Udostępnij przez

Samouczek: filtrowanie przychodzącego ruchu internetowego za pomocą zasad usługi Azure Firewall DNAT przy użyciu witryny Azure Portal

Możesz skonfigurować zasady usługi Azure Firewall dla translacji adresów sieci docelowych (DNAT), aby tłumaczyć i filtrować przychodzący ruch internetowy do Twoich podsieci. Podczas konfigurowania dnaT akcja zbierania reguł jest ustawiona na DNAT. Każda reguła w kolekcji reguł NAT może następnie służyć do tłumaczenia publicznego adresu IP i portu zapory na prywatny adres IP i port. Reguły DNAT automatycznie dodają odpowiednią regułę sieciową, która zezwala na przetłumaczony ruch. Ze względów bezpieczeństwa zalecane jest dodanie określonego źródła w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

W tym samouczku przedstawiono publikowanie serwera internetowego za pomocą DNAT.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zapory i zasad
  • Tworzenie trasy domyślnej
  • Wdrażanie i konfigurowanie serwera internetowego
  • Skonfiguruj regułę DNAT, aby opublikować serwer WWW
  • Testowanie zapory

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Dodaj.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym samouczku utworzysz dwie sieci wirtualne połączone przy użyciu komunikacji równorzędnej:

  • VN-Hub — zapora znajduje się w tej sieci VNet.
  • VN-Spoke — w tej sieci wirtualnej znajduje się serwer obciążeń.

Najpierw utwórz sieci wirtualne, a następnie sparuj je.

Utwórz sieć wirtualną Hub

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.

  3. Wybierz Dodaj.

  4. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.

  5. W polu Nazwa wpisz wartość VN-Hub.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. Wybierz Dalej: adresy IP.

  8. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  9. W obszarze Nazwa podsieci wybierz pozycję domyślną.

  10. Edytuj nazwę podsieci i wpisz AzureFirewallSubnet.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

    Uwaga

    Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  11. W polu Zakres adresów podsieci wpisz 10.0.1.0/26.

  12. Wybierz pozycję Zapisz.

  13. Wybierz Przejrzyj i utwórz.

  14. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz Dodaj.
  4. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz Dalej: adresy IP.
  8. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  9. Wybierz pozycję Dodaj podsieć.
  10. W polu Nazwa podsieci wpisz SN-Workload.
  11. W polu Zakres adresów podsieci wpisz 192.168.1.0/24.
  12. Wybierz Dodaj.
  13. Wybierz Przejrzyj i utwórz.
  14. Wybierz pozycję Utwórz.

Połącz sieci VNet

Teraz połącz sieci wirtualne przy użyciu peeringu.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W obszarze Ustawienia wybierz pozycję Peerings.
  3. Wybierz Dodaj.
  4. W sekcji Ta sieć wirtualna, w polu Nazwa łącza komunikacji równorzędnej, wpisz Peer-HubSpoke.
  5. W obszarze Zdalna wirtualna sieć, w polu Nazwa łącza równorzędnego, wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną dla obciążeń i umieść ją w podsieci SN-Workload.

  1. W menu portalu Azure wybierz polecenie Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Ubuntu Server 22.04 LTS.

Podstawy

  1. W obszarze Subskrypcja wybierz swoją subskrypcję.
  2. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. W obszarze Obraz wybierz pozycję Ubuntu Server 22.04 LTS — x64 Gen2.
  6. W obszarze Rozmiar wybierz Standard_B2s.
  7. W polu Typ uwierzytelniania wybierz pozycję Klucz publiczny SSH.
  8. W polu Nazwa użytkownika wpisz azureuser.
  9. W polu Źródło klucza publicznego SSH wybierz pozycję Generuj nową parę kluczy.
  10. W polu Nazwa pary kluczy wpisz Srv-Workload_key.
  11. Wybierz pozycję Brak w publicznych portach wejściowych.
  12. Wybierz pozycję Dalej: dyski.

Dyski

  • Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. W polu Publiczne porty wejściowe wybierz Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  • Wybierz pozycję Dalej: Monitorowanie.

Nadzorowanie

  1. Dla Diagnostyka rozruchu wybierz Wyłącz.
  2. Wybierz pozycję Recenzja i Utwórz.

Przegląd + Tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz.

  • W oknie dialogowym Generowanie nowej pary kluczy wybierz pozycję Pobierz klucz prywatny i utwórz zasób. Zapisz plik klucza jako Srv-Workload_key.pem.

