Kurz: Filtrování příchozího internetového provozu pomocí DNAT zásad Azure Firewall pomocí Azure Portal

  • Článek

Můžete nakonfigurovat Azure Firewall zásadu DNAT (Destination Network Address Translation) pro překlad a filtrování příchozího internetového provozu do podsítí. Při konfiguraci DNAT se akce shromažďování pravidel nastaví na DNAT. Každé pravidlo v kolekci pravidel překladu adres (NAT) se pak dá použít k překladu veřejné IP adresy a portu brány firewall na privátní IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Zbezpečnostníchm služeb je z bezpečnostních důvodů doporučeným postupem přidat konkrétní internetový zdroj, který umožní přístup DNAT k síti, a vyhnout se používání zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení brány firewall a zásad
  • Vytvoření výchozí trasy
  • Konfigurace pravidla DNAT
  • Testování brány firewall

Požadavky

Pokud ještě předplatné Azure nemáte, vytvořte si napřed bezplatný účet.

Vytvoření skupiny prostředků

  1. Přihlaste se k webu Azure Portal.
  2. Na domovské stránce Azure Portal vyberte Skupiny prostředků a pak vyberte Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte RG-DNAT-Test.
  5. Jako Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto kurzu vytvoříte dvě partnerské virtuální sítě:

  • VN-Hub – v této virtuální síti bude brána firewall.
  • VN-Spoke – v této virtuální síti bude server úloh.

Nejprve vytvořte virtuální sítě a pak mezi nimi vytvořte partnerský vztah.

Vytvoření virtuální sítě centra

  1. Na domovské stránce Azure Portal vyberte Všechny služby.

  2. V části Sítě vyberte Virtuální sítě.

  3. Vyberte Přidat.

  4. Jako Skupina prostředků vyberte RG-DNAT-Test.

  5. Jako Název zadejte VN-Hub.

  6. Jako Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Vyberte Další: IP adresy.

  8. Pro adresní prostor IPv4 přijměte výchozí hodnotu 10.0.0.0/16.

  9. V části Název podsítě vyberte výchozí.

  10. Upravte název podsítě a zadejte AzureFirewallSubnet.

    Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

    Poznámka

    Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech k Azure Firewall.

  11. Jako Rozsah adres podsítě zadejte 10.0.1.0/26.

  12. Vyberte Uložit.

  13. Vyberte Zkontrolovat a vytvořit.

  14. Vyberte Vytvořit.

Vytvoření virtuální sítě paprsku

  1. Na domovské stránce Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Přidat.
  4. Jako Skupina prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Spoke.
  6. Jako Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další: IP adresy.
  8. V části Adresní prostor IPv4 upravte výchozí hodnotu a zadejte 192.168.0.0/16.
  9. Vyberte Přidat podsíť.
  10. Jako název podsítě zadejte SN-Workload.
  11. Do pole Rozsah adres podsítě zadejte 192.168.1.0/24.
  12. Vyberte Přidat.
  13. Vyberte Zkontrolovat a vytvořit.
  14. Vyberte Vytvořit.

Vytvoření partnerského vztahu virtuálních sítí

Teď mezi dvěma virtuálními sítěmi vytvořte partnerský vztah.

  1. Vyberte virtuální síť VN-Hub .
  2. V části Nastavení vyberte Partnerské vztahy.
  3. Vyberte Přidat.
  4. V části Tato virtuální síť jako název propojení partnerského vztahu zadejte Peer-HubSpoke.
  5. V části Vzdálená virtuální síť jako Název propojení partnerského vztahu zadejte Peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. V nabídce webu Azure Portal vyberte Vytvořit prostředek.
  2. V části Oblíbené vyberte Windows Server 2016 Datacenter.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. Jako Skupina prostředků vyberte RG-DNAT-Test.
  3. Jako Název virtuálního počítače zadejte Srv-Workload.
  4. Jako Oblast vyberte stejné umístění, které jste použili dříve.
  5. Zadejte uživatelské jméno a heslo.
  6. Vyberte Další: Disky.

