Binnenkomend internetverkeer filteren met Azure Firewall DNAT met behulp van de Azure Portal

  • Artikel

U kunt Azure Firewall Destination Network Address Translation (DNAT) configureren voor het omzetten en filteren van inkomend verkeer van internet naar uw subnetten. Wanneer u DNAT configureert, wordt de actie Verzameling van NAT-regels ingesteld op Dnat. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om het openbare IP-adres en de poort van uw firewall te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt er impliciet een overeenkomende netwerkregel toegevoegd om het omgezette verkeer toe te staan. Om veiligheidsredenen is de aanbevolen aanpak om een specifieke internetbron toe te voegen om DNAT-toegang tot het netwerk toe te staan en het gebruik van jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

In dit artikel leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall implementeren
  • Een standaardroute maken
  • Een DNAT-regel configureren
  • De firewall testen

Notitie

In dit artikel worden klassieke firewallregels gebruikt om de firewall te beheren. De voorkeursmethode is het gebruik van firewallbeleid. Als u deze procedure wilt voltooien met behulp van firewallbeleid, raadpleegt u Zelfstudie: Binnenkomend internetverkeer filteren met Azure Firewall beleid DNAT met behulp van de Azure Portal

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een resourcegroep maken

  1. Meld u aan bij Azure Portal op https://portal.azure.com.
  2. Selecteer resourcegroepen op de startpagina van Azure Portal en selecteer vervolgens Maken.
  3. Bij Abonnement selecteert u uw abonnement.
  4. Bij Resourcegroeptypt u RG-DNAT-Test.
  5. Selecteer een regio bij Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De netwerkomgeving instellen

Voor dit artikel maakt u twee gekoppelde VNets:

  • VN-Hub: de firewall bevindt zich in dit VNet.
  • VN-Spoke: de workloadserver bevindt zich in dit VNet.

Maak eerst de VNets en peer ze.

Een hub-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Onder Netwerken selecteert u Virtuele netwerken.

  3. Selecteer Maken.

  4. Selecteer bij Resourcegroepde optie RG-DNAT-Test.

  5. Bij Naam typt u VN-Hub.

  6. Selecteer bij Regio de regio die u eerder hebt gebruikt.

  7. Selecteer Volgende: IP-adressen.

  8. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  9. Onder Subnetnaam selecteert u standaard.

  10. Bewerk de subnetnaam en typ AzureFirewallSubnet.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

    Notitie

    De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  11. Bij Subnetadresbereik typt u 10.0.1.0/26.

  12. Selecteer Opslaan.

  13. Selecteer Controleren + maken.

  14. Selecteer Maken.

Een spoke-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Maken.
  4. Selecteer bij Resourcegroepde optie RG-DNAT-Test.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer bij Regio de regio die u eerder hebt gebruikt.
  7. Selecteer Volgende: IP-adressen.
  8. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  9. Selecteer Subnet toevoegen.
  10. Als subnetnaamtypt u SN-Workload.
  11. Typ 192.168.1.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Selecteer Controleren en maken.
  14. Selecteer Maken.

De VNets instellen als peers

Nu gaat u de twee VNets als peer van elkaar instellen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Onder Dit virtuele netwerk typt u Peer-HubSpoke voor de naam van de Peering-koppeling.
  5. Onder Extern virtueel netwerk typt u Peer-SpokeHub bij Naam van peeringkoppeling.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer vervolgens Toevoegen.

Een virtuele machine maken

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van de Azure-portal.
  2. Selecteer onder Populairde optie Windows Server 2019 Datacenter.

Basisinstellingen

  1. Bij Abonnement selecteert u uw abonnement.
  2. Selecteer bij Resourcegroepde optie RG-DNAT-Test.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Typ een gebruikersnaam en wachtwoord.
  6. Selecteer Volgende: Schijven.

Disks

  1. Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  1. Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
  2. Selecteer Controleren + maken.

Beoordelen en maken

Controleer de samenvatting en selecteer Maken. Het duurt enkele minuten voordat dit is voltooid.

Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Noteer dit voor later gebruik, wanneer u de firewall gaat configureren. Selecteer de naam van de virtuele machine en selecteer onder Instellingen de optie Netwerken om het privé-IP-adres te vinden.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor vm's waaraan geen openbaar IP-adres is toegewezen of die zich in de back-endpool van een interne azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang wordt uitgeschakeld wanneer een openbaar IP-adres wordt toegewezen aan de VM, de VM wordt geplaatst in de back-endpool van een standaard load balancer, met of zonder uitgaande regels, of als een Azure Virtual Network NAT-gatewayresource is toegewezen aan het subnet van de VM.

VM's die zijn gemaakt door virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaard uitgaande toegang.

Zie Standaard uitgaande toegang in Azure en SNAT (Bronnetwerkadresomzetting (SNAT) gebruiken voor uitgaande verbindingen voor meer informatie over uitgaande verbindingenin Azure.

De firewall implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar Firewallen selecteer firewall.

  3. Selecteer Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Waarde
    Abonnement <uw abonnement>
    Resourcegroep Selecteer RG-DNAT-Test
    Naam FW-DNAT-test
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewalllaag Standard
    Firewallbeheer Firewallregels (klassiek) gebruiken om deze firewall te beheren
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Nieuwe toevoegen, Naam: fw-pip.

  5. Accepteer de andere standaardwaarden en selecteer vervolgens Beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.

  8. Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.

Een standaardroute maken

Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.

Belangrijk

U hoeft geen expliciete route terug te configureren naar de firewall op het doelsubnet. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Als u deze route maakt, maakt u een asymmetrische routeringsomgeving die de stateful sessielogica onderbreekt en resulteert in verwijderde pakketten en verbindingen.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Maken.

  4. Bij Abonnement selecteert u uw abonnement.

  5. Selecteer bij Resourcegroepde optie RG-DNAT-Test.

  6. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FWroute.

  8. Selecteer Controleren + maken.

  9. Selecteer Maken.

  10. Selecteer Ga naar resource.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Selecteer OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u FW-DG.

  17. Bij Doel van adresvoorvoegsel selecteert u IP-adressen.

  18. Bij Doel-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.

  19. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  20. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  21. Selecteer Toevoegen.

Een NAT-regel configureren

  1. Open de resourcegroep RG-DNAT-Test en selecteer de firewall FW-DNAT-test .
  2. Selecteer op de pagina FW-DNAT-test onder Instellingende optie Regels (klassiek).
  3. Selecteer Verzameling van NAT-regels toevoegen.
  4. Bij Naam typt u RC-DNAT-01.
  5. Bij Prioriteit typt u 200.
  6. Onder Regels typt u bij Naam de naam RL-01.
  7. Bij Protocol selecteert u TCP.
  8. Selecteer IP-adres bij Brontype.
  9. Bij Bron typt u *.
  10. Bij Doeladressen typt u het openbare IP-adres van de firewall.
  11. Bij Doelpoorten typt u 3389.
  12. Bij Omgezet adres typt u het privé-IP-adres voor de virtuele machine Srv-Workload.
  13. Bij Vertaalde poort typt u 3389.
  14. Selecteer Toevoegen. Het duurt enkele minuten voordat dit is voltooid.

De firewall testen

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall. U wordt als het goed is verbonden met de virtuele machine Srv-Workload.
  2. Sluit de sessie van Extern bureaublad.

Resources opschonen

U kunt uw firewallresources bewaren voor verdere tests of, indien niet meer nodig, de resourcegroep RG-DNAT-Test verwijderen om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Als volgende kunt u de Azure Firewall-logboeken bewaken.

Zelfstudie: Azure Firewall-logboeken bewaken