Udostępnij za pośrednictwem

Filtrowanie przychodzącego ruchu internetowego lub intranetowego za pomocą protokołu DNAT usługi Azure Firewall przy użyciu witryny Azure Portal

Możesz skonfigurować translowanie docelowych adresów sieciowych (DNAT) usługi Azure Firewall w celu tłumaczenia i filtrowania przychodzącego ruchu internetowego do podsieci lub ruchu intranetowego między sieciami prywatnymi. Podczas konfigurowania dnaT akcja zbierania reguł NAT jest ustawiona na DNAT. Każda reguła w zbiorze reguł NAT może następnie służyć do tłumaczenia publicznego lub prywatnego adresu IP i portu firewalla na prywatny adres IP i port. Reguły DNAT automatycznie dodają odpowiednią regułę sieciową, która zezwala na przetłumaczony ruch. Ze względów bezpieczeństwa zaleca się dodanie określonego źródła w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

Uwaga

Artykuł wykorzystuje klasyczne reguły zapory do zarządzania nią. Preferowaną metodą jest użycie polityki zapory. Aby wykonać tę procedurę przy użyciu zasad zapory, zobacz Samouczek: filtrowanie przychodzącego ruchu internetowego za pomocą zasad usługi Azure Firewall DNAT przy użyciu witryny Azure Portal.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Utwórz.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Grupa zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym artykule utworzysz dwie sieci wirtualne połączone relacją równorzędną:

  • VN-Hub — firewall znajduje się w tej sieci wirtualnej.
  • VN-Spoke — serwer obciążenia znajduje się w tej sieci wirtualnej.

Najpierw utwórz sieci wirtualne, a następnie sparuj je.

Utwórz sieć wirtualną koncentratora

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz pozycję Utwórz.
  4. Dla grupy Grupa zasobów, wybierz RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Hub.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.
  10. W obszarze Podsieci wybierz pozycję domyślne.
  11. W polu Szablon podsieci wybierz pozycję Azure Firewall.

Zapora znajduje się w tej podsieci, a nazwa podsieci musi być azureFirewallSubnet.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. Wybierz pozycję Zapisz.
  2. Wybierz Przejrzyj i utwórz.
  3. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej typu szprychowego

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz pozycję Utwórz.
  4. Dla grupy Grupa zasobów, wybierz RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz Dalej.
  8. Na karcie Zabezpieczenia wybierz pozycję Dalej.
  9. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  10. W obszarze Podsieci wybierz pozycję domyślne.
  11. W polu Nazwa podsieci wpisz SN-Workload.
  12. W polu Adres początkowy wpisz 192.168.1.0.
  13. W polu Rozmiar podsieci wybierz pozycję /24.
  14. Wybierz pozycję Zapisz.
  15. Wybierz Przejrzyj i utwórz.
  16. Wybierz pozycję Utwórz.

Połącz sieci wirtualne (VNet)

Teraz połącz sieci wirtualne przy użyciu połączenia równorzędnego.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W Ustawieniach wybierz Peeringi.
  3. Wybierz Dodaj.
  4. W obszarze Ta sieć wirtualna, dla Nazwa łącza peer, wpisz Peer-HubSpoke.
  5. Pod Zdalna wirtualna sieć, w polu Nazwa łącza komunikacji równorzędnej, wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną do obciążeń i umieść ją w podsieci SN-Workload.

  1. W menu portalu Azure wybierz polecenie Utwórz zasób.
  2. W obszarze Popularne produkty z witryny Marketplace wybierz pozycję Windows Server 2019 Datacenter.

Podstawy

  1. W obszarze Subskrypcja wybierz swoją subskrypcję.
  2. Dla grupy Grupa zasobów, wybierz RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wpisz nazwę użytkownika i hasło.
  6. Wybierz pozycję Dalej: dyski.

Dyski

  1. Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. Dla publicznych portów wejściowych wybierz Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  1. Wybierz pozycję Dalej: Monitorowanie.

