Udostępnij za pośrednictwem

Samouczek: filtrowanie przychodzącego ruchu internetowego lub intranetowego przy użyciu zasad usługi Azure Firewall DNAT przy użyciu witryny Azure Portal

Możesz skonfigurować translację i filtrowanie przychodzącego ruchu internetowego lub intranetowego do swoich podsieci za pomocą polityki Azure Firewall DNAT. Podczas konfigurowania dnaT akcja zbierania reguł jest ustawiona na DNAT. Każda reguła w kolekcji reguł NAT może być następnie wykorzystywana do translacji publicznego lub prywatnego adresu IP i portu zapory na prywatny adres IP i port. Reguły DNAT automatycznie dodają odpowiednią regułę sieciową, która zezwala na przetłumaczony ruch. Ze względów bezpieczeństwa zalecane jest dodanie określonego źródła w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zapory i zasad
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły DNAT
  • Testowanie zapory

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Dodaj.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym samouczku utworzysz dwie sieci wirtualne połączone przy użyciu komunikacji równorzędnej:

  • VN-Hub — zapora znajduje się w tej sieci VNet.
  • VN-Spoke — w tej sieci wirtualnej znajduje się serwer obciążeń.

Najpierw utwórz sieci wirtualne, a następnie sparuj je.

Utwórz sieć wirtualną Hub

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.

  3. Wybierz Dodaj.

  4. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.

  5. W polu Nazwa wpisz wartość VN-Hub.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. Wybierz Dalej: adresy IP.

  8. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  9. W obszarze Nazwa podsieci wybierz pozycję domyślną.

  10. Edytuj nazwę podsieci i wpisz AzureFirewallSubnet.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

    Uwaga

    Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  11. W polu Zakres adresów podsieci wpisz 10.0.1.0/26.

  12. Wybierz pozycję Zapisz.

  13. Wybierz Przejrzyj i utwórz.

  14. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz Dodaj.
  4. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz Dalej: adresy IP.
  8. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  9. Wybierz pozycję Dodaj podsieć.
  10. W polu Nazwa podsieci wpisz SN-Workload.
  11. W polu Zakres adresów podsieci wpisz 192.168.1.0/24.
  12. Wybierz Dodaj.
  13. Wybierz Przejrzyj i utwórz.
  14. Wybierz pozycję Utwórz.

Połącz sieci VNet

Teraz połącz sieci wirtualne przy użyciu peeringu.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W obszarze Ustawienia wybierz pozycję Peerings.
  3. Wybierz Dodaj.
  4. W sekcji Ta sieć wirtualna, w polu Nazwa łącza komunikacji równorzędnej, wpisz Peer-HubSpoke.
  5. W obszarze Zdalna wirtualna sieć, w polu Nazwa łącza równorzędnego, wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną dla obciążeń i umieść ją w podsieci SN-Workload.

  1. W menu portalu Azure wybierz polecenie Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2016 Datacenter.

Podstawy

  1. W obszarze Subskrypcja wybierz swoją subskrypcję.
  2. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wpisz nazwę użytkownika i hasło.
  6. Wybierz pozycję Dalej: dyski.

Dyski

  1. Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. W polu Publiczne porty wejściowe wybierz Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  1. Dla Diagnostyka rozruchu wybierz Wyłącz.
  2. Wybierz pozycję Recenzja i Utwórz.

Przegląd + Tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Ukończenie tej operacji potrwa kilka minut.

Po zakończeniu wdrożenia zanotuj prywatny adres IP maszyny wirtualnej. Będzie używany później do skonfigurowania zapory sieciowej. Wybierz nazwę maszyny wirtualnej, a następnie w obszarze Ustawienia wybierz pozycję Sieć , aby znaleźć prywatny adres IP.

Wdrażanie zapory i zasad

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj Zaporę, a następnie wybierz Zaporę.

  3. Wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory skorzystaj z poniższej tabeli, aby skonfigurować zaporę.

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz RG-DNAT-Test
    Nazwisko Test FW-DNAT
    Rejon Wybierz tę samą lokalizację, której użyto poprzednio
    Zarządzanie zaporą Użyj zasad zapory, aby zarządzać tą zaporą
    Zasady zapory Dodaj nowe:
    fw-dnat-pol
    wybrany region
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-pip.

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test.

  8. Zanotuj prywatne i publiczne adresy IP zapory. Będą one używane później podczas tworzenia trasy domyślnej i reguły NAT.

Tworzenie trasy domyślnej

Na potrzeby podsieci SN-Workload skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

Ważne

Nie trzeba konfigurować jawnej trasy z powrotem do zapory w podsieci docelowej. Usługa Azure Firewall to usługa stanowa i automatycznie obsługuje pakiety i sesje. Jeśli utworzysz tę trasę, utworzysz asymetryczne środowisko routingu, które przerywa logikę sesji stanowej i powoduje usunięcie pakietów i połączeń.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz Dodaj.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. Dla grupy zasobów Grupa zasobów wybierz RG-DNAT-Test.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FW-route.

  8. Wybierz Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz Przejdź do zasobu.

  11. Wybierz Podsieci, a następnie Połącz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz fw-dg.

  17. W polu Prefiks adresu wpisz wartość 0.0.0.0/0.

  18. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  19. W polu Adres następnego przeskoku wpisz wcześniej zanotowany prywatny adres IP zapory sieciowej.

  20. Wybierz przycisk OK.

Skonfiguruj regułę NAT

Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Workload za pośrednictwem zapory.

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz zasady zapory fw-dnat-pol.
  2. W obszarze Ustawienia wybierz pozycję Reguły DNAT.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz rdp.
  5. W polu Priorytet wpisz wartość 200.
  6. Dla Grupy kolekcji reguł wybierz DefaultDnatRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wpisz rdp-nat.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło określ adres IP lub zakres, na który chcesz zezwolić. Na przykład 192.168.1.0/24.
  10. W polu Protokół wybierz TCP.
  11. W polu Porty docelowe wpisz 3389.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz publiczny lub prywatny adres IP zapory.
  14. Dla przetłumaczonego adresu wpisz prywatny adres IP Srv-Workload.
  15. W polu Przekierowany port wpisz 3389.
  16. Wybierz Dodaj.

Testowanie zapory

  1. Połącz pulpit zdalny z publicznym adresem IP firewalla. Powinno zostać nawiązane połączenie z maszyną wirtualną Srv-Workload.
  2. Zamknij pulpit zdalny.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów RG-DNAT-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium