Självstudie: Filtrera inkommande Internettrafik med Azure Firewall princip-DNAT med hjälp av Azure Portal

  • Artikel

Du kan konfigurera Azure Firewall princip DNAT (Destination Network Address Translation) för att översätta och filtrera inkommande Internettrafik till dina undernät. När du konfigurerar DNAT ställs regelinsamlingsåtgärden in på DNAT. Varje regel i NAT-regelsamlingen kan sedan användas för att översätta brandväggens offentliga IP-adress och port till en privat IP-adress och port. DNAT-regler lägger implicit till en motsvarande nätverksregel för att tillåta den översatta trafiken. Av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik Internetkälla för att tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken. Mer information om regelbearbetningslogik för Azure Firewall finns i Regelbearbetningslogik för Azure Firewall.

I den här guiden får du lära dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en brandvägg och princip
  • Skapa en standardväg
  • Konfigurera en DNAT-regel
  • testa brandväggen.

Krav

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en resursgrupp

  1. Logga in på Azure-portalen.
  2. På startsidan Azure Portal väljer du Resursgrupper och sedan Lägg till.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. I fältet Resursgruppsnamn anger du RG-DNAT-Test.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Konfigurera nätverksmiljön

För den här självstudien skapar du två peerkopplade virtuella nätverk:

  • VN-Hub – brandväggen finns i det här virtuella nätverket.
  • VN-Spoke – arbetsbelastningsservern finns i det här virtuella nätverket.

Skapa först de virtuella nätverken och peerkoppla dem sedan.

Skapa det virtuella Hub-nätverket

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Virtuella nätverk.

  3. Välj Lägg till.

  4. För Resursgrupp väljer du RG-DNAT-Test.

  5. Som Namn anger du VN-Hub.

  6. För Region väljer du samma region som du använde tidigare.

  7. Välj Nästa: IP-adresser.

  8. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  9. Under Undernätsnamn väljer du standard.

  10. Redigera undernätets namn och skriv AzureFirewallSubnet.

    Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

    Anteckning

    Storleken på Undernätet AzureFirewallSubnet är /26. Mer information om undernätsstorleken finns i vanliga frågor och svar om Azure Firewall.

  11. För Adressintervall för undernätet skriver du 10.0.1.0/26.

  12. Välj Spara.

  13. Välj Granska + skapa.

  14. Välj Skapa.

Skapa ett virtuellt spoke-nätverk

  1. På startsidan Azure Portal väljer du Alla tjänster.
  2. Under Nätverk väljer du Virtuella nätverk.
  3. Välj Lägg till.
  4. För Resursgrupp väljer du RG-DNAT-Test.
  5. I fältet Namn anger du VN-Spoke.
  6. För Region väljer du samma region som du använde tidigare.
  7. Välj Nästa: IP-adresser.
  8. För IPv4-adressutrymme redigerar du standardvärdet och skriver 192.168.0.0/16.
  9. Välj Lägg till undernät.
  10. För undernätets namn skriver du SN-Workload.
  11. För Adressintervall för undernätet skriver du 192.168.1.0/24.
  12. Välj Lägg till.
  13. Välj Granska + skapa.
  14. Välj Skapa.

Peerkoppla de virtuella nätverken

Peerkoppla nu de två virtuella nätverken.

  1. Välj det virtuella nätverket VN-Hub .
  2. Under Inställningar väljer du Peerings.
  3. Välj Lägg till.
  4. Under Det här virtuella nätverket skriver du Peer-HubSpoke som namn på peeringlänken.
  5. Under Fjärranslutet virtuellt nätverk skriver du Peer-SpokeHub för Peering-länknamn.
  6. Välj VN-Spoke för det virtuella nätverket.
  7. Acceptera alla andra standardvärden och välj sedan Lägg till.

Skapa en virtuell dator

Skapa en virtuell arbetsbelastningsdator och placera den i undernätet SN-Workload.

  1. I menyn i Azure-portalen väljer du Skapa en resurs.
  2. Under Populärt väljer du Windows Server 2016 Datacenter.

Grundläggande inställningar

  1. I fältet Prenumeration väljer du din prenumeration.
  2. För Resursgrupp väljer du RG-DNAT-Test.
  3. För Namn på virtuell dator skriver du Srv-Workload.
  4. För Region väljer du samma plats som du använde tidigare.
  5. Ange ett användarnamn och lösenord.
  6. Välj Nästa: Diskar.

Diskar

  1. Välj Nästa: Nätverk.

Nätverk

  1. För Virtuellt nätverk väljer du VN-Spoke.
  2. I fältet Undernät väljer du SN-Workload.
  3. För Offentlig IP väljer du Ingen.
  4. För Offentliga inkommande portar väljer du Ingen.
  5. Lämna de andra standardinställningarna och välj Nästa: Hantering.

Hantering

  1. För Startdiagnostik väljer du Inaktivera.
  2. Välj Granska + skapa.

Granska + skapa

Granska sammanfattningen och välj sedan Skapa. Det här kan ta några minuter.

När distributionen är klar antecknar du den privata IP-adressen för den virtuella datorn. Den används senare när du konfigurerar brandväggen. Välj namnet på den virtuella datorn och välj Nätverk under Inställningar för att hitta den privata IP-adressen.

Distribuera brandväggen och principen

  1. På portalens startsida väljer du Skapa en resurs.

  2. Sök efter Brandvägg och välj sedan Brandvägg.

  3. Välj Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställningen Värde
    Prenumeration <din prenumeration>
    Resursgrupp Välj RG-DNAT-Test
    Name FW-DNAT-test
    Region Välj samma plats som tidigare
    Brandväggshantering Använda en brandväggsprincip för att hantera den här brandväggen
    Brandväggsprincip Lägg till ny:
    fw-dnat-pol
    din valda region
    Välj ett virtuellt nätverk Använd befintlig: VN-Hub
    Offentlig IP-adress Lägg till ny, Namn: fw-pip.

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Det tar några minuter att distribuera.

  7. När distributionen är klar går du till resursgruppen RG-DNAT-Test och väljer brandväggen FW-DNAT-test .

  8. Observera brandväggens privata och offentliga IP-adresser. Du kommer att använda dem senare när du skapar standardvägen och NAT-regeln.

Skapa en standardväg

För undernätet SN-Workload ställer du in att den utgående standardvägen ska gå via brandväggen.

Viktigt

Du behöver inte konfigurera en explicit väg tillbaka till brandväggen i målundernätet. Azure Firewall är en tillståndskänslig tjänst och hanterar paket och sessioner automatiskt. Om du skapar den här vägen skapar du en asymmetrisk routningsmiljö som avbryter den tillståndskänsliga sessionslogik och resulterar i förlorade paket och anslutningar.

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Routningstabeller.

  3. Välj Lägg till.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du RG-DNAT-Test.

  6. För Region väljer du samma region som du använde tidigare.

  7. Som Namn skriver du RT-FW-route.

  8. Välj Granska + skapa.

  9. Välj Skapa.

  10. Välj Gå till resurs.

  11. Välj Undernät och sedan Associera.

  12. För Virtuellt nätverk väljer du VN-Spoke.

  13. I fältet Undernät väljer du SN-Workload.

  14. Välj OK.

  15. Välj Vägar och sedan Lägg till.

  16. Som Vägnamn skriver du fw-dg.

  17. I fältet Adressprefix skriver du 0.0.0.0/0.

  18. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  19. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  20. Välj OK.

Konfigurera en NAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till den Srv-Workload virtuella datorn via brandväggen.

  1. Öppna resursgruppen RG-DNAT-Test och välj brandväggsprincipen fw-dnat-pol .
  2. Under Inställningar väljer du DNAT-regler.
  3. Välj Lägg till en regelsamling.
  4. I fältet Namn skriver du rdp.
  5. I fältet Prioritet skriver du 200.
  6. För Regelsamlingsgrupp väljer du DefaultDnatRuleCollectionGroup.
  7. Under Regler skriver du rdp-nat som Namn.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du *.
  10. I fältet Protokoll väljer du TCP.
  11. För Målportar skriver du 3389.
  12. För Måltyp väljer du IP-adress.
  13. Som Mål skriver du brandväggens offentliga IP-adress.
  14. För Översatt adress skriver du den privata IP-adressen för Srv-Workload .
  15. I fältet Översatt port skriver du 3389.
  16. Välj Lägg till.

testa brandväggen.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress. Du ska vara ansluten till den virtuella datorn Srv-Workload.
  2. Stäng fjärrskrivbordet.

Rensa resurser

Du kan behålla dina brandväggsresurser för nästa självstudie eller, om de inte längre behövs, så tar du bort resursgruppen RG-DNAT-Test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium