abonnement <uw abonnement>
    Resourcegroep RG-DNAT-Test selecteren
    Naam FW-DNAT-test
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewall-artikelnummer Standaard
    Firewallbeheer Firewallregels (klassiek) gebruiken om deze firewall te beheren
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Nieuwe toevoegen, naam: fw-pip

  5. Accepteer de andere standaardwaarden en selecteer Vervolgens Beoordelen en maken.

  6. Controleer de samenvatting en selecteer Maken om de firewall te implementeren.

    Dit proces duurt enkele minuten.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test .

  8. Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later bij het maken van de standaardroute en NAT-regel.

Een standaardroute maken

Voor het SN-Workload-subnet configureert u de uitgaande standaardroute om door de firewall te gaan.

Belangrijk

U hoeft geen expliciete route terug te configureren naar de firewall op het doelsubnet. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Het maken van deze route zou resulteren in een asymmetrische routeringsomgeving, waardoor de stateful sessielogica wordt onderbroken en verloren pakketten en verbindingen optreden.

  1. Selecteer op de startpagina van de Azure-portal Een resource maken.

  2. Zoek naar Routetabel en selecteer deze.

  3. Selecteer Aanmaken.

  4. Selecteer uw abonnement bij Abonnement.

  5. Selecteer resourcegroep en kies RG-DNAT-Test.

  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FWroute.

  8. Kies Beoordelen + creëren.

  9. Selecteer Aanmaken.

  10. Selecteer Ga naar bron.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Klik op OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u FW-DG.

  17. Selecteer IP-adressen voor doeltype.

  18. Voor doel-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.

  19. Selecteer voor Volgend hoptype de optie Virtueel apparaat.

    Azure Firewall is een beheerde service, maar het selecteren van een virtueel apparaat werkt in deze situatie.

  20. Voor het adres van de volgende hop typt u het privé-IP-adres van de firewall die u eerder hebt genoteerd.

  21. Selecteer Toevoegen.

Een NAT-regel configureren

  1. Open de RG-DNAT-Test resourcegroep en selecteer de FW-DNAT-test firewall.
  2. Selecteer Regels (klassiek) op de pagina FW-DNAT-test onder Instellingen.
  3. Selecteer Verzameling van NAT-regels toevoegen.
  4. Bij Naam typt u RC-DNAT-01.
  5. Bij Prioriteit typt u 200.
  6. Onder Regels typt u bij Naam de naam RL-01.
  7. Bij Protocol selecteert u TCP.
  8. Selecteer IP-adres bij Brontype.
  9. Bij Bron typt u *.
  10. Voor doeladressen typt u het openbare IP-adres van de firewall.
  11. Bij Doelpoorten typt u 3389.
  12. Bij Vertaald adres typt u het privé-IP-adres van de Srv-Workload virtuele machine.
  13. Bij Vertaalde poort typt u 3389.
  14. Selecteer Toevoegen.

Dit proces duurt enkele minuten.

De firewall testen

  1. Een extern bureaublad verbinden met het openbare IP-adres van de firewall. U moet verbonden zijn met de virtuele machine Srv-Workload.
  2. Sluit het externe bureaublad.

De hulpbronnen opschonen

U kunt uw firewallresources bewaren voor verdere tests, of als u deze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle firewallresources te verwijderen.

Volgende stappen

Als volgende kunt u de Azure Firewall-logboeken bewaken.

Zelfstudie: Azure Firewall-logboeken bewaken