Zelfstudie: Binnenkomend internetverkeer filteren met Azure Firewall-beleids-DNAT met behulp van de Azure Portal

  • Artikel

U kunt Azure Firewall-beleid DNAT (Destination Network Address Translation) configureren om binnenkomend internetverkeer naar uw subnetten te vertalen en filteren. Wanneer u DNAT configureert, wordt de actie regelverzameling ingesteld op DNAT. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om het openbare IP-adres en de poort van uw firewall te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt er impliciet een overeenkomende netwerkregel toegevoegd om het omgezette verkeer toe te staan. Om veiligheidsredenen is de aanbevolen aanpak om een specifieke internetbron toe te voegen om DNAT-toegang tot het netwerk toe te staan en het gebruik van jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en beleid implementeren
  • Een standaardroute maken
  • Een DNAT-regel configureren
  • De firewall testen

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een resourcegroep maken

  1. Meld u aan bij de Azure-portal.
  2. Selecteer op de startpagina van Azure Portal Resourcegroepen en vervolgens Toevoegen.
  3. Bij Abonnement selecteert u uw abonnement.
  4. Bij Resourcegroepnaam typt u RG-DNAT-Test.
  5. Selecteer een regio bij Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De netwerkomgeving instellen

In deze zelfstudie maakt u twee VNets die peer zijn van elkaar:

  • VN-Hub: de firewall bevindt zich in dit VNet.
  • VN-Spoke: de workloadserver bevindt zich in dit VNet.

Maak eerst de VNets en peer ze.

Een hub-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Onder Netwerken selecteert u Virtuele netwerken.

  3. Selecteer Toevoegen.

  4. Selecteer bij Resourcegroepde optie RG-DNAT-Test.

  5. Bij Naam typt u VN-Hub.

  6. Selecteer bij Regio de regio die u eerder hebt gebruikt.

  7. Selecteer Volgende: IP-adressen.

  8. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  9. Onder Subnetnaam selecteert u standaard.

  10. Bewerk de subnetnaam en typ AzureFirewallSubnet.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

    Notitie

    De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  11. Bij Subnetadresbereik typt u 10.0.1.0/26.

  12. Selecteer Opslaan.

  13. Selecteer Controleren + maken.

  14. Selecteer Maken.

Een spoke-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Toevoegen.
  4. Selecteer bij Resourcegroepde optie RG-DNAT-Test.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer bij Regio de regio die u eerder hebt gebruikt.
  7. Selecteer Volgende: IP-adressen.
  8. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  9. Selecteer Subnet toevoegen.
  10. Als subnetnaamtypt u SN-Workload.
  11. Typ 192.168.1.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Selecteer Controleren en maken.
  14. Selecteer Maken.

De VNets instellen als peers

Nu gaat u de twee VNets als peer van elkaar instellen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Onder Dit virtuele netwerk typt u Peer-HubSpoke voor de naam van de Peering-koppeling.
  5. Typ onder Extern virtueel netwerk bij Peering-koppelingsnaamPeer-SpokeHub.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer vervolgens Toevoegen.

Een virtuele machine maken

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van de Azure-portal.
  2. Selecteer Windows Server 2016 Datacenter onder Populair.

Basisinstellingen

  1. Bij Abonnement selecteert u uw abonnement.
  2. Selecteer bij Resourcegroepde optie RG-DNAT-Test.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Typ een gebruikersnaam en wachtwoord.
  6. Selecteer Volgende: Schijven.

Disks

  1. Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  1. Selecteer Uitschakelen voor Diagnostische gegevens over opstarten.
  2. Selecteer Controleren + maken.

Beoordelen en maken

Controleer de samenvatting en selecteer Maken. Het duurt enkele minuten voordat dit is voltooid.

Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Noteer dit voor later gebruik, wanneer u de firewall gaat configureren. Selecteer de naam van de virtuele machine en selecteer onder Instellingen de optie Netwerken om het privé-IP-adres te vinden.

De firewall en het beleid implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar Firewall en selecteer vervolgens Firewall.

  3. Selecteer Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Waarde
    Abonnement <uw abonnement>
    Resourcegroep Selecteer RG-DNAT-Test
    Naam FW-DNAT-test
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Nieuwe toevoegen:
    fw-dnat-pol
    uw geselecteerde regio
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Voeg nieuwe toe, Naam: fw-pip.

  5. Accepteer de andere standaardwaarden en selecteer vervolgens Beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het implementeren duurt een paar minuten.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.

  8. Noteer de persoonlijke en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.

Een standaardroute maken

Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.

Belangrijk

U hoeft geen expliciete route terug naar de firewall op het doelsubnet te configureren. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Als u deze route maakt, maakt u een asymmetrische routeringsomgeving die de stateful sessielogica onderbreekt en resulteert in verwijderde pakketten en verbindingen.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Toevoegen.

  4. Bij Abonnement selecteert u uw abonnement.

  5. Selecteer bij Resourcegroepde optie RG-DNAT-Test.

  6. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FW-route.

  8. Selecteer Controleren + maken.

  9. Selecteer Maken.

  10. Selecteer Ga naar resource.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Selecteer OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u fw-dg.

  17. Bij Adresvoorvoegsel typt u 0.0.0.0/0.

  18. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  19. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  20. Selecteer OK.

Een NAT-regel configureren

Met deze regel kunt u een extern bureaublad via de firewall verbinden met de Srv-Workload virtuele machine.

  1. Open de resourcegroep RG-DNAT-Test en selecteer het firewallbeleid fw-dnat-pol .
  2. Selecteer onder Instellingende optie DNAT-regels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Typ rdp bij Naam.
  5. Bij Prioriteit typt u 200.
  6. Bij Regelverzamelingsgroep selecteert u DefaultDnatRuleCollectionGroup.
  7. Onder Regels typt u bij Naam de naam rdp-nat.
  8. Selecteer IP-adres bij Brontype.
  9. Typ bij Bron* .
  10. Bij Protocol selecteert u TCP.
  11. Typ bij Doelpoorten3389.
  12. Bij Doeltype selecteert u IP-adres.
  13. Bij Doel typt u het openbare IP-adres van de firewall.
  14. Bij Vertaald adres typt u het privé-IP-adres van Srv-Workload .
  15. Bij Vertaalde poort typt u 3389.
  16. Selecteer Toevoegen.

De firewall testen

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall. U wordt als het goed is verbonden met de virtuele machine Srv-Workload.
  2. Sluit de sessie van Extern bureaublad.

Resources opschonen

U kunt de firewall-resources behouden voor de volgende zelfstudie. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle aan de firewall gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren