Udostępnij za pośrednictwem

Filtrowanie przychodzącego ruchu internetowego za pomocą protokołu DNAT usługi Azure Firewall przy użyciu witryny Azure Portal

  • Artykuł

Możesz skonfigurować funkcję translacji docelowych adresów sieciowych (DNAT) usługi Azure Firewall do wykonywania translacji i filtrowania ruchu internetowego przychodzącego do podsieci. Podczas konfigurowania funkcji DNAT akcja kolekcji reguł NAT jest ustawiana na wartość Dnat. Każda reguła w kolekcji reguł NAT może następnie służyć do tłumaczenia publicznego adresu IP i portu zapory na prywatny adres IP i port. Reguły DNAT niejawnie dodają odpowiednią regułę sieci zezwalającą na przekształcony ruch. Ze względów bezpieczeństwa zalecane jest dodanie określonego źródła internetowego w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

Uwaga

W tym artykule użyto klasycznych reguł zapory do zarządzania zaporą. Preferowaną metodą jest użycie zasad zapory. Aby wykonać tę procedurę przy użyciu zasad zapory, zobacz Samouczek: filtrowanie przychodzącego ruchu internetowego przy użyciu zasad usługi Azure Firewall DNAT przy użyciu witryny Azure Portal

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Utwórz.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Grupa zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym artykule utworzysz dwie równorzędne sieci wirtualne:

  • VN-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VN-Spoke — w tej sieci wirtualnej znajduje się serwer obciążeń.

Najpierw utwórz sieci wirtualne, a następnie połącz je przy użyciu komunikacji równorzędnej.

Tworzenie koncentratora sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  5. W polu Nazwa wpisz wartość VN-Hub.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. Wybierz Dalej.

  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.

  9. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  10. W obszarze Podsieci wybierz pozycję domyślne.

  11. W polu Szablon podsieci wybierz pozycję Azure Firewall.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

    Uwaga

    Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  12. Wybierz pozycję Zapisz.

  13. Wybierz pozycję Przejrzyj i utwórz.

  14. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz pozycję Utwórz.
  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  10. W obszarze Podsieci wybierz pozycję domyślne.
  11. W polu Nazwa podsieci wpisz SN-Workload.
  12. W polu Adres początkowy wpisz 192.168.1.0.
  13. W polu Rozmiar podsieci wybierz pozycję /24.
  14. Wybierz pozycję Zapisz.
  15. Wybierz pozycję Przejrzyj i utwórz.
  16. Wybierz pozycję Utwórz.

Łączenie sieci wirtualnych przy użyciu komunikacji równorzędnej

Teraz połącz sieci wirtualne przy użyciu komunikacji równorzędnej.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W obszarze Ustawienia wybierz pozycję Komunikacje równorzędne.
  3. Wybierz Dodaj.
  4. W obszarze Ta sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-HubSpoke.
  5. W obszarze Zdalna sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną obciążenia i umieść ją w podsieci SN-Workload.

  1. W menu portalu Azure wybierz polecenie Utwórz zasób.
  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.

Podstawy

  1. W obszarze Subskrypcja wybierz swoją subskrypcję.
  2. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wpisz nazwę użytkownika i hasło.
  6. Wybierz pozycję Dalej: dyski.

Disks (grupa dysków)

  1. Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz pozycję SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  1. Wybierz pozycję Dalej: Monitorowanie.

Monitorowanie

  1. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.
  2. Wybierz pozycję Przejrzyj i utwórz.

Przeglądanie i tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Wykonanie tej operacji może zająć kilka minut.

Po zakończeniu wdrożenia zanotuj prywatny adres IP maszyny wirtualnej. Jest on używany później podczas konfigurowania zapory. Wybierz nazwę maszyny wirtualnej. Wybierz pozycję Przegląd i w obszarze Sieć zanotuj prywatny adres IP.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Wdrażanie zapory

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Zapora, a następnie wybierz pozycję Zapora.

  3. Wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz pozycję RG-DNAT-Test
    Nazwisko Test FW-DNAT
    Region (Region) Wybierz tę samą lokalizację, której użyto poprzednio
    Jednostka SKU zapory Standardowa
    Zarządzanie zaporą Zarządzanie tą zaporą za pomocą reguł zapory (klasycznej)
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-.

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test .

  8. Zanotuj prywatne i publiczne adresy IP zapory. Będą one używane później podczas tworzenia trasy domyślnej i reguły TRANSLATORa adresów sieciowych.

Tworzenie trasy domyślnej

Na potrzeby podsieci SN-Workload skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

Ważne

Nie trzeba konfigurować jawnej trasy z powrotem do zapory w podsieci docelowej. Usługa Azure Firewall to usługa stanowa i automatycznie obsługuje pakiety i sesje. Jeśli utworzysz tę trasę, utworzysz asymetryczne środowisko routingu, które przerywa logikę sesji stanowej i powoduje usunięcie pakietów i połączeń.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj tabelę Route i wybierz ją.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FWroute.

  8. Wybierz pozycję Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz pozycję Przejdź do zasobu.

  11. Wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz pozycję SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz wartość FW-DG.

  17. W polu Typ miejsca docelowego wybierz pozycję Adresy IP.

  18. W polu Docelowe adresy IP/zakresy CIDR wpisz 0.0.0.0/0.

  19. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  20. W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.

  21. Wybierz Dodaj.

Konfigurowanie reguł translatora adresów sieciowych

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test .
  2. Na stronie FW-DNAT-test w obszarze Ustawienia wybierz pozycję Reguły (wersja klasyczna).
  3. Wybierz pozycję Dodaj kolekcję reguł translatora adresów sieciowych.
  4. W polu Nazwa wpisz RC-DNAT-01.
  5. W polu Priorytet wpisz wartość 200.
  6. W obszarze Reguły w polu Nazwa wpisz RL-01.
  7. W polu Protokół wybierz TCP.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz *.
  10. W polu Adresy docelowe wpisz publiczny adres IP zapory.
  11. W polu Porty docelowe wpisz 3389.
  12. W polu Przekształcony adres wpisz prywatny adres IP maszyny wirtualnej Srv-Workload.
  13. W polu Przekształcony port wpisz 3389.
  14. Wybierz Dodaj.

Wykonanie tej operacji może zająć kilka minut.

Testowanie zapory

  1. Połącz pulpit zdalny z publicznym adresem IP zapory. Powinno zostać nawiązane połączenie z maszyną wirtualną Srv-Workload.
  2. Zamknij pulpit zdalny.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby dalszego testowania lub, jeśli nie są już potrzebne, usuń grupę zasobów RG-DNAT-Test , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Następnie możesz monitorować dzienniki usługi Azure Firewall.

Samouczek: monitorowanie dzienników usługi Azure Firewall