共用方式為

使用 Azure 入口網站以 Azure 防火牆 DNAT 篩選輸入網際網路流量

  • 發行項

您可以設定 Azure 防火牆目的地網路位址轉譯 (DNAT),將輸入網際網路流量轉譯及篩選至您的子網路。 當您設定 DNAT 時,NAT 規則集合動作是設為 Dnat。 接著,NAT 規則集合中的每個規則均可用來將防火牆公用 IP 位址和連接埠轉譯為私人/公用 IP 位址和連接埠。 DNAT 規則會間接新增對應的網路規則,以允許經過轉譯的流量。 基於安全性理由,建議的方法是新增特定的網際網路來源,以允許 DNAT 存取網路,並避免使用萬用字元。 若要深入了解 Azure 防火牆規則處理邏輯,請參閱 Azure 防火牆規則處理邏輯

注意

本文使用傳統防火牆規則來管理防火牆。 慣用方法為使用防火牆原則。 如果要使用防火牆原則完成此程序,請參閱 教學課程:使用 Azure 入口網站以 Azure 防火牆原則 DNAT 篩選輸入網際網路流量

必要條件

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

建立資源群組

  1. 登入 Azure 入口網站
  2. 在 Azure 入口網站首頁上選取 [資源群組] ,然後選取 [建立]
  3. 在 [訂閱] 的部分,選取您的訂閱。
  4. 在 [資源群組] 中,輸入 [RG-DNAT-Test]
  5. 針對 [區域],選取區域。 您建立的所有其他資源都必須位於相同區域。
  6. 選取 [檢閱 + 建立]。
  7. 選取 建立

設定網路環境

針對本教學課程,您會建立兩個對等互連 Vnet:

  • VN-Hub - 防火牆位於此 VNet 中。
  • VN-Spoke - 工作負載伺服器位於此 VNet 中。

首先建立 Vnet,然後將其對等互連。

建立中樞 VNet

  1. 從 Azure 入口網站首頁,選取 [所有服務]

  2. 在 [網路] 底下,選取 [虛擬網路]

  3. 選取 建立

  4. [資源群組] 中,選取 [RG-DNAT-Test]

  5. 在 [名稱] 中,輸入 VN-Hub

  6. [區域] 中,選取您先前使用的相同區域。

  7. 選取 [下一步]。

  8. 在 [安全性] 索引標籤上,選取 [下一步]

  9. 針對 [IPv4 位址空間],請接受預設的 10.0.0.0/16

  10. 在 [子網路] 下,選取 [預設]

  11. 針對 [子網路範本],選取 [Azure 防火牆]

    防火牆會在此子網路中,且子網路名稱必須是 AzureFirewallSubnet。

    注意

    AzureFirewallSubnet 子網路的大小是 /26。 如需有關子網路大小的詳細資訊,請參閱 Azure 防火牆的常見問題集

  12. 選取 [儲存]。

  13. 選取 [檢閱 + 建立]。

  14. 選取 建立

建立輪輻 VNet

  1. 從 Azure 入口網站首頁,選取 [所有服務]
  2. 在 [網路] 底下,選取 [虛擬網路]
  3. 選取 建立
  4. [資源群組] 中,選取 [RG-DNAT-Test]
  5. 在 [名稱] 中,輸入 VN-Spoke
  6. [區域] 中,選取您先前使用的相同區域。
  7. 選取 [下一步]。
  8. 在 [安全性] 索引標籤上,選取 [下一步]
  9. 針對 [IPv4 位址空間],編輯預設值並輸入 192.168.0.0/16
  10. 在 [子網路] 下,選取 [預設]
  11. 針對子網路 [名稱],輸入 SN-Workload
  12. 針對 [起始位址],輸入 192.168.1.0
  13. 針對 [子網路大小],選取 [/24]
  14. 選取 [儲存]。
  15. 選取 [檢閱 + 建立]。
  16. 選取 建立

將 VNet 對等互連

現在對等互連兩個 VNet。

  1. 選取 [VN-Hub] 虛擬網路。
  2. 在 [設定] 底下,選取 [對等互連]
  3. 選取 [新增]。
  4. [此虛擬網路] 底下,針對 [對等互連連結名稱],輸入 Peer-HubSpoke
  5. [遠端虛擬網路] 底下,針對 [對等互連連結名稱],輸入 Peer-SpokeHub
  6. 針對虛擬網路選取 [VN-Spoke]
  7. 接受其他所有預設值,然後選取 [新增]

建立虛擬機器

建立工作負載虛擬機器,並將它放在 SN-Workload 子網路中。

  1. 從 Azure 入口網站功能表選取 [建立資源]
  2. 在 [熱門 Marketplace 產品] 底下,選取 [Windows Server 2019 Datacenter]

基本概念

  1. 在 [訂閱] 的部分,選取您的訂閱。
  2. [資源群組] 中,選取 [RG-DNAT-Test]
  3. 針對 [虛擬機器名稱],輸入 Srv-Workload
  4. 針對 [區域],選取您先前使用的相同位置。
  5. 鍵入使用者名稱和密碼。
  6. 完成時,選取 [下一步: 磁碟]。

磁碟

  1. 選取 [下一步:網路]

網路功能

  1. 針對 [虛擬網路],選取 [VN-Spoke]
  2. 在 [子網路] 中,選取 [SN-Workload]
  3. 在 [公用 IP] 中,選取 [無]
  4. 針對 [公用輸入連接埠],選取 [無]
  5. 保留其他預設設定,然後選取 [下一步:管理]