Monitorowanie

  1. Dla Diagnostyki rozruchu wybierz Wyłącz.
  2. Wybierz Przejrzyj i utwórz.

Przegląd + Tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Ten proces może potrwać kilka minut.

Po zakończeniu wdrażania zanotuj prywatny adres IP maszyny wirtualnej. Ten adres IP będzie potrzebny później podczas konfigurowania zapory. Wybierz nazwę maszyny wirtualnej, przejdź do pozycji Przegląd i w obszarze Sieć zanotuj prywatny adres IP.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Wdrażanie zapory

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj Zaporę, a następnie wybierz Zaporę.

  3. Wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory skorzystaj z poniższej tabeli, aby skonfigurować zaporę.

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz RG-DNAT-Test
    Nazwisko Test FW-DNAT
    Rejon Wybierz tę samą lokalizację, która była wcześniej używana
    SKU zapory ogniowej Standardowy
    Zarządzanie zaporą Użyj reguł zapory (klasycznych), aby zarządzać tą zaporą
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-pip

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby wdrożyć zaporę.

    Ten proces może potrwać kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test .

  8. Zanotuj prywatne i publiczne adresy IP zapory. Będziesz ich używać później podczas tworzenia trasy domyślnej i reguły NAT (translacji adresów sieciowych).

Tworzenie trasy domyślnej

W przypadku podsieci SN-Workload skonfiguruj domyślną trasę ruchu wychodzącego, aby przejść przez zaporę.

Ważne

Nie musisz konfigurować jawnej trasy z powrotem do zapory w podsieci docelowej. Usługa Azure Firewall to usługa stanowa i automatycznie obsługuje pakiety i sesje. Utworzenie tej trasy doprowadziłoby do asymetrycznego środowiska routingu, zakłócając logikę sesji stanowej oraz powodując utratę pakietów i połączeń.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób.

  2. Wyszukaj tablicę tras i wybierz ją.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. Dla grupy Grupa zasobów, wybierz RG-DNAT-Test.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FWroute.

  8. Wybierz Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz Przejdź do zasobu.

  11. Wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz wartość FW-DG.

  17. W polu Typ miejsca docelowego wybierz pozycję Adresy IP.

  18. W polu Docelowe adresy IP/zakresy CIDR wpisz 0.0.0.0/0.

  19. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall jest usługą zarządzaną, ale wybranie urządzenia wirtualnego działa w tej sytuacji.

  20. W polu Adres następnego przeskoku wpisz wcześniej zanotowany prywatny adres IP zapory.

  21. Wybierz Dodaj.

Konfiguracja reguły NAT

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz Zaporę FW-DNAT-test.
  2. Na stronie FW-DNAT-test w obszarze Ustawienia wybierz pozycję Reguły (wersja klasyczna).
  3. Wybierz Dodaj kolekcję reguł NAT.
  4. W polu Nazwa wpisz RC-DNAT-01.
  5. W polu Priorytet wpisz wartość 200.
  6. W obszarze Reguły w polu Nazwa wpisz RL-01.
  7. W polu Protokół wybierz TCP.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz *.
  10. W polu Adresy docelowe wpisz publiczny adres IP zapory.
  11. W polu Porty docelowe wpisz 3389.
  12. W polu Przetłumaczony adres wpisz prywatny adres IP maszyny wirtualnej Srv-Workload.
  13. W polu Przetłumaczony port wpisz 3389.
  14. Wybierz Dodaj.

Ten proces może potrwać kilka minut.

Testowanie zapory

  1. Połącz pulpit zdalny z publicznym adresem IP zapory. Powinno zostać nawiązane połączenie z maszyną wirtualną Srv-Workload.
  2. Zamknij pulpit zdalny.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby dalszego testowania lub, jeśli nie są już potrzebne, usuń grupę zasobów RG-DNAT-Test , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Następnie możesz monitorować dzienniki usługi Azure Firewall.

Samouczek: monitorowanie dzienników usługi Azure Firewall