Delen via

Zelfstudie: Binnenkomend internet- of intranetverkeer filteren met Azure Firewall policy DNAT met behulp van Azure Portal

  • Artikel

U kunt AZURE Firewall Policy Destination Network Address Translation (DNAT) configureren om inkomend internet- of intranetverkeer (preview) naar uw subnetten te vertalen en filteren. Wanneer u DNAT configureert, wordt de actie regelverzameling ingesteld op DNAT. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om uw firewall openbaar of privé-IP-adres en -poort te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt er impliciet een overeenkomende netwerkregel toegevoegd om het omgezette verkeer toe te staan. Om veiligheidsredenen is het raadzaam om een specifieke bron toe te voegen om DNAT-toegang tot het netwerk toe te staan en jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en beleid implementeren
  • Een standaardroute maken
  • Een DNAT-regel configureren
  • De firewall testen

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een brongroep maken

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer op de startpagina van Azure Portal Resourcegroepen en vervolgens Toevoegen.
  3. Selecteer uw abonnement bij Abonnement.
  4. Bij Resourcegroepnaam typt u RG-DNAT-Test.
  5. Selecteer een regio voor Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De netwerkomgeving instellen

In deze zelfstudie maakt u twee VNets die peer zijn van elkaar:

  • VN-Hub: de firewall bevindt zich in dit VNet.
  • VN-Spoke: de workloadserver bevindt zich in dit VNet.

Maak eerst de VNets en peer ze.

Een hub-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Onder Netwerken selecteert u Virtuele netwerken.

  3. Selecteer Toevoegen.

  4. Selecteer RG-DNAT-Test voor resourcegroep.

  5. Bij Naam typt u VN-Hub.

  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.

  7. Selecteer Volgende: IP-adressen.

  8. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  9. Onder Subnetnaam selecteert u standaard.

  10. Bewerk de naam van het subnet en typ AzureFirewallSubnet.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

    Notitie

    De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  11. Voor subnetadresbereik typt u 10.0.1.0/26.

  12. Selecteer Opslaan.

  13. Selecteer Controleren + maken.

  14. Selecteer Maken.

Een spoke-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Toevoegen.
  4. Selecteer RG-DNAT-Test voor resourcegroep.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
  7. Selecteer Volgende: IP-adressen.
  8. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  9. Selecteer Subnet toevoegen.
  10. Voor de naam van het subnet typt u SN-Workload.
  11. Typ 192.168.1.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Selecteer Controleren + maken.
  14. Selecteer Maken.

De VNets instellen als peers

Nu gaat u de twee VNets als peer van elkaar instellen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Typ onder Dit virtuele netwerk voor de naam van de peeringkoppeling peer-hubspoke.
  5. Typ peer-spokeHub onder Extern virtueel netwerk voor de naam van de peeringkoppeling.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer Vervolgens Toevoegen.

Maak een virtuele machine

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van Azure Portal.
  2. Selecteer Windows Server 2016 Datacenter onder Populair.

Basisinstellingen

  1. Selecteer uw abonnement bij Abonnement.
  2. Selecteer RG-DNAT-Test voor resourcegroep.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Typ een gebruikersnaam en wachtwoord.
  6. Selecteer Volgende: Schijven.

Disks

  1. Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  1. Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
  2. Selecteer Controleren + maken.

Beoordelen en maken

Controleer de samenvatting en selecteer Maken. Het duurt enkele minuten voordat dit is voltooid.

Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Noteer dit voor later gebruik, wanneer u de firewall gaat configureren. Selecteer de naam van de virtuele machine en selecteer onder Instellingen de optie Netwerken om het privé-IP-adres te vinden.

De firewall en het beleid implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar firewall en selecteer vervolgens Firewall.

  3. Selecteer Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Abonnement <uw abonnement>
    Resourcegroep RG-DNAT-Test selecteren
    Naam FW-DNAT-test
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Nieuwe toevoegen:
    fw-dnat-pol
    uw geselecteerde regio
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Voeg nieuwe, naam toe: fw-pip.

  5. Accepteer de andere standaardwaarden en selecteer Vervolgens Beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het implementeren duurt een paar minuten.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.

  8. Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.

Een standaardroute maken

Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.

Belangrijk

U hoeft geen expliciete route terug te configureren naar de firewall op het doelsubnet. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Als u deze route maakt, maakt u een asymmetrische routeringsomgeving die de stateful sessielogica onderbreekt en resulteert in verwijderde pakketten en verbindingen.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Toevoegen.

  4. Selecteer uw abonnement bij Abonnement.

  5. Selecteer RG-DNAT-Test voor resourcegroep.

  6. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FW-route.

  8. Selecteer Controleren + maken.

  9. Selecteer Maken.

  10. Selecteer Naar resource.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Selecteer OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u fw-dg.

  17. Bij Adresvoorvoegsel typt u 0.0.0.0/0.

  18. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  19. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  20. Selecteer OK.

Een NAT-regel configureren

Met deze regel kunt u een extern bureaublad verbinden met de virtuele Srv-Workload-machine via de firewall.

  1. Open de resourcegroep RG-DNAT-Test en selecteer het firewallbeleid fw-dnat-pol .
  2. Selecteer onder Instellingen DNAT-regels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Typ rdp bij Naam.
  5. Bij Prioriteit typt u 200.
  6. Selecteer DefaultDnatRuleCollectionGroup voor regelverzameling.
  7. Onder Regels typt u bij Naam de naam rdp-nat.
  8. Selecteer IP-adres bij Brontype.
  9. Typ bij Bron *.
  10. Bij Protocol selecteert u TCP.
  11. Typ bij Doelpoorten 3389.
  12. Bij Doeltype selecteert u IP-adres.
  13. Voor Bestemming typt u het openbare of persoonlijke IP-adres van de firewall.
  14. Voor vertaald adres typt u het privé-IP-adres van Srv-Workload .
  15. Bij Vertaalde poort typt u 3389.
  16. Selecteer Toevoegen.

De firewall testen

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall. U wordt als het goed is verbonden met de virtuele machine Srv-Workload.
  2. Sluit de sessie van Extern bureaublad.

Resources opschonen

U kunt de firewall-resources behouden voor de volgende zelfstudie. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle aan de firewall gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren