教學課程：使用 Azure 入口網站以 Azure 防火牆原則 DNAT 篩選輸入網際網路或內部網路流量

您可以設定 Azure 防火牆原則目的地網路位址轉譯 (DNAT)，將輸入網際網路或內部網路 (預覽) 流量轉譯及篩選至您的子網路。 當您設定 DNAT 時，規則集合動作是設為 DNAT。 接著，NAT 規則集合中的每個規則均可用來將防火牆公用或私人 IP 位址和連接埠轉譯為私人 IP 位址和連接埠。 DNAT 規則會間接新增對應的網路規則，以允許經過轉譯的流量。 基於安全性理由，建議的方法是新增特定的來源，以允許 DNAT 存取網路，並避免使用萬用字元。 若要深入了解 Azure 防火牆規則處理邏輯，請參閱 Azure 防火牆規則處理邏輯。

在本教學課程中，您會了解如何：

• 設定測試網路環境
• 部署防火牆和原則
• 建立預設路由
• 設定 DNAT 規則
• 測試防火牆

必要條件

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立免費帳戶。

建立資源群組

1. 登入 Azure 入口網站。
2. 在 Azure 入口網站首頁上選取 [資源群組]，然後選取 [新增]。
3. 在 [訂閱] 的部分，選取您的訂閱。
4. 在 [資源群組名稱] 中，輸入 RG-DNAT-Test。
5. 針對 [區域]，選取區域。 您建立的所有其他資源都必須位於相同區域。
6. 選取 [檢閱 + 建立]。
7. 選取 建立。

設定網路環境

針對本教學課程，您會建立兩個對等互連 Vnet：

• VN-Hub - 防火牆位於此 VNet 中。
• VN-Spoke - 工作負載伺服器位於此 VNet 中。

首先建立 Vnet，然後將其對等互連。

建立中樞 VNet

1. 從 Azure 入口網站首頁，選取 [所有服務]。

2. 在 [網路] 底下，選取 [虛擬網路]。

3. 選取 [新增]。

4. 在 [資源群組] 中，選取 [RG-DNAT-Test]。

5. 在 [名稱] 中，輸入 VN-Hub。

6. 在 [區域] 中，選取您先前使用的相同區域。

7. 選取 [下一步: IP 位址]。

8. 針對 [IPv4 位址空間]，請接受預設的 10.0.0.0/16。

9. 在 [子網路名稱] 下，選取 [預設]。

10. 編輯 [子網路名稱]，並且輸入 AzureFirewallSubnet。

    防火牆會在此子網路中，且子網路名稱必須是 AzureFirewallSubnet。

    注意

    AzureFirewallSubnet 子網路的大小是 /26。 如需有關子網路大小的詳細資訊，請參閱 Azure 防火牆的常見問題集。

11. 針對 [子網路位址範圍]，輸入 10.0.1.0/26。

12. 選取 [儲存]。

13. 選取 [檢閱 + 建立]。

14. 選取 建立。

建立輪輻 VNet

1. 從 Azure 入口網站首頁，選取 [所有服務]。
2. 在 [網路] 底下，選取 [虛擬網路]。
3. 選取 [新增]。
4. 在 [資源群組] 中，選取 [RG-DNAT-Test]。
5. 在 [名稱] 中，輸入 VN-Spoke。
6. 在 [區域] 中，選取您先前使用的相同區域。
7. 選取 [下一步: IP 位址]。
8. 針對 [IPv4 位址空間]，編輯預設值並輸入 192.168.0.0/16。
9. 選取 [新增子網路]。
10. 針對 [子網路名稱]，輸入 SN-Workload。
11. 針對 [子網路位址範圍]，輸入 192.168.1.0/24。
12. 選取 [新增]。
13. 選取 [檢閱 + 建立]。
14. 選取 建立。

將 VNet 對等互連

現在對等互連兩個 VNet。

1. 選取 [VN-Hub] 虛擬網路。
2. 在 [設定] 底下，選取 [對等互連]。
3. 選取 [新增]。
4. 在 [此虛擬網路] 底下，針對 [對等互連連結名稱]，輸入 Peer-HubSpoke。
5. 在 [遠端虛擬網路] 底下，針對 [對等互連連結名稱]，輸入 Peer-SpokeHub。
6. 針對虛擬網路選取 [VN-Spoke]。
7. 接受其他所有預設值，然後選取 [新增]。

建立虛擬機器

建立工作負載虛擬機器，並將它放在 SN-Workload 子網路中。

1. 從 Azure 入口網站功能表選取 [建立資源]。
2. 在 [熱門] 底下，選取 [Windows Server 2016 Datacenter]。

基本概念

1. 在 [訂閱] 的部分，選取您的訂閱。
2. 在 [資源群組] 中，選取 [RG-DNAT-Test]。
3. 針對 [虛擬機器名稱]，輸入 Srv-Workload。
4. 針對 [區域]，選取您先前使用的相同位置。
5. 鍵入使用者名稱和密碼。
6. 完成時，選取 [下一步: 磁碟]。

