Filtrera inkommande Internettrafik med Azure Firewall DNAT med hjälp av Azure-portalen

  • Artikel

Du kan konfigurera Azure Firewall DNAT (Destination Network Address Translation) att översätta och filtrera inkommande trafik till dina undernät. När du konfigurerar DNAT ställs åtgärden för NAT-regelsamling in på Dnat. Varje regel i NAT-regelsamlingen kan sedan användas för att översätta brandväggens offentliga IP-adress och port till en privat IP-adress och port. DNAT-regler lägger implicit till en motsvarande nätverksregel för att tillåta den översatta trafiken. Av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik Internetkälla för att tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken. Mer information om regelbearbetningslogik för Azure Firewall finns i Regelbearbetningslogik för Azure Firewall.

Kommentar

Den här artikeln använder klassiska brandväggsregler för att hantera brandväggen. Den bästa metoden är att använda brandväggsprincip. Information om hur du slutför den här proceduren med hjälp av brandväggsprincipen finns i Självstudie: Filtrera inkommande Internettrafik med Azure Firewall-princip-DNAT med hjälp av Azure-portalen

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa en resursgrupp

  1. Logga in på Azure-portalen.
  2. På startsidan för Azure-portalen väljer du Resursgrupper och sedan Skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. För Resursgrupp skriver du RG-DNAT-Test.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Konfigurera nätverksmiljön

I den här artikeln skapar du två peerkopplade virtuella nätverk:

  • VN-Hub – brandväggen finns i det här virtuella nätverket.
  • VN-Spoke – arbetsbelastningsservern finns i det här virtuella nätverket.

Skapa först de virtuella nätverken och peerkoppla dem sedan.

Skapa det virtuella Hub-nätverket

  1. På startsidan för Azure-portalen väljer du Alla tjänster.

  2. Under Nätverk väljer du Virtuella nätverk.

  3. Välj Skapa.

  4. För Resursgrupp väljer du RG-DNAT-Test.

  5. Som Namn anger du VN-Hub.

  6. För Region väljer du samma region som du använde tidigare.

  7. Välj Nästa.

  8. På fliken Säkerhet väljer du Nästa.

  9. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  10. Under Undernät väljer du standard.

  11. Som undernätsmall väljer du Azure Firewall.

    Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

    Kommentar

    Storleken på AzureFirewallSubnet-undernätet är /26. Mer information om undernätets storlek finns i Vanliga frågor och svar om Azure Firewall.

  12. Välj Spara.

  13. Välj Granska + skapa.

  14. Välj Skapa.

Skapa ett virtuellt spoke-nätverk

  1. På startsidan för Azure-portalen väljer du Alla tjänster.
  2. Under Nätverk väljer du Virtuella nätverk.
  3. Välj Skapa.
  4. För Resursgrupp väljer du RG-DNAT-Test.
  5. I fältet Namn anger du VN-Spoke.
  6. För Region väljer du samma region som du använde tidigare.
  7. Välj Nästa.
  8. På fliken Säkerhet väljer du Nästa.
  9. För IPv4-adressutrymme redigerar du standardvärdet och skriver 192.168.0.0/16.
  10. Under Undernät väljer du standard.
  11. För undernätets namn skriver du SN-Workload.
  12. För Startadress skriver du 192.168.1.0.
  13. För Undernätsstorlek väljer du /24.
  14. Välj Spara.
  15. Välj Granska + skapa.
  16. Välj Skapa.

Peerkoppla de virtuella nätverken

Peerkoppla nu de två virtuella nätverken.

  1. Välj det virtuella VN-Hub-nätverket .
  2. Under Inställningar väljer du Peerings.
  3. Markera Lägga till.
  4. Under Det här virtuella nätverket skriver du Peer-HubSpoke för peeringlänknamnet.
  5. Under Fjärranslutet virtuellt nätverk skriver du Peer-SpokeHub för Peering-länknamn.
  6. Välj VN-Spoke för det virtuella nätverket.
  7. Acceptera alla andra standardvärden och välj sedan Lägg till.

Skapa en virtuell dator

Skapa en virtuell arbetsbelastningsdator och placera den i undernätet SN-Workload.

  1. Från Azure-portal menyn, välj skapa en resurs.
  2. Under Populära Marketplace-produkter väljer du Windows Server 2019 Datacenter.

Grundläggande inställningar

  1. I fältet Prenumeration väljer du din prenumeration.
  2. För Resursgrupp väljer du RG-DNAT-Test.
  3. För Namn på virtuell dator skriver du Srv-Workload.
  4. För Region väljer du samma plats som du använde tidigare.
  5. Ange ett användarnamn och lösenord.
  6. Välj Nästa: Diskar.

