Filtrare il traffico Internet in ingresso con DNAT di Firewall di Azure tramite il portale di Azure

  • Articolo

È possibile configurare la modalità DNAT (Destination Network Address Translation) di Firewall di Azure per convertire e filtrare il traffico Internet in ingresso nelle subnet. Quando si configura la modalità DNAT, l'azione di raccolta delle regole NAT è impostata su Dnat. Ogni regola nella raccolta regole NAT può quindi essere usata per convertire la porta e l'indirizzo IP pubblici del firewall in porta e indirizzo IP privati. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, l'approccio consigliato consiste nell'aggiungere un'origine Internet specifica per consentire l'accesso DNAT alla rete evitando di usare caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).

Nota

Questo articolo usa le regole del firewall classiche per gestire il firewall. Il metodo preferito consiste nell'usare i criteri firewall. Per completare questa procedura usando i criteri firewall, vedere Esercitazione: Filtrare il traffico Internet in ingresso con DNAT dei criteri di Firewall di Azure usando il portale di Azure

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

  1. Accedere al portale di Azure.
  2. Nella home page portale di Azure selezionare Gruppi di risorse e quindi Crea.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. In Gruppo di risorse digitare RG-DNAT-Test.
  5. Per Area selezionare la area desiderata. Tutte le altre risorse create devono trovarsi nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Configurare l'ambiente di rete

Per questo articolo si creano due reti virtuali con peering:

  • VN-Hub: in questa rete virtuale si trova il firewall.
  • VN-Spoke: in questa rete virtuale si trova il server del carico di lavoro.

Creare innanzitutto le reti virtuali e quindi eseguire il peering.

Creare la rete virtuale dell'hub

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Reti virtuali.

  3. Seleziona Crea.

  4. In Gruppo di risorse selezionare RG-DNAT-Test.

  5. In Nome digitare VN-Hub.

  6. In Area selezionare la stessa area usata in precedenza.

  7. Selezionare Avanti.

  8. Nella scheda Sicurezza selezionare Avanti.

  9. Per Spazio indirizzi IPv4 accettare il valore predefinito 10.0.0.0/16.

  10. In Subnet selezionare predefinito.

  11. Per Modello subnet selezionare Firewall di Azure.

    Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

    Nota

    La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  12. Seleziona Salva.

  13. Selezionare Rivedi e crea.

  14. Seleziona Crea.

Creare un rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Seleziona Crea.
  4. In Gruppo di risorse selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Spoke.
  6. In Area selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti.
  8. Nella scheda Sicurezza selezionare Avanti.
  9. Per Spazio indirizzi IPv4, modificare il valore predefinito e digitare 192.168.0.0/16.
  10. In Subnet selezionare predefinito.
  11. Per il nome della subnet digitare SN-Workload.
  12. Per Indirizzo iniziale digitare 192.168.1.0.
  13. Per Dimensioni subnet selezionare /24.
  14. Seleziona Salva.
  15. Selezionare Rivedi e crea.
  16. Seleziona Crea.

Eseguire il peering delle reti virtuali

Ora è il momento di eseguire il peering delle due reti virtuali.

  1. Selezionare la rete virtuale VN-Hub.
  2. In Impostazioni selezionare Peering.
  3. Selezionare Aggiungi.
  4. In Questa rete virtuale digitare Peer-HubSpoke per il nome del collegamento peering.
  5. In Rete virtuale remota digitare Peer-SpokeHub per Nome collegamento peering.
  6. Selezionare VN-Spoke per la rete virtuale.
  7. Accettare tutte le altre impostazioni predefinite e quindi selezionare Aggiungi.

Creare una macchina virtuale

Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.

  1. Dal menu del portale di Azure, selezionare Crea una risorsa.
  2. In Prodotti Marketplace più diffusi selezionare Windows Server 2019 Datacenter.

Nozioni di base

  1. Seleziona la tua sottoscrizione in Sottoscrizione.
  2. In Gruppo di risorse selezionare RG-DNAT-Test.
  3. In Nome macchina virtuale digitare Srv-Workload.
  4. In Area selezionare la stessa località usata in precedenza.
  5. Immettere un nome utente e la password.
  6. Selezionare Avanti: dischi.