磁碟

1. 選取 [下一步：網路]。

網路功能

1. 針對 [虛擬網路]，選取 [VN-Spoke]。
2. 在 [子網路] 中，選取 [SN-Workload]。
3. 在 [公用 IP] 中，選取 [無]。
4. 針對 [公用輸入連接埠]，選取 [無]。
5. 保留其他預設設定，然後選取 [下一步：管理]。

管理

1. 針對 [開機診斷]，選取 [停用]。
2. 選取 [檢閱 + 建立] 。

檢閱 + 建立

檢閱摘要，然後選取 [建立]。 這需要幾分鐘才能完成。

部署完成之後，請記下虛擬機器的私人 IP 位址。 稍後當您設定防火牆時將會用到該位址。 選取虛擬機器名稱，然後在 [設定] 底下選取 [網路]，以尋找私人 IP 位址。

部署防火牆和原則

1. 從入口網站首頁選取 [建立資源]。

2. 搜尋 [防火牆]，然後選取 [防火牆]。

3. 選取 建立。

4. 在 [建立防火牆] 頁面上，使用下表來設定防火牆：

   設定	值
   訂用帳戶	<您的訂用帳戶>
   資源群組	選取 RG-DNAT-Test
   名稱	FW-DNAT-test
   區域	選取您先前使用的相同位置
   防火牆管理	使用防火牆原則管理此防火牆
   防火牆原則	新增： fw-dnat-pol 您選取的區域
   選擇虛擬網路	使用現有的：VN-Hub
   公用 IP 位址	新增，名稱：fw-pip。

5. 接受其他預設值，然後選取 [檢閱 + 建立]。

6. 檢閱摘要，然後選取 [建立] 來建立防火牆。

   部署需要幾分鐘的時間。

7. 部署完成之後，請移至 RG-DNAT-Test 資源群組，然後選取 FW-DNAT-test 防火牆。

8. 請注意防火牆的私人和公用 IP 位址。 您稍後會在建立預設路由和 NAT 規則時使用這些項目。

建立預設路由

在 SN-Workload 子網路中，您要設定通過防火牆的輸出預設路由。

重要

您不需要設定明確路由，並回到目的地子網路的防火牆。 Azure 防火牆是具狀態服務，並會自動處理封包和工作階段。 如果您建立此路由，您將建立非對稱路由環境，其會中斷具狀態工作階段邏輯，並導致捨棄封包和連線。

1. 從 Azure 入口網站首頁，選取 [所有服務]。

2. 在 [網路] 底下，選取 [路由表]。

3. 選取 [新增]。

4. 在 [訂閱] 的部分，選取您的訂閱。

5. 在 [資源群組] 中，選取 [RG-DNAT-Test]。

6. 在 [區域] 中，選取您先前使用的相同區域。

7. 在 [名稱] 中，輸入 RT-FW-route。

8. 選取 [檢閱 + 建立]。

9. 選取 建立。

10. 選取 [前往資源] 。

11. 選取 [子網路]，然後選取 [建立關聯]。

12. 針對 [虛擬網路]，選取 [VN-Spoke]。

13. 在 [子網路] 中，選取 [SN-Workload]。

14. 選取 [確定]。

15. 選取 [路由]，然後選取 [確定]。

16. 在 [路由名稱] 中，鍵入 fw-dg。

17. 在 [位址首碼] 中，鍵入 0.0.0.0/0。

18. 在 [下一個躍點類型] 中，選取 [虛擬設備]。

    Azure 防火牆實際上是受管理的服務，但虛擬設備可在此情況下運作。

19. 在 [下一個躍點位址] 中，鍵入您先前記下的防火牆私人 IP 位址。

20. 選取 [確定]。

設定 NAT 規則

此規則可讓您透過防火牆將遠端桌面連線至 Srv-Workload 虛擬機器。

1. 開啟 RG-DNAT-Test 資源群組，然後選取 fw-dnat-pol 防火牆原則。
2. 在 [設定] 之下，選取 [DNAT 規則]。
3. 選取 [新增規則集合]。
4. 針對 [名稱] 輸入 rdp。
5. 在 [優先順序] 中，鍵入 200。
6. 針對 [規則集合群組]，選取 [DefaultDnatRuleCollectionGroup]。
7. 在 [規則] 下的 [名稱] 中，輸入 rdp-nat。
8. 針對 [來源類型]，選取 [IP 位址]。
9. 針對 [來源]，輸入 *。
10. 在 [通訊協定] 中，選取 [TCP]。
11. 在 [目的地連接埠] 中，輸入 3389。
12. 針對 [目的地類型]，選取 [IP 位址]。
13. 針對 [目的地]，請輸入防火牆公用或私人 IP 位址。
14. 在 [轉譯的位址] 中，輸入 Srv-Workload 私人 IP 位址。
15. 在 [轉譯的連接埠] 中，輸入 3389。
16. 選取 [新增]。

測試防火牆

1. 將遠端桌面連線至防火牆公用 IP 位址。 您應該會連線到 Srv-Workload 虛擬機器。
2. 關閉遠端桌面。

清除資源

您可以保留防火牆資源供下一個教學課程使用，若不再需要，則可刪除 RG-DNAT-Test 資源群組來刪除所有防火牆相關資源。

下一步

部署和設定 Azure 防火牆進階版