Disky

  1. Až skončíte, vyberte Další: Sítě.

Sítě

  1. V části Virtuální síť vyberte VN-Spoke.
  2. Jako Podsíť vyberte SN-Workload.
  3. V části Veřejná IP adresa vyberte Žádná.
  4. V části Veřejné příchozí porty vyberte Žádné.
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

správy

  1. V části Diagnostika spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Zkontrolovat a vytvořit

Zkontrolujte souhrn a pak vyberte Vytvořit. Dokončení může několik minut trvat.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použijete ji později při konfiguraci brány firewall. Vyberte název virtuálního počítače a v části Nastavení vyberte Sítě a vyhledejte privátní IP adresu.

Nasazení brány firewall a zásad

  1. Na domovské stránce portálu vyberte Vytvořit prostředek.

  2. Vyhledejte Brána firewall a pak vyberte Brána firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina prostředků Vyberte RG-DNAT-Test.
    Name FW-DNAT-test
    Oblast Vyberte dříve použité umístění.
    Správa brány firewall Použití zásad brány firewall ke správě této brány firewall
    Zásady brány firewall Přidat nový:
    fw-dnat-pol
    vybraná oblast
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidejte nový, název: fw-pip.

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte souhrn a pak výběrem možnosti Vytvořit vytvořte bránu firewall.

    Nasazení trvá několik minut.

  7. Po dokončení nasazení přejděte do skupiny prostředků RG-DNAT-Test a vyberte bránu firewall FW-DNAT-test .

  8. Poznamenejte si privátní a veřejnou IP adresu brány firewall. Použijete je později při vytváření výchozí trasy a pravidla PŘEKLADU ADRES.

Vytvoření výchozí trasy

U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.

Důležité

Nemusíte konfigurovat explicitní trasu zpět do brány firewall v cílové podsíti. Azure Firewall je stavová služba, která zpracovává pakety a relace automaticky. Pokud vytvoříte tuto trasu, vytvoříte prostředí asymetrického směrování, které přeruší logiku stavové relace a způsobí vyřazení paketů a připojení.

  1. Na domovské stránce Azure Portal vyberte Všechny služby.

  2. V části Sítě vyberte Směrovací tabulky.

  3. Vyberte Přidat.

  4. V části Předplatné vyberte své předplatné.

  5. Jako Skupina prostředků vyberte RG-DNAT-Test.

  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Jako Název zadejte RT-FW-route.

  8. Vyberte Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít k prostředku.

  11. Vyberte Podsítě a pak vyberte Přidružit.

  12. V části Virtuální síť vyberte VN-Spoke.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte Trasy a pak vyberte Přidat.

  16. Jako Název trasy zadejte fw-dg.

  17. V části Předpona IP adresy zadejte 0.0.0.0/0.

  18. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  19. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  20. Vyberte OK.

Konfigurace pravidla překladu adres (NAT)

Toto pravidlo umožňuje připojit vzdálenou plochu k Srv-Workload virtuálnímu počítači přes bránu firewall.

  1. Otevřete skupinu prostředků RG-DNAT-Test a vyberte zásadu brány firewall fw-dnat-pol .
  2. V části Nastavení vyberte Pravidla DNAT.
  3. Vyberte Přidat kolekci pravidel.
  4. Jako Název zadejte rdp.
  5. V části Priorita zadejte 200.
  6. V části Rule collection group (Skupina kolekcí pravidel) vyberte DefaultDnatRuleCollectionGroup.
  7. V části Pravidla jako Název zadejte rdp-nat.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte *.
  10. V části Protokol vyberte TCP.
  11. Do pole Cílové porty zadejte 3389.
  12. Jako Typ cíle vyberte IP adresa.
  13. Do pole Cíl zadejte veřejnou IP adresu brány firewall.
  14. Do pole Přeložená adresa zadejte privátní IP adresu Srv-Workload .
  15. Do pole Přeložený port zadejte 3389.
  16. Vyberte Přidat.

Testování brány firewall

  1. Připojte k veřejné IP adrese brány firewall vzdálenou plochu. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
  2. Zavřete vzdálenou plochu.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků RG-DNAT-Test odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Nasazení a konfigurace Azure Firewall Premium