Po zakończeniu wdrożenia zanotuj prywatny adres IP maszyny wirtualnej. Będzie używany później do skonfigurowania zapory sieciowej. Wybierz nazwę maszyny wirtualnej, a następnie w obszarze Ustawienia wybierz pozycję Sieć , aby znaleźć prywatny adres IP.

Instalowanie serwera internetowego

Użyj funkcji Uruchom polecenie w witrynie Azure Portal, aby zainstalować serwer internetowy na maszynie wirtualnej.

  1. Przejdź do maszyny wirtualnej Srv-Workload w witrynie Azure Portal.

  2. W obszarze Operacje wybierz pozycję Uruchom polecenie.

  3. Wybierz pozycję UruchomShellScript.

  4. W oknie Uruchom skrypt polecenia wklej następujący skrypt:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Wybierz Uruchom.

  6. Poczekaj na ukończenie skryptu. Dane wyjściowe powinny pokazywać pomyślną instalację serwera Nginx.

Wdrażanie zapory i zasad

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj Zaporę, a następnie wybierz Zaporę.

  3. Wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory skorzystaj z poniższej tabeli, aby skonfigurować zaporę.

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz RG-DNAT-Test
    Nazwisko Test FW-DNAT
    Rejon Wybierz tę samą lokalizację, której użyto poprzednio
    Zarządzanie zaporą Użyj zasad zapory, aby zarządzać tą zaporą
    Zasady zapory Dodaj nowe:
    fw-dnat-pol
    wybrany region
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-pip.

  5. Usuń zaznaczenie pola wyboru obok pozycji Włącz interfejs sieciowy do zarządzania zaporą.

  6. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  7. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  8. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test.

  9. Zanotuj prywatne i publiczne adresy IP zapory. Będą one używane później podczas tworzenia trasy domyślnej i reguły NAT.

Tworzenie trasy domyślnej

Na potrzeby podsieci SN-Workload skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

Ważne

Nie trzeba konfigurować jawnej trasy z powrotem do zapory w podsieci docelowej. Usługa Azure Firewall to usługa stanowa i automatycznie obsługuje pakiety i sesje. Jeśli utworzysz tę trasę, utworzysz asymetryczne środowisko routingu, które przerywa logikę sesji stanowej i powoduje usunięcie pakietów i połączeń.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz Dodaj.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FW-route.

  8. Wybierz Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz Przejdź do zasobu.

  11. Wybierz Podsieci, a następnie Połącz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz fw-dg.

  17. W polu Prefiks adresu wpisz wartość 0.0.0.0/0.

  18. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  19. W polu Adres następnego przeskoku wpisz wcześniej zanotowany prywatny adres IP zapory sieciowej.

  20. Wybierz przycisk OK.

Konfigurowanie reguły DNAT

Ta reguła umożliwia przychodzącemu ruchowi HTTP z Internetu dotarcie do serwera internetowego za pośrednictwem zapory.

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz zasady zapory fw-dnat-pol.
  2. W obszarze Ustawienia wybierz pozycję Reguły DNAT.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz web-access.
  5. W polu Priorytet wpisz wartość 200.
  6. Dla Grupy kolekcji reguł wybierz DefaultDnatRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wpisz http-dnat.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz * , aby zezwolić na ruch z dowolnego źródła.
  10. W polu Protokół wybierz TCP.
  11. W polu Porty docelowe wpisz wartość 80.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz publiczny adres IP zapory.
  14. Dla przetłumaczonego adresu wpisz prywatny adres IP Srv-Workload.
  15. W polu Przetłumaczony port wpisz wartość 80.
  16. Wybierz Dodaj.

Testowanie zapory

Teraz przetestuj regułę DNAT, aby sprawdzić, czy serwer internetowy jest dostępny za pośrednictwem zapory.

  1. Otwórz przeglądarkę internetową.
  2. Przejdź do http://<firewall-public-ip> (użyj wcześniej zanotowanego publicznego adresu IP zapory).
  3. Powinna zostać wyświetlona strona internetowa: Pokaz DNAT usługi Azure Firewall — Srv-Workload

Reguła DNAT pomyślnie tłumaczy przychodzące żądanie HTTP z publicznego adresu IP zapory na prywatny adres IP serwera internetowego. Pokazuje to, jak usługa Azure Firewall DNAT może służyć do publikowania aplikacji internetowych przy zachowaniu serwerów zaplecza w podsieci prywatnej.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów RG-DNAT-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Aby uzyskać zaawansowane scenariusze DNAT obejmujące nakładające się sieci lub dostęp sieciowy bez routingu, zobacz:

Wdrażanie prywatnego protokołu IP DNAT usługi Azure Firewall dla nakładających się i nieobsługijących routingu sieci

  • Last updated on