Учебник: Развертывание частного IP DNAT брандмауэра Azure для перекрывающихся и не маршрутизируемых сетей

Частный IP-адрес брандмауэра Azure DNAT (преобразование сетевых адресов назначения) позволяет фильтровать входящий трафик с использованием частного IP-адреса брандмауэра вместо его общедоступного IP-адреса. Эта возможность полезна для сценариев, связанных с перекрывающимися сетями или нераутируемым доступом к сети, где традиционный публичный IP DNAT не подходит.

Частные IP-адреса DNAT охватывают два ключевых сценария:

• Перекрывающиеся сети: если несколько сетей используют одно и то же пространство IP-адресов.
• Некорректируемые сети: когда вы хотите получить доступ к ресурсам через сети, которые не маршрутизируются напрямую

В этом руководстве вы узнаете, как:

• Общие сведения об использовании частных IP-адресов DNAT
• Развертывание брандмауэра Azure с функцией DNAT для частного IP
• Настройка правил DNAT для перекрывающихся сетевых сценариев
• Настройка правил DNAT для нераутируемого сетевого доступа
• Тестирование функциональности DNAT для частного IP-адреса
• Проверка потока трафика и обработки правил

Предпосылки

• Подписка Azure. Если у вас еще нет аккаунта, создайте бесплатную учетную запись, прежде чем начать.
• Брандмауэр Azure уровня "Стандартный" или "Премиум" (частный IP-адрес DNAT не поддерживается в SKU уровня "Базовый")
• Знакомство с концепциями сети Azure
• Общие сведения о логике обработки правил брандмауэра Azure

Это важно

Частный IP-адрес DNAT доступен только в редакциях Standard и Premium брандмауэра Azure. Базовый SKU не поддерживает эту функцию.

Обзор сценария

В этом руководстве демонстрируются два распространенных сценария применения DNAT для частных IP-адресов:

Сценарий 1. Перекрывающиеся сети

У вас есть несколько виртуальных сетей, использующих одно и то же пространство IP-адресов (например, 10.0.0.0/16) и которым требуется доступ к ресурсам в этих сетях без конфликтов IP-адресов.

Сценарий 2. Немаршрутизируемый сетевой доступ

Вам необходимо предоставить доступ к ресурсам в сетях, которые не являются напрямую маршрутизируемыми из источника, например доступ к локальным ресурсам через брандмауэр Azure.

Разверните среду

Используйте предоставленный шаблон ARM для создания тестовой среды со всеми необходимыми компонентами.

Скачивание шаблона развертывания

1. Скачайте шаблон ARM из репозитория GitHub сетевой безопасности Azure.

2. Сохраните PrivateIpDnatArmTemplateV2.json файл на локальном компьютере.

Развертывание с помощью портала Azure

1. Войдите на портал Azure.

2. Выберите Создать ресурс>Развертывание шаблона (развернуть с помощью пользовательских шаблонов).

3. Выберите Создать собственный шаблон в редакторе.

4. Удалите существующее содержимое и вставьте содержимое скачаированного шаблона ARM.

5. Нажмите кнопку "Сохранить".

6. Укажите следующие сведения:

   • Подписка. Выберите подписку Azure.
   • Группа ресурсов: создайте новую группу ресурсов или выберите существующую.
   • Регион. Выбор предпочитаемого региона Azure
   • Расположение: этот параметр автоматически заполнен на основе выбранного региона

7. Просмотрите параметры шаблона и измените их по мере необходимости.

8. Выберите "Проверить и создать", а затем создайте шаблон.

Развертывание создает следующие ресурсы:

• Виртуальные сети для перекрывающихся и немаршрутизируемых сценариев
• Брандмауэр Azure с конфигурацией частного IP-адреса DNAT
• Виртуальные машины для тестирования подключения
• Группы безопасности сети и таблицы маршрутов
• Все необходимые сетевые компоненты

Замечание

Шаблон ARM включает предварительно настроенные правила DNAT для тестирования обоих сценариев. Эти правила можно проверить после развертывания или изменить их по мере необходимости для конкретных требований.

Проверить правила DNAT для частного IP-адреса

После завершения развертывания убедитесь, что правила DNAT были созданы правильно для обоих сценариев.

Проверка правил для перекрывающихся сетей

1. На портале Azure перейдите к ресурсу брандмауэра Azure (azfw-hub-vnet-1).

2. В разделе "Параметры" выберите "Политика брандмауэра".

3. Выберите политику брандмауэра (fp-azfw-hub-vnet-1).

4. В разделе "Параметры" выберите группы коллекций правил.

5. Выберите DefaultDnatRuleCollectionGroup , чтобы просмотреть предварительно настроенные правила.

Вы увидите следующие правила DNAT:

• ToVM2-Http: преобразует 10.10.0.4:80 → 10.10.2.4:80 (брандмауэр в узле Hub-vnet-2 из Spoke-vnet-1)
• ToVM2-Rdp: преобразует 10.10.0.4:53388 → 10.10.2.4:3389 (доступ к RDP)
• ToVM3-Http: преобразует 10.10.0.4:8080 → 172.16.0.4:80 (доступ branch-vnet-1 из спицевой сети-1)
• ToVM3-Rdp: преобразует 10.10.0.4:53389 → 172.16.0.4:3389 (доступ к RDP)

Проверка правил для не маршрутизируемых сетей

1. Перейдите к второму ресурсу брандмауэра Azure (azfw-hub-vnet-2).

2. В разделе "Параметры" выберите "Политика брандмауэра".

3. Выберите политику брандмауэра (fp-azfw-hub-vnet-2).

4. В разделе "Параметры" выберите группы коллекций правил.

5. Выберите DefaultDnatRuleCollectionGroup , чтобы просмотреть правила для второго сценария.

Вы увидите следующие правила DNAT:

• ToVM2-Http: выполняет преобразование 10.10.2.4:80 → 192.168.0.4:80 (доступ к spoke-vnet-2 из подсети брандмауэра hub-vnet-1)
• ToVM2-Rdp: направляет 10.10.2.4:3389 → 192.168.0.4:3389 (доступ RDP к spoke-vnet-2)

Эти правила демонстрируют сценарий перекрывающихся сетей, в котором обе периферийные сети используют одно и то же пространство IP (192.168.0.0/24).

Настройка виртуальных машин

Выполните настройку виртуальной машины, выполнив указанные скрипты PowerShell.

Настройка виртуальной машины в сценарии 1 (перекрываемая сеть)

1. Подключитесь к виртуальной машине win-vm-2 с помощью Бастиона Azure или RDP.

2. Откройте PowerShell от имени администратора.

3. Скачайте и запустите скрипт конфигурации:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"
   
   # Execute the script
   .\win-vm-2.ps1
   

Настройка виртуальной машины в сценарии 2 (не маршрутизируемая сеть)

1. Подключитесь к виртуальной машине win-vm-3 с помощью Бастиона Azure или RDP.

2. Откройте PowerShell от имени администратора.

3. Скачайте и запустите скрипт конфигурации:

   # Download the script from GitHub repository
   Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"
   
   # Execute the script
   .\win-vm-3.ps1
   

Тестирование функциональности DNAT для частного IP-адреса

Убедитесь, что конфигурация DNAT частного IP-адреса работает правильно для обоих сценариев.

Тестовый сценарий для частично перекрывающейся сети

1. На клиентском компьютере в исходной сети попытайтесь подключиться к частному IP-адресу брандмауэра Azure с помощью настроенного порта.

2. Убедитесь, что подключение успешно переведено на целевую виртуальную машину в перекрывающейся сети.

3. Проверьте журналы брандмауэра Azure, чтобы подтвердить попадания правил и успешный перевод.

Тест сценария немаршрутизируемой сети

1. В соответствующей исходной сети подключитесь к частному IP-адресу брандмауэра Azure.

2. Проверьте доступ к ресурсам в нерутируемой сети через межсетевой экран.

3. Чтобы обеспечить правильную обработку правил и поток трафика, отслеживайте журналы брандмауэра.

Мониторинг и устранение неполадок

Чтобы отслеживать производительность DNAT частного IP-адреса, используйте журналы диагностики и метрики брандмауэра Azure.

Включить ведение журнала диагностики

1. На портале Azure перейдите к ресурсу брандмауэра Azure.

2. Выберите параметры диагностики>.

3. Настройка ведения журнала для:

   • Журнал правил приложения брандмауэра Azure
   • Журнал сетевых правил брандмауэра Azure
   • Журнал правил NAT брандмауэра Azure

4. Выберите предпочитаемое место назначения (рабочая область Log Analytics, учетная запись хранения или Центры событий).

Ключевые метрики для мониторинга

Чтобы обеспечить оптимальную производительность, отслеживайте следующие метрики:

• Обработанные данные: общий объем данных, обработанных брандмауэром
• Количество попаданий в сетевые правила: количество совпадений с сетевыми правилами
• Счетчик срабатываний правила NAT: число сопоставленных правил DNAT
• Пропускная способность: производительность пропускной способности брандмауэра

Лучшие практики

Следуйте приведенным ниже рекомендациям при реализации DNAT с частными IP-адресами:

• Порядок правил. Чтобы обеспечить правильный порядок обработки, поместите более конкретные правила с более низким приоритетом
• Спецификация источника: используйте определенные диапазоны ip-адресов источника вместо подстановочных знаков для повышения безопасности
• Сегментация сети. Чтобы изолировать перекрывающиеся сети, реализуйте правильную сегментацию сети.
• Мониторинг. Чтобы определить проблемы с производительностью, регулярно отслеживайте журналы и метрики брандмауэра
• Тестирование. Чтобы обеспечить надежность в рабочей среде, тщательно протестируйте все правила DNAT перед реализацией

Очистите ресурсы

Если тестовая среда больше не нужна, удалите группу ресурсов, чтобы удалить все ресурсы, созданные в этом руководстве.

1. На портале Azure перейдите к группе ресурсов.

2. Выберите команду Удалить группу ресурсов.

3. Введите имя группы ресурсов, чтобы подтвердить удаление.

4. Выберите "Удалить", чтобы удалить все ресурсы.

Дальнейшие шаги

В этом руководстве вы узнали, как развернуть и настроить функцию DNAT для частных IP-адресов брандмауэра Azure для перекрывающихся и не маршрутизируемых сетевых сценариев. Вы развернули тестовую среду, настроили правила DNAT и проверили функциональные возможности.

Дополнительные сведения о возможностях DNAT брандмауэра Azure:

• Правило DNAT для фильтрации входящего трафика
• Логика обработки правил брандмауэра Azure
• Мониторинг журналов и метрик брандмауэра Azure
• Сценарии DNAT с частными IP-адресами в Azure Firewall (блог Tech Community)