管理

  1. 選取 [下一步:監視]

監視

  1. 針對 [開機診斷],選取 [停用]
  2. 選取 [檢閱 + 建立] 。

檢閱 + 建立

檢閱摘要,然後選取 [建立]。 這需要幾分鐘的時間來完成。

部署完成之後,請記下虛擬機器的私人 IP 位址。 稍後當您設定防火牆時將會用到該位址。 選取虛擬機器名稱。 選取 [概觀],記下 [網路] 底下的私人 IP 位址。

注意

無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。

發生下列其中一個事件時,會停用預設輸出存取 IP:

  • 公用 IP 位址會指派給 VM。
  • 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
  • Azure NAT 閘道資源會指派給 VM 的子網路。

您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。

如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取針對輸出連線,使用來源網路位址轉譯 (SNAT)

部署防火牆

  1. 從入口網站首頁選取 [建立資源]

  2. 搜尋 [防火牆],然後選取 [防火牆]

  3. 選取 建立

  4. 在 [建立防火牆] 頁面上,使用下表來設定防火牆:

    設定
    訂用帳戶 <訂用帳戶>
    資源群組 選取 RG-DNAT-Test
    名稱 FW-DNAT-test
    區域 選取您先前使用的相同位置
    防火牆 SKU 標準
    防火牆管理 使用防火牆規則 (傳統) 管理此防火牆
    選擇虛擬網路 使用現有的:VN-Hub
    公用 IP 位址 新增,名稱:fw-pip

  5. 接受其他預設值,然後選取 [檢閱 + 建立]

  6. 檢閱摘要,然後選取 [建立] 來建立防火牆。

    部署需要幾分鐘的時間。

  7. 部署完成之後,請移至 RG-DNAT-Test 資源群組,然後選取 FW-DNAT-test 防火牆。

  8. 請注意防火牆的私人和公用 IP 位址。 您稍後會在建立預設路由和 NAT 規則時使用這些項目。

建立預設路由

SN-Workload 子網路中,您要設定通過防火牆的輸出預設路由。

重要

您不需要設定明確路由,並回到目的地子網路的防火牆。 Azure 防火牆是具狀態服務,並會自動處理封包和工作階段。 如果您建立此路由,您將建立非對稱路由環境,其會中斷具狀態工作階段邏輯,並導致捨棄封包和連線。

  1. 從 Azure 入口網站首頁,選取 [建立資源]

  2. 搜尋並選取 [路由表]

  3. 選取 建立

  4. 在 [訂閱] 的部分,選取您的訂閱。

  5. [資源群組] 中,選取 [RG-DNAT-Test]

  6. 在 [區域] 中,選取您先前使用的相同區域。

  7. 在 [名稱] 中,輸入 RT-FWroute

  8. 選取 [檢閱 + 建立]。

  9. 選取 建立

  10. 選取 [前往資源] 。

  11. 選取 [子網路],然後選取 [建立關聯]

  12. 針對 [虛擬網路],選取 [VN-Spoke]

  13. 在 [子網路] 中,選取 [SN-Workload]

  14. 選取 [確定]。

  15. 選取 [路由],然後選取 [確定]

  16. 在 [路由名稱] 中,鍵入 FW-DG

  17. 針對 [目的地類型],選取 [IP 位址]

  18. 在 [目的地 IP 位址/CIDR 範圍] 中,輸入 [0.0.0.0/0]

  19. 在 [下一個躍點類型] 中,選取 [虛擬設備]

    Azure 防火牆實際上是受管理的服務,但虛擬設備可在此情況下運作。

  20. 在 [下一個躍點位址] 中,鍵入您先前記下的防火牆私人 IP 位址。

  21. 選取 [新增]。

設定 NAT 規則

  1. 開啟 RG-DNAT-Test 資源群組,然後選取 FW-DNAT-test 防火牆。
  2. [FW-DNAT-test] 頁面的 [設定] 底下,選取 [規則 (傳統)]
  3. 選取 [新增 NAT 規則集合]
  4. 在 [名稱] 中,輸入 RC-DNAT-01
  5. 在 [優先順序] 中,鍵入 200
  6. 在 [規則] 底下的 [名稱] 中,輸入 RL-01
  7. 在 [通訊協定] 中,選取 [TCP]
  8. 針對 [來源類型],選取 [IP 位址]
  9. 針對 [來源],輸入 *。
  10. 針對 [目的地位址],輸入防火牆的公用 IP 位址。
  11. 在 [目的地連接埠] 中,輸入 3389
  12. 在 [轉譯的位址] 中,輸入 Srv-Workload 虛擬機器的私人 IP 位址。
  13. 在 [轉譯的連接埠] 中,輸入 3389
  14. 選取 [新增]。

這需要幾分鐘的時間來完成。

測試防火牆

  1. 將遠端桌面連線至防火牆公用 IP 位址。 您應該會連線到 Srv-Workload 虛擬機器。
  2. 關閉遠端桌面。

清除資源

您可以保留防火牆資源供下一個教學課程使用,若不再需要,則可刪除 RG-DNAT-Test 資源群組以刪除所有防火牆相關資源。

下一步

接下來,您可以監視 Azure 防火牆記錄。

教學課程:監視 Azure 防火牆記錄