Фильтрация входящего интернет-трафика с помощью DNAT брандмауэра Azure с помощью портала Azure

Вы можете настроить работу преобразования сетевых адресов назначения (DNAT) в брандмауэре Azure для перевода и фильтрации входящего интернет-трафика в ваши подсети. При настройке DNAT для действия коллекции правил NAT устанавливается значение DNAT. Затем каждое правило в коллекции правил NAT можно использовать для перевода общедоступного или частного IP-адреса брандмауэра и порта в частный IP-адрес и порт. Правила DNAT неявно добавляют соответствующее сетевое правило для допуска преобразованного трафика. Из соображений безопасности добавьте конкретный источник, чтобы разрешить DNAT-доступ к сети, и избегайте использования подстановочных символов. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

Примечание.

В этой статье для управления брандмауэром используются классические правила брандмауэра. Рекомендуется использовать политику брандмауэра. Чтобы выполнить эту процедуру с помощью политики брандмауэра, см. руководство. Фильтрация входящего интернет-трафика с помощью DNAT политики брандмауэра Azure с помощью портала Azure.

Предварительные условия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создайте группу ресурсов

1. Войдите на портал Azure.
2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Создать.
3. Для подписки выберите свою подписку.
4. В разделе Группа ресурсов введите RG-DNAT-Test.
5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
6. Выберите Review + create.
7. Нажмите кнопку создания.

Настройка сетевой среды

В этой статье вы создадите две связанные виртуальные сети.

• VN-Hub — брандмауэр находится в этой виртуальной сети.
• VN-Spoke — сервер нагрузки находится в этой виртуальной сети.

Сначала создайте VNet, а затем установите пиринг между ними.

Создание виртуальной сети концентратора

1. На домашней странице портала Azure выберите Все службы.
2. В разделе Сеть выберите Виртуальные сети.
3. Нажмите кнопку создания.
4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
5. В поле Имя введите VN-Hub.
6. В поле Регион выберите тот же регион, который вы указали ранее.
7. Выберите Далее.
8. На вкладке "Безопасность " нажмите кнопку "Далее".
9. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.
10. В разделе Подсети выберите по умолчанию.
11. Для шаблона подсети выберите Azure Firewall.

Брандмауэр находится в этой подсети, а имя подсети должно быть AzureFirewallSubnet.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

12. Выберите Сохранить.
13. Выберите Review + create.
14. Нажмите кнопку создания.

Создание спицевой виртуальной сети

1. На домашней странице портала Azure выберите Все службы.
2. В разделе Сеть выберите Виртуальные сети.
3. Нажмите кнопку создания.
4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
5. В поле Имя введите VN-Spoke.
6. В поле Регион выберите тот же регион, который вы указали ранее.
7. Выберите Далее.
8. На вкладке "Безопасность " нажмите кнопку "Далее".
9. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
10. В разделе Подсети выберите по умолчанию.
11. Для подсети Имя, введите SN-Workload.
12. Для начального адреса введите 192.168.1.0.
13. Для размера подсети выберите /24.
14. Выберите Сохранить.
15. Выберите Review + create.
16. Нажмите кнопку создания.

Настройка пиринга виртуальных сетей

Теперь создайте пиринг между двумя виртуальными сетями.

1. Выберите виртуальную сеть VN-Hub.
2. В разделе Параметры выберите Соединения.
3. Выберите Добавить.
4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
6. В качестве виртуальной сети выберите VN-Spoke.
7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

1. В меню портала Azure выберите Создать ресурс.
2. В разделе "Популярные продукты Marketplace" выберите Ubuntu Server 22.04 LTS.

Основы

1. Для подписки выберите свою подписку.
2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
3. Для параметра Имя виртуальной машины введите Srv-Workload.
4. В поле Регион выберите использованное ранее расположение.
5. Для образа выберите Ubuntu Server 22.04 LTS — x64 Gen2.
6. Для параметра "Размер" выберите Standard_B2s.
7. Для типа проверки подлинности выберите открытый ключ SSH.
8. Для имени пользователя введите azureuser.
9. Для источника открытого ключа SSH выберите "Создать новую пару ключей".
10. В поле "Имя пары ключей" введите Srv-Workload_key.
11. Нажмите кнопку "Далее" — диски.

диски;

1. Выберите Далее: сеть.

Сеть

1. В поле Виртуальная сеть выберите VN-Spoke.
2. Для подсети выберите SN-Workload.
3. В поле Общедоступный IP-адрес выберите значение Нет.
4. В поле Общедоступные входящие порты выберите значение Нет.
5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

1. Нажмите кнопку "Далее": мониторинг.

Мониторинг

1. Для параметра Диагностика загрузки выберите Отключить.
2. Выберите Review + Create.

Проверка и создание

Просмотрите страницу сводки, а затем щелкните Создать. Выполнение этого процесса занимает несколько минут.

1. В диалоговом окне "Создание пары ключей " выберите "Скачать закрытый ключ" и создайте ресурс. Сохраните файл ключа в виде Srv-Workload_key.pem.

После завершения развертывания обратите внимание на частный IP-адрес виртуальной машины. Этот IP-адрес понадобится позже при настройке брандмауэра. Выберите имя виртуальной машины, перейдите к обзору и в разделе "Сеть" запишите частный IP-адрес.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

• Общедоступный IP-адрес назначается виртуальной машине.
• Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
• Ресурс Azure NAT Gateway присвоен подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Установка веб-сервера

Используйте функцию запуска команды портала Azure для установки веб-сервера на виртуальной машине.

1. Перейдите к виртуальной машине Srv-Workload на портале Azure.

2. В разделе "Операции" выберите команду "Выполнить".

3. Выберите RunShellScript.

4. В окне "Запуск командного скрипта " вставьте следующий сценарий:

   sudo apt-get update
   sudo apt-get install -y nginx
   echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html
   

5. Выберите Выполнить.

6. Дождитесь завершения скрипта. Выходные данные должны показать успешную установку Nginx.

Развертывание брандмауэра

1. На домашней странице портала Azure выберите Создать ресурс.

2. Найдите Брандмауэр и выберите Брандмауэр.

3. Нажмите кнопку создания.

4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

   Настройка	Значение
   Подписка	<ваша подписка>
   Группа ресурсов	Выберите RG-DNAT-Test.
   Имя.	FW-DNAT-test
   Область/регион	Выберите то же расположение, которое использовалось ранее
   Номер SKU брандмауэра	Стандартные
   Управление брандмауэром	Использовать правила брандмауэра (классические) для управления этим брандмауэром
   Выберите виртуальную сеть	Use existing (Использовать имеющуюся): VN-Hub.
   Общедоступный IP-адрес	Добавление нового, имя: fw-pip

5. Примите остальные значения по умолчанию и выберите Проверка и создание.

6. Просмотрите сводку и нажмите кнопку "Создать ", чтобы развернуть брандмауэр.

   Выполнение этого процесса занимает несколько минут.

7. После завершения развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test .

8. Запишите частный и общедоступный IP-адреса брандмауэра. Их можно использовать позже при создании маршрута по умолчанию и правила NAT.

Создание маршрута по умолчанию

Для подсети SN-Workload настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

Внимание

Вам не нужно настраивать явный маршрут обратно в брандмауэр в конечной подсети. Брандмауэр Azure представляет собой службу, отслеживающую состояние, которая автоматически обрабатывает пакеты и сеансы. Создание этого маршрута приведет к асимметричной среде маршрутизации, нарушению логики сеансов с отслеживанием состояния и потере пакетов и подключений.

1. На домашней странице портала Azure выберите Создать ресурс.

2. Найдите таблицу маршрутов и выберите ее.

3. Нажмите кнопку создания.

4. Для подписки выберите свою подписку.

5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

6. Для региона выберите тот же регион, который использовался ранее.

7. В поле Имя введите RT-FWroute.

8. Выберите Review + create.

9. Нажмите кнопку создания.

10. Выберите Перейти к ресурсу.

11. Выберите Подсети, а затем выберите Привязать.

12. В поле Виртуальная сеть выберите VN-Spoke.

13. Для подсети выберите SN-Workload.

14. Нажмите ОК.

15. Щелкните Маршруты, а затем — Добавить.

16. В поле Имя маршрута введите FW-DG.

17. Для типа назначения выберите IP-адреса.

18. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.

19. В поле Тип следующего прыжка выберите Виртуальное устройство.

    Брандмауэр Azure — это управляемая служба, но выбор виртуального устройства работает в этой ситуации.

20. Для адреса следующего прыжка введите частный IP-адрес брандмауэра, отмеченный ранее.

21. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет входящего HTTP-трафика из Интернета обращаться к веб-серверу через брандмауэр.

1. Откройте группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.
2. На странице FW-DNAT-test в разделе Параметры щелкните Правила (классические).
3. Откройте вкладку Коллекция правил преобразования сетевых адресов (NAT).
4. Выберите Добавить коллекцию правил NAT.
5. В поле "Имя" введите веб-доступ.
6. В поле Приоритет введите 200.
7. В разделе "Правила" для имени введите http-dnat.
8. В поле Протокол выберите TCP.
9. В поле Тип источника выберите IP-адрес.
10. Для источника введите * , чтобы разрешить трафик из любого источника.
11. В поле "Адреса назначения" введите общедоступный IP-адрес брандмауэра.
12. Для портов назначения введите 80.
13. В поле Преобразованный адрес введите частный IP-адрес Srv-Workload.
14. Для переведенного порта введите 80.
15. Выберите Добавить.

тестирование брандмауэра.

1. Откройте веб-браузер и перейдите к общедоступному IP-адресу брандмауэра:

   http://<firewall-public-ip>
   

   Вы должны увидеть веб-страницу, на которой отображается «Демонстрация DNAT брандмауэра Azure — Srv-Workload».

2. Эта процедура подтверждает, что правило DNAT успешно преобразует входящий HTTP-трафик на общедоступный IP-адрес брандмауэра на частный IP-адрес веб-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, которая содержит все связанные с брандмауэром ресурсы.

Следующие шаги

Теперь вы можете отследить журналы Брандмауэра Azure.

Руководство по мониторингу журналов Брандмауэра Azure