Diskar

  1. Välj Nästa: Nätverk.

Nätverk

  1. För Virtuellt nätverk väljer du VN-Spoke.
  2. I fältet Undernät väljer du SN-Workload.
  3. För Offentlig IP väljer du Ingen.
  4. För Offentliga inkommande portar väljer du Ingen.
  5. Lämna de andra standardinställningarna och välj Nästa: Hantering.

Hantering

  1. Välj Nästa: Övervakning.

Övervakning

  1. För Startdiagnostik väljer du Inaktivera.
  2. Välj Granska + skapa.

Granska + skapa

Granska sammanfattningen och välj sedan Skapa. Det tar några minuter att slutföra.

När distributionen är klar antecknar du den privata IP-adressen för den virtuella datorn. Den används senare när du konfigurerar brandväggen. Välj namnet på den virtuella datorn. Välj Översikt och anteckna den privata IP-adressen under Nätverk .

Kommentar

Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.

Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:

  • En offentlig IP-adress tilldelas till den virtuella datorn.
  • Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
  • En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.

Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.

Distribuera brandväggen

  1. På portalens startsida väljer du Skapa en resurs.

  2. Sök efter Brandvägg och välj sedan Brandvägg.

  3. Välj Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <din prenumeration>
    Resursgrupp Välj RG-DNAT-Test
    Name FW-DNAT-test
    Region Välj samma plats som tidigare
    Brandväggs-SKU Standard
    Brandväggshantering Använd brandväggsregler (klassisk) för att hantera den här brandväggen
    Välj ett virtuellt nätverk Använd befintlig: VN-Hub
    Offentlig IP-adress Lägg till ny, Namn: fw-pip.

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Det tar några minuter att distribuera.

  7. När distributionen är klar går du till resursgruppen RG-DNAT-Test och väljer brandväggen FW-DNAT-test .

  8. Observera brandväggens privata och offentliga IP-adresser. Du använder dem senare när du skapar standardvägen och NAT-regeln.

Skapa en standardväg

För undernätet SN-Workload ställer du in att den utgående standardvägen ska gå via brandväggen.

Viktigt!

Du behöver inte konfigurera en explicit väg tillbaka till brandväggen i målundernätet. Azure Firewall är en tillståndskänslig tjänst och hanterar paketen och sessionerna automatiskt. Om du skapar den här vägen skapar du en asymmetrisk routningsmiljö som avbryter tillståndskänslig sessionslogik och resulterar i borttagna paket och anslutningar.

  1. På startsidan för Azure-portalen väljer du Skapa en resurs.

  2. Sök efter routningstabellen och välj den.

  3. Välj Skapa.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du RG-DNAT-Test.

  6. För Region väljer du samma region som du använde tidigare.

  7. I fältet Namn skriver du RT-FWroute.

  8. Välj Granska + skapa.

  9. Välj Skapa.

  10. Välj Gå till resurs.

  11. Välj Undernät och sedan Associera.

  12. För Virtuellt nätverk väljer du VN-Spoke.

  13. I fältet Undernät väljer du SN-Workload.

  14. Välj OK.

  15. Välj Vägar och sedan Lägg till.

  16. I fältet Vägnamn skriver du FW-DG.

  17. Som Måltyp väljer du IP-adresser.

  18. För MÅL-IP-adresser/CIDR-intervall skriver du 0.0.0.0/0.

  19. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  20. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  21. Markera Lägga till.

Konfigurera en NAT-regel

  1. Öppna resursgruppen RG-DNAT-Test och välj brandväggen FW-DNAT-test.
  2. På sidan FW-DNAT-test under Inställningar väljer du Regler (klassisk).
  3. Välj Lägg till NAT-regelsamling.
  4. I fältet Namn skriver du RC-DNAT-01.
  5. I fältet Prioritet skriver du 200.
  6. Under Regler, i fältet Namn, skriver du RL-01.
  7. I fältet Protokoll väljer du TCP.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du *.
  10. För Måladresser skriver du brandväggens offentliga IP-adress.
  11. I fältet Målportar skriver du 3389.
  12. I fältet Översatt adress skriver du den privata IP-adressen för den virtuella datorn Srv-Workload.
  13. I fältet Översatt port skriver du 3389.
  14. Markera Lägga till.

Det tar några minuter att slutföra.

testa brandväggen.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress. Du ska vara ansluten till den virtuella datorn Srv-Workload.
  2. Stäng fjärrskrivbordet.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare testning, eller om det inte längre behövs, ta bort resursgruppen RG-DNAT-Test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Därefter kan du övervaka Azure Firewall-loggarna.

Självstudie: Övervaka Azure Firewall-loggar