Filtrování příchozího internetového provozu pomocí Azure Firewall DNAT pomocí Azure Portal

  • Článek
  • 6 min ke čtení

Ve službě Azure Firewall můžete nakonfigurovat překlad adres na základě cíle (DNAT) pro překlad a filtrování příchozího internetového provozu do vašich podsítí. Když nakonfigurujete DNAT, akce kolekce pravidel překladu adres (NAT) se nastaví na DNAT. Každé pravidlo v kolekci pravidel NAT se pak dá použít k překladu veřejné IP adresy a portu brány firewall na privátní IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů je doporučený postup přidat konkrétní internetový zdroj, který umožní DNAT přístup k síti a vyhnout se používání zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

V tomto článku získáte informace o těchto tématech:

  • Nastavit testovací síťové prostředí
  • Nasadit bránu firewall
  • Vytvoření výchozí trasy
  • Konfigurace pravidla DNAT
  • Testování brány firewall

Poznámka

Tento článek používá pro správu brány firewall klasická pravidla brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, přečtěte si kurz: filtrování příchozího internetového provozu pomocí Azure firewall zásad DNAT pomocí Azure Portal

Požadavky

Pokud ještě předplatné Azure nemáte, vytvořte si napřed bezplatný účet.

Vytvoření skupiny prostředků

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. Na domovské stránce Azure Portal vyberte skupiny prostředků a pak vyberte Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte RG-DNAT-Test.
  5. V oblasti vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto článku vytvoříte dvě virtuální sítě s partnerským vztahem:

  • VN-Hub – v této virtuální síti bude brána firewall.
  • VN-Spoke – v této virtuální síti bude server úloh.

Nejprve vytvořte virtuální sítě a pak mezi nimi vytvořte partnerský vztah.

Vytvoření virtuální sítě centra

  1. Na domovské stránce Azure Portal vyberte všechny služby.

  2. V části síť vyberte virtuální sítě.

  3. Vyberte Přidat.

  4. V případě skupiny prostředků vyberte RG-DNAT-test.

  5. Jako Název zadejte VN-Hub.

  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Vyberte Další: IP adresy.

  8. V případě adresního prostoru IPv4 přijměte výchozí 10.0.0.0/16.

  9. V části název podsítě vyberte výchozí.

  10. Upravte název podsítě a zadejte AzureFirewallSubnet.

    Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

    Poznámka

    Velikost podsítě AzureFirewallSubnet je/26. Další informace o velikosti podsítě najdete v tématu Azure firewall Nejčastější dotazy.

  11. Jako Rozsah adres podsítě zadejte 10.0.1.0/26.

  12. Vyberte Uložit.

  13. Vyberte Zkontrolovat a vytvořit.

  14. Vyberte Vytvořit.

Vytvoření virtuální sítě paprsku

  1. Na domovské stránce Azure Portal vyberte všechny služby.
  2. V části síť vyberte virtuální sítě.
  3. Vyberte Přidat.
  4. V případě skupiny prostředků vyberte RG-DNAT-test.
  5. Jako Název zadejte VN-Spoke.
  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další: IP adresy.
  8. V případě adresního prostoru IPv4 upravte výchozí nastavení a zadejte 192.168.0.0/16.
  9. Vyberte Přidat podsíť.
  10. Jako název podsítě zadejte sn-zatížení.
  11. Jako Rozsah adres podsítě zadejte 192.168.1.0/24.
  12. Vyberte Přidat.
  13. Vyberte Zkontrolovat a vytvořit.
  14. Vyberte Vytvořit.

Vytvoření partnerského vztahu virtuálních sítí

Teď mezi dvěma virtuálními sítěmi vytvořte partnerský vztah.

  1. Vyberte virtuální síť centra vn .
  2. V části Nastavení vyberte partnerské vztahy.
  3. Vyberte Přidat.
  4. V rámci této virtuální sítě zadejte pro Název propojení partnerského vztahu typ peer-HubSpoke.
  5. V části Vzdálená virtuální síť zadejte pro Název propojení partnerského vztahu typ peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. V nabídce webu Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené vyberte Windows Server 2016 Datacenter.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. V případě skupiny prostředků vyberte RG-DNAT-test.
  3. Jako název virtuálního počítače zadejte SRV-úlohy.
  4. V poli oblast vyberte stejné umístění, které jste použili dříve.
  5. Zadejte uživatelské jméno a heslo.
  6. Vyberte Další: disky.

Disky

  1. Až skončíte, vyberte Další: Sítě.

Sítě

  1. Pro virtuální síť vyberte vn-paprsek.
  2. Jako Podsíť vyberte SN-Workload.
  3. V případě veřejné IP adresy vyberte žádné.
  4. U veřejných příchozích portů vyberte None (žádné).
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

správy

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Zkontrolovat a vytvořit

Zkontrolujte souhrn a pak vyberte vytvořit. Dokončení může několik minut trvat.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použijete ji později při konfiguraci brány firewall. Vyberte název virtuálního počítače a v části Nastavení vyberte sítě , abyste našli privátní IP adresu.

Poznámka

Azure poskytuje výchozí IP adresu odchozího přístupu pro Azure Virtual Machines, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endového fondu interního virtuálního počítače Azure Load Balancer. Výchozí mechanismus IP adresy odchozího přístupu poskytuje odchozí IP adresu, která není konfigurovatelná.

Další informace o výchozím odchozím přístupu najdete v tématu Výchozí odchozí přístup v Azure.

Výchozí IP adresa odchozího přístupu je zakázaná, když je virtuálnímu počítači přiřazena veřejná IP adresa nebo je virtuální počítač umístěn do back-endového fondu služby Standard Load Balancer s odchozími pravidly nebo bez nich. Pokud je Překlad adres služby Azure Virtual Network virtuální počítač přiřazený k podsíti virtuálního počítače, výchozí IP adresa odchozího přístupu je zakázaná.

Virtuální počítače vytvořené škálovacími sadami virtuálních počítačů v režimu flexibilní orchestrace nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Použití překladu zdrojových adres (SNAT) pro odchozí připojení.

Nasazení brány firewall

  1. Na domovské stránce portálu vyberte vytvořit prostředek.

  2. Vyhledejte bránu firewall a potom vyberte možnost Brána firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <your subscription>
    Skupina prostředků Vybrat RG-DNAT-test
    Name FW-DNAT-test
    Oblast Vyberte dříve použité umístění.
    Správa brány firewall Ke správě této brány firewall použít pravidla brány firewall (Classic)
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidejte nový, název: FW-PIP.

  5. Přijměte ostatní výchozí hodnoty a pak vyberte zkontrolovat + vytvořit.

  6. Zkontrolujte souhrn a pak vyberte vytvořit a vytvořte bránu firewall.

    Nasazení může několik minut trvat.

  7. Po dokončení nasazení přejdete do skupiny prostředků RG-DNAT-test a vyberete bránu firewall FW-DNAT-test .

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je budete používat při vytváření výchozí trasy a pravidla překladu adres (NAT).

Vytvoření výchozí trasy

U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. Na domovské stránce Azure Portal vyberte všechny služby.

  2. V části sítě vyberte směrovací tabulky.

  3. Vyberte Přidat.

  4. V části Předplatné vyberte své předplatné.

  5. V případě skupiny prostředků vyberte RG-DNAT-test.

  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Jako Název zadejte RT-FWroute.

  8. Vyberte Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít k prostředku.

  11. Vyberte podsítě a pak vyberte přidružit.

  12. Pro virtuální síť vyberte vn-paprsek.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte trasy a pak vyberte Přidat.

  16. Jako Název trasy zadejte FW-DG.

  17. V části Předpona IP adresy zadejte 0.0.0.0/0.

  18. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  19. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  20. Vyberte OK.

Konfigurace pravidla překladu adres (NAT)

  1. Otevřete skupinu prostředků RG-DNAT-test a vyberte bránu firewall FW-DNAT-test .
  2. Na stránce FW-DNAT-test vyberte v části Nastavení možnost pravidla (Classic).
  3. Vyberte přidat kolekci pravidel NAT.
  4. Jako Název zadejte RC-DNAT-01.
  5. V části Priorita zadejte 200.
  6. V části Pravidla jako Název zadejte RL-01.
  7. V části Protokol vyberte TCP.
  8. Jako typ zdroje vyberte IP adresa.
  9. Jako zdroj zadejte *.
  10. Pro cílové adresy zadejte veřejnou IP adresu brány firewall.
  11. Do pole Cílové porty zadejte 3389.
  12. Do pole Přeložená adresa zadejte privátní IP adresu virtuálního počítače Srv-Workload.
  13. Do pole Přeložený port zadejte 3389.
  14. Vyberte Přidat. Dokončení může několik minut trvat.

Testování brány firewall

  1. Připojte k veřejné IP adrese brány firewall vzdálenou plochu. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
  2. Zavřete vzdálenou plochu.

Vyčištění prostředků

Můžete zachovat prostředky brány firewall pro další testování, nebo pokud už je nepotřebujete, odstranit skupinu prostředků RG-DNAT-test , aby se odstranily všechny prostředky související s bránou firewall.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Kurz: Monitorování protokolů brány Azure Firewall