Esercitazione: Filtrare il traffico Internet in ingresso con DNAT dei criteri di Firewall di Azure usando il portale di Azure

  • Articolo

È possibile configurare Firewall di Azure criterio Destination Network Address Translation (DNAT) per convertire e filtrare il traffico Internet in ingresso nelle subnet. Quando si configura DNAT, l'azione di raccolta regole viene impostata su DNAT. Ogni regola nella raccolta regole NAT può quindi essere usata per convertire la porta e l'indirizzo IP pubblici del firewall in porta e indirizzo IP privati. Le regole DNAT aggiungono in modo implicito una regola di rete corrispondente per consentire il traffico convertito. Per motivi di sicurezza, l'approccio consigliato consiste nell'aggiungere un'origine Internet specifica per consentire l'accesso DNAT alla rete evitando di usare caratteri jolly. Per altre informazioni sulla logica di elaborazione delle regole di Firewall di Azure, vedere Azure Firewall rule processing logic (Logica di elaborazione delle regole di Firewall di Azure).

In questa esercitazione verranno illustrate le procedure per:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall e un criterio
  • Creare una route predefinita
  • Configurare una regola DNAT
  • Testare il firewall

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

  1. Accedere al portale di Azure.
  2. Nella home page del portale di Azure selezionare Gruppi di risorse e quindi selezionare Aggiungi.
  3. In Sottoscrizione selezionare la propria sottoscrizione.
  4. In Nome del gruppo di risorse digitare RG-DNAT-Test.
  5. In Area selezionare un'area. Tutte le altre risorse create devono trovarsi nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Selezionare Create (Crea).

Configurare l'ambiente di rete

Per questa esercitazione vengono create due reti virtuali con peering:

  • VN-Hub: in questa rete virtuale si trova il firewall.
  • VN-Spoke: in questa rete virtuale si trova il server del carico di lavoro.

Creare innanzitutto le reti virtuali e quindi eseguire il peering.

Creare la rete virtuale dell'hub

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Reti virtuali.

  3. Selezionare Aggiungi.

  4. Per Gruppo di risorse selezionare RG-DNAT-Test.

  5. In Nome digitare VN-Hub.

  6. In Area selezionare la stessa area usata in precedenza.

  7. Selezionare Avanti: Indirizzi IP.

  8. Per Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.

  9. In Nome subnet selezionare predefinito.

  10. Modificare il nome della subnet e digitare AzureFirewallSubnet.

    Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

    Nota

    La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  11. Per Intervallo di indirizzi subnet digitare 10.0.1.0/26.

  12. Selezionare Salva.

  13. Selezionare Rivedi e crea.

  14. Selezionare Crea.

Creare un rete virtuale spoke

  1. Nella home page del portale di Azure selezionare Tutti i servizi.
  2. In Rete selezionare Reti virtuali.
  3. Selezionare Aggiungi.
  4. Per Gruppo di risorse selezionare RG-DNAT-Test.
  5. In Nome digitare VN-Spoke.
  6. In Area selezionare la stessa area usata in precedenza.
  7. Selezionare Avanti: Indirizzi IP.
  8. Per Spazio indirizzi IPv4 modificare il valore predefinito e digitare 192.168.0.0/16.
  9. Selezionare Aggiungi subnet.
  10. Per nome subnet digitare SN-Workload.
  11. Per Intervallo di indirizzi subnet, digitare 192.168.1.0/24.
  12. Selezionare Aggiungi.
  13. Selezionare Rivedi e crea.
  14. Selezionare Crea.

Eseguire il peering delle reti virtuali

Ora è il momento di eseguire il peering delle due reti virtuali.

  1. Selezionare la rete virtuale VN-Hub.
  2. In Impostazioni selezionare Peer.
  3. Selezionare Aggiungi.
  4. In Questa rete virtuale digitare Peer-HubSpoke per il nome del collegamento peering.
  5. In Rete virtuale remota digitare Peer-SpokeHub per il nome del collegamento peering.
  6. Selezionare VN-Spoke per la rete virtuale.
  7. Accettare tutte le altre impostazioni predefinite e quindi selezionare Aggiungi.

Creare una macchina virtuale

Creare una macchina virtuale del carico di lavoro e inserirla nella subnet SN-Workload.

  1. Nel menu del portale di Azure selezionare Crea una risorsa.
  2. In Più comuni selezionare Windows Server 2016 Datacenter.

Nozioni di base

  1. In Sottoscrizione selezionare la propria sottoscrizione.
  2. Per Gruppo di risorse selezionare RG-DNAT-Test.
  3. In Nome macchina virtuale digitare Srv-Workload.
  4. In Area selezionare la stessa località usata in precedenza.
  5. Immettere un nome utente e la password.
  6. Selezionare Avanti: Dischi.

