Samouczek: filtrowanie przychodzącego ruchu internetowego przy użyciu zasad Azure Firewall DNAT przy użyciu Azure Portal

  • Artykuł

Można skonfigurować Azure Firewall zasad Docelowy translacja adresów sieciowych (DNAT) w celu tłumaczenia i filtrowania przychodzącego ruchu internetowego do podsieci. Podczas konfigurowania DNAT akcja zbierania reguł jest ustawiona na DNAT. Każda reguła w kolekcji reguł translatora adresów sieciowych może następnie służyć do tłumaczenia publicznego adresu IP i portu zapory na prywatny adres IP i port. Reguły DNAT niejawnie dodają odpowiednią regułę sieci zezwalającą na przetłumaczony ruch. Ze względów bezpieczeństwa zalecane jest dodanie określonego źródła internetowego w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zapory i zasad
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły DNAT
  • Testowanie zapory

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Dodaj.
  3. W polu Subskrypcja wybierz subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym samouczku utworzysz dwie sieci wirtualne połączone przy użyciu komunikacji równorzędnej:

  • VN-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VN-Spoke — w tej sieci wirtualnej znajduje się serwer obciążeń.

Najpierw utwórz sieci wirtualne, a następnie połącz je przy użyciu komunikacji równorzędnej.

Tworzenie koncentratora sieci wirtualnej

  1. Na stronie głównej Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.

  3. Wybierz pozycję Dodaj.

  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  5. W polu Nazwa wpisz wartość VN-Hub.

  6. W obszarze Region wybierz ten sam region, który został użyty wcześniej.

  7. Wybierz pozycję Dalej: adresy IP.

  8. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  9. W obszarze Nazwa podsieci wybierz pozycję domyślną.

  10. Edytuj nazwę podsieci i wpisz AzureFirewallSubnet.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

    Uwaga

    Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Azure Firewall — często zadawane pytania.

  11. W polu Zakres adresów podsieci wpisz 10.0.1.0/26.

  12. Wybierz pozycję Zapisz.

  13. Wybierz pozycję Przejrzyj i utwórz.

  14. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz pozycję Dodaj.
  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W obszarze Region wybierz ten sam region, który został użyty wcześniej.
  7. Wybierz pozycję Dalej: adresy IP.
  8. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  9. Wybierz pozycję Dodaj podsieć.
  10. W polu Nazwa podsieci wpisz SN-Workload.
  11. W polu Zakres adresów podsieci wpisz 192.168.1.0/24.
  12. Wybierz pozycję Dodaj.
  13. Wybierz pozycję Przejrzyj i utwórz.
  14. Wybierz pozycję Utwórz.

Łączenie sieci wirtualnych przy użyciu komunikacji równorzędnej

Teraz połącz sieci wirtualne przy użyciu komunikacji równorzędnej.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W obszarze Ustawienia wybierz pozycję Komunikacja równorzędna.
  3. Wybierz pozycję Dodaj.
  4. W obszarze Ta sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-HubSpoke.
  5. W obszarze Zdalna sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną obciążenia i umieść ją w podsieci SN-Workload.

  1. W menu witryny Azure Portal wybierz pozycję Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2016 Centrum danych.

Podstawy

  1. W polu Subskrypcja wybierz subskrypcję.
  2. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W obszarze Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wpisz nazwę użytkownika i hasło.
  6. Wybierz pozycję Dalej: Dyski.

Dyski

  1. Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz pozycję SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. W obszarze Publiczne porty przychodzące wybierz pozycję Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  1. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.
  2. Wybierz pozycję Przejrzyj i utwórz.

Przeglądanie i tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Ukończenie tej operacji potrwa kilka minut.

Po zakończeniu wdrożenia zanotuj prywatny adres IP maszyny wirtualnej. Posłuży on później do skonfigurowania zapory. Wybierz nazwę maszyny wirtualnej, a następnie w obszarze Ustawienia wybierz pozycję Sieć , aby znaleźć prywatny adres IP.

Wdrażanie zapory i zasad

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Zapora, a następnie wybierz pozycję Zapora.

  3. Wybierz przycisk Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz pozycję RG-DNAT-Test
    Nazwa FW-DNAT-test
    Region (Region) Wybierz tę samą lokalizację, której użyto poprzednio
    Zarządzanie zaporą Zarządzanie tą zaporą za pomocą zasad zapory
    Zasady zapory Dodaj nowy:
    fw-dnat-pol
    wybrany region
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-pip.

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie trwa kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test .

  8. Zanotuj prywatne i publiczne adresy IP zapory. Będą one używane później podczas tworzenia trasy domyślnej i reguły NAT.

Tworzenie trasy domyślnej

Na potrzeby podsieci SN-Workload skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

Ważne

Nie trzeba konfigurować jawnej trasy powrotnej do zapory w podsieci docelowej. Azure Firewall jest usługą stanową i automatycznie obsługuje pakiety i sesje. Jeśli utworzysz tę trasę, utworzysz środowisko routingu asymetrycznego, które przerywa logikę sesji stanowej i spowoduje usunięcie pakietów i połączeń.

  1. Na stronie głównej Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz pozycję Dodaj.

  4. W polu Subskrypcja wybierz subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  6. W obszarze Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FW-route.

  8. Wybierz pozycję Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz pozycję Przejdź do zasobu.

  11. Wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz pozycję SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz fw-dg.

  17. W polu Prefiks adresu wpisz wartość 0.0.0.0/0.

  18. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  19. W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.

  20. Wybierz przycisk OK.

Konfigurowanie reguł translatora adresów sieciowych

Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Workload przez zaporę.

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz zasady zapory fw-dnat-pol .
  2. W obszarze Ustawienia wybierz pozycję Reguły DNAT.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz rdp.
  5. W polu Priorytet wpisz wartość 200.
  6. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wpisz rdp-nat.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz *.
  10. W polu Protokół wybierz TCP.
  11. W polu Porty docelowe wpisz wartość 3389.
  12. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz publiczny adres IP zapory.
  14. W polu Przetłumaczony adres wpisz prywatny adres IP Srv-Workload .
  15. W polu Przekształcony port wpisz 3389.
  16. Wybierz pozycję Dodaj.

Testowanie zapory

  1. Połącz pulpit zdalny z publicznym adresem IP zapory. Powinno zostać nawiązane połączenie z maszyną wirtualną Srv-Workload.
  2. Zamknij pulpit zdalny.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów RG-DNAT-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie Azure Firewall Premium