Kurz: filtrování příchozího internetového provozu pomocí Azure Firewall zásad DNAT pomocí Azure Portal

Pokud chcete přeložit a filtrovat příchozí internetový provoz do podsítí, můžete nakonfigurovat DNAT (Network Address Translation) zásad Azure Firewall. Při konfiguraci DNAT je akce kolekce pravidel nastavena na DNAT. Každé pravidlo v kolekci pravidel NAT se pak dá použít k překladu veřejné IP adresy a portu brány firewall na privátní IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů je doporučený postup přidat konkrétní internetový zdroj, který umožní DNAT přístup k síti a vyhnout se používání zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení brány firewall a zásad
  • Vytvoření výchozí trasy
  • Konfigurace pravidla DNAT
  • Testování brány firewall

Požadavky

Pokud ještě předplatné Azure nemáte, vytvořte si napřed bezplatný účet.

Vytvoření skupiny prostředků

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. Na domovské stránce Azure Portal vyberte skupiny prostředků a pak vyberte Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte RG-DNAT-Test.
  5. V oblasti vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto kurzu vytvoříte dvě partnerské virtuální sítě:

  • VN-Hub – v této virtuální síti bude brána firewall.
  • VN-Spoke – v této virtuální síti bude server úloh.

Nejprve vytvořte virtuální sítě a pak mezi nimi vytvořte partnerský vztah.

Vytvoření virtuální sítě centra

  1. Na domovské stránce Azure Portal vyberte všechny služby.

  2. V části síť vyberte virtuální sítě.

  3. Vyberte Přidat.

  4. V případě skupiny prostředků vyberte RG-DNAT-test.

  5. Jako Název zadejte VN-Hub.

  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Vyberte Další: IP adresy.

  8. V případě adresního prostoru IPv4 přijměte výchozí 10.0.0.0/16.

  9. V části název podsítě vyberte výchozí.

  10. Upravte název podsítě a zadejte AzureFirewallSubnet.

    Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

    Poznámka

    Velikost podsítě AzureFirewallSubnet je/26. Další informace o velikosti podsítě najdete v tématu Azure firewall Nejčastější dotazy.

  11. Jako Rozsah adres podsítě zadejte 10.0.1.0/26.

  12. Vyberte Uložit.

  13. Vyberte Zkontrolovat a vytvořit.

  14. Vyberte Vytvořit.

Vytvoření virtuální sítě paprsku

  1. Na domovské stránce Azure Portal vyberte všechny služby.
  2. V části síť vyberte virtuální sítě.
  3. Vyberte Přidat.
  4. V případě skupiny prostředků vyberte RG-DNAT-test.
  5. Jako Název zadejte VN-Spoke.
  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další: IP adresy.
  8. V případě adresního prostoru IPv4 upravte výchozí nastavení a zadejte 192.168.0.0/16.
  9. Vyberte Přidat podsíť.
  10. Jako název podsítě zadejte sn-zatížení.
  11. Jako Rozsah adres podsítě zadejte 192.168.1.0/24.
  12. Vyberte Přidat.
  13. Vyberte Zkontrolovat a vytvořit.
  14. Vyberte Vytvořit.

Vytvoření partnerského vztahu virtuálních sítí

Teď mezi dvěma virtuálními sítěmi vytvořte partnerský vztah.

  1. Vyberte virtuální síť centra vn .
  2. v části Nastavení vyberte partnerské vztahy.
  3. Vyberte Přidat.
  4. V rámci této virtuální sítě zadejte pro Název propojení partnerského vztahu typ peer-HubSpoke.
  5. V části Vzdálená virtuální síť zadejte pro Název propojení partnerského vztahu typ peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. V nabídce webu Azure Portal vyberte Vytvořit prostředek.
  2. v části oblíbené vyberte Windows Server 2016 datacentra.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. V případě skupiny prostředků vyberte RG-DNAT-test.
  3. Jako název virtuálního počítače zadejte SRV-úlohy.
  4. V poli oblast vyberte stejné umístění, které jste použili dříve.
  5. Zadejte uživatelské jméno a heslo.
  6. Vyberte Další: disky.

Disky

  1. Až skončíte, vyberte Další: Sítě.

Sítě

  1. Pro virtuální síť vyberte vn-paprsek.
  2. Jako Podsíť vyberte SN-Workload.
  3. V případě veřejné IP adresy vyberte žádné.
  4. U veřejných příchozích portů vyberte None (žádné).
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

správy

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Zkontrolovat a vytvořit

Zkontrolujte souhrn a pak vyberte vytvořit. Dokončení může několik minut trvat.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použijete ji později při konfiguraci brány firewall. vyberte název virtuálního počítače a v části Nastavení vyberte sítě . tím se najde privátní IP adresa.

Nasazení brány firewall a zásad

  1. Na domovské stránce portálu vyberte vytvořit prostředek.

  2. Vyhledejte bránu firewall a potom vyberte možnost Brána firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <your subscription>
    Skupina prostředků Vybrat RG-DNAT-test
    Name FW-DNAT-test
    Oblast Vyberte dříve použité umístění.
    Správa brány firewall Použití zásad brány firewall ke správě této brány firewall
    Zásady brány firewall Přidat nové:
    FW-DNAT-Pol
    vaše vybraná oblast
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidejte nový, název: FW-PIP.
  5. Přijměte ostatní výchozí hodnoty a pak vyberte zkontrolovat + vytvořit.

  6. Zkontrolujte souhrn a pak vyberte vytvořit a vytvořte bránu firewall.

    Nasazení bude trvat několik minut.

  7. Po dokončení nasazení přejdete do skupiny prostředků RG-DNAT-test a vyberete bránu firewall FW-DNAT-test .

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je budete používat při vytváření výchozí trasy a pravidla překladu adres (NAT).

Vytvoření výchozí trasy

U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. Na domovské stránce Azure Portal vyberte všechny služby.

  2. V části sítě vyberte směrovací tabulky.

  3. Vyberte Přidat.

  4. V části Předplatné vyberte své předplatné.

  5. V případě skupiny prostředků vyberte RG-DNAT-test.

  6. V poli oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Jako název zadejte RT-FW-Route.

  8. Vyberte Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít k prostředku.

  11. Vyberte podsítě a pak vyberte přidružit.

  12. Pro virtuální síť vyberte vn-paprsek.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte trasy a pak vyberte Přidat.

  16. Jako název trasy zadejte FW-DG.

  17. V části Předpona IP adresy zadejte 0.0.0.0/0.

  18. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  19. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  20. Vyberte OK.

Konfigurace pravidla překladu adres (NAT)

Toto pravidlo umožňuje připojit vzdálenou plochu k Srv-Workloadmu virtuálnímu počítači přes bránu firewall.

  1. Otevřete skupinu prostředků RG-DNAT-test a vyberte zásady brány firewall FW-DNAT-Pol .
  2. v části Nastavení vyberte pravidla DNAT.
  3. Vyberte přidat kolekci pravidel.
  4. Jako název zadejte RDP.
  5. V části Priorita zadejte 200.
  6. Pro skupinu kolekce pravidel vyberte DefaultDnatRuleCollectionGroup.
  7. V části pravidla zadejte do pole název RDP-NAT.
  8. Jako typ zdroje vyberte IP adresa.
  9. Jako zdroj zadejte * .
  10. V části Protokol vyberte TCP.
  11. V případě cílových portů zadejte 3389.
  12. Jako typ cíle vyberte IP adresa.
  13. Do pole cíl zadejte veřejnou IP adresu brány firewall.
  14. Pro přeloženou adresu zadejte privátní IP adresu pro úlohu SRV .
  15. Do pole Přeložený port zadejte 3389.
  16. Vyberte Přidat.

Testování brány firewall

  1. Připojte k veřejné IP adrese brány firewall vzdálenou plochu. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
  2. Zavřete vzdálenou plochu.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků RG-DNAT-Test odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.