Dischi

  1. Selezionare Avanti: Rete.

Networking

  1. In Rete virtuale selezionare VN-Spoke.
  2. In Subnet selezionare SN-Workload.
  3. In IP pubblico selezionare Nessuno.
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.

Gestione

  1. Selezionare Avanti: Monitoraggio.

Monitoraggio

  1. Per Diagnostica di avvio selezionare Disabilita.
  2. Selezionare Rivedi e crea.

Rivedi e crea

Esaminare il riepilogo e quindi selezionare Crea. Per il completamento dell'operazione sono richiesti alcuni minuti.

Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Viene usato in un secondo momento quando si configura il firewall. Selezionare il nome della macchina virtuale. Selezionare Panoramica e in Rete prendere nota dell'indirizzo IP privato.

Nota

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Distribuire il firewall

  1. Dalla home page del portale selezionare Crea una risorsa.

  2. Cercare Firewall e quindi selezionare Firewall.

  3. Seleziona Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Subscription <sottoscrizione in uso>
    Gruppo di risorse Selezionare RG-DNAT-Test
    Nome FW-DNAT-test
    Paese Selezionare la stessa posizione usata in precedenza
    Firewall SKU Standard
    Gestione del firewall Usare le regole del firewall (versione classica) per gestire questo firewall
    Scegliere una rete virtuale Usa esistente: VN-Hub
    Indirizzo IP pubblico Aggiungi nuovo nome: fw-pip.

  5. Accettare le altre impostazioni predefinite e quindi selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.

  8. Prendere nota degli indirizzi IP pubblici e privati del firewall. Verranno usati in un secondo momento quando si crea la route predefinita e la regola NAT.

Creare una route predefinita

Per la subnet SN-Workload configurare la route predefinita in uscita per passare attraverso il firewall.

Importante

Non è necessario configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. Se si crea questa route, si creerà un ambiente di routing asimmetrico che interrompe la logica della sessione con stato e genera pacchetti e connessioni eliminati.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.

  2. Cercare Tabella di route e selezionarla.

  3. Seleziona Crea.

  4. Seleziona la tua sottoscrizione in Sottoscrizione.

  5. In Gruppo di risorse selezionare RG-DNAT-Test.

  6. In Area selezionare la stessa area usata in precedenza.

  7. In Nome digitare RT-FWroute.

  8. Selezionare Rivedi e crea.

  9. Seleziona Crea.

  10. Selezionare Vai alla risorsa.

  11. Selezionare Subnet e quindi Associa.

  12. In Rete virtuale selezionare VN-Spoke.

  13. In Subnet selezionare SN-Workload.

  14. Seleziona OK.

  15. Selezionare Route e quindi Aggiungi.

  16. In Nome route immettere FW-DG.

  17. In Tipo di destinazione selezionare Indirizzi IP.

  18. Per Indirizzi IP di destinazione/intervalli CIDR digitare 0.0.0.0/0.

  19. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  20. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  21. Selezionare Aggiungi.

Configurare una regola NAT

  1. Aprire il gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test .
  2. Nella pagina FW-DNAT-test, in Impostazioni selezionare Regole (versione classica).
  3. Selezionare Aggiungi raccolta regole NAT.
  4. Per Nome digitare RC-DNAT-01.
  5. In Priorità immettere 200.
  6. In Regole per Nome digitare RL-01.
  7. In Protocollo selezionare TCP.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. In Origine digitare *.
  10. In Indirizzi di destinazione digitare l'indirizzo IP pubblico del firewall.
  11. Per Porte di destinazione digitare 3389.
  12. Per Indirizzo convertito digitare l'indirizzo IP privato per la macchina virtuale Srv-Workload.
  13. Per Porta tradotta digitare 3389.
  14. Selezionare Aggiungi.

Per il completamento dell'operazione sono richiesti alcuni minuti.

Testare il firewall

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall. Dovrebbe essere stabilita una connessione alla macchina virtuale Srv-Workload.
  2. Chiudere il desktop remoto.

Pulire le risorse

È possibile mantenere le risorse del firewall per ulteriori test o, se non sono più necessarie, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

È possibile ora monitorare i log di Firewall di Azure.

Esercitazione: Monitorare i log di Firewall di Azure