Dischi

  1. Selezionare Avanti: Rete.

Rete

  1. In Rete virtuale selezionare VN-Spoke.
  2. In Subnet selezionare SN-Workload.
  3. In IP pubblico selezionare Nessuno.
  4. In Porte in ingresso pubbliche selezionare Nessuna.
  5. Lasciare le altre impostazioni predefinite e selezionare Avanti: Gestione.

Gestione

  1. Per Diagnostica di avvio selezionare Disabilita.
  2. Selezionare Rivedi e crea.

Rivedi e crea

Esaminare il riepilogo e quindi selezionare Crea. Questa operazione richiederà qualche minuto.

Al termine della distribuzione, prendere nota dell'indirizzo IP privato della macchina virtuale. Sarà necessario più avanti per la configurazione del firewall. Selezionare il nome della macchina virtuale e in Impostazioni selezionare Rete per trovare l'indirizzo IP privato.

Distribuire il firewall e i criteri

  1. Dalla home page del portale selezionare Crea una risorsa.

  2. Cercare Firewall e quindi selezionare Firewall.

  3. Selezionare Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Subscription <sottoscrizione in uso>
    Resource group Selezionare RG-DNAT-Test
    Nome FW-DNAT-test
    Region Selezionare la stessa località usata in precedenza
    Gestione del firewall Usare criteri firewall per gestire il firewall
    Criterio firewall Aggiungi nuovo:
    fw-dnat-pol
    area selezionata
    Scegliere una rete virtuale Usa esistente: VN-Hub
    Indirizzo IP pubblico Aggiungi nuovo, Nome: fw-pip.

  5. Accettare le altre impostazioni predefinite e quindi selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiede alcuni minuti.

  7. Al termine della distribuzione, passare al gruppo di risorse RG-DNAT-Test e selezionare il firewall FW-DNAT-test.

  8. Prendere nota degli indirizzi IP privati e pubblici del firewall. Verranno usati in un secondo momento quando si crea la route predefinita e la regola NAT.

Creare una route predefinita

Per la subnet SN-Workload configurare la route predefinita in uscita per passare attraverso il firewall.

Importante

Non è necessario configurare una route esplicita al firewall nella subnet di destinazione. Firewall di Azure è un servizio con stato e gestisce automaticamente i pacchetti e le sessioni. Se si crea questa route, si creerà un ambiente di routing asimmetrico che interrompe la logica di sessione con stato e genera pacchetti e connessioni eliminati.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. In Rete selezionare Tabelle route.

  3. Selezionare Aggiungi.

  4. In Sottoscrizione selezionare la propria sottoscrizione.

  5. Per Gruppo di risorse selezionare RG-DNAT-Test.

  6. In Area selezionare la stessa area usata in precedenza.

  7. Per Nome digitare RT-FW-route.

  8. Selezionare Rivedi e crea.

  9. Selezionare Crea.

  10. Selezionare Vai alla risorsa.

  11. Selezionare Subnet e quindi Associa.

  12. In Rete virtuale selezionare VN-Spoke.

  13. In Subnet selezionare SN-Workload.

  14. Selezionare OK.

  15. Selezionare Route e quindi Aggiungi.

  16. In Nome route digitare fw-dg.

  17. In Prefisso indirizzo immettere 0.0.0.0/0.

  18. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  19. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  20. Selezionare OK.

Configurare una regola NAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Workload tramite il firewall.

  1. Aprire il gruppo di risorse RG-DNAT-Test e selezionare i criteri firewall fw-dnat-pol .
  2. In Impostazioni selezionare Regole DNAT.
  3. Selezionare Aggiungi una raccolta regole.
  4. Per Nome digitare rdp.
  5. In Priorità immettere 200.
  6. Per gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  7. In Regole, per Nome, digitare rdp-nat.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. Per Origine, digitare * .
  10. In Protocollo selezionare TCP.
  11. In Porte di destinazione digitare 3389.
  12. In Tipo di destinazione selezionare Indirizzo IP.
  13. Per Destinazione digitare l'indirizzo IP pubblico del firewall.
  14. Per Indirizzo tradotto digitare l'indirizzo IP privato Srv-Workload .
  15. Per Porta tradotta digitare 3389.
  16. Selezionare Aggiungi.

Testare il firewall

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall. Dovrebbe essere stabilita una connessione alla macchina virtuale Srv-Workload.
  2. Chiudere il desktop remoto.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse RG-DNAT-Test per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium