Inkomende internetverkeer filteren met Azure Firewall DNAT met behulp van de Azure Portal

  • Artikel
  • 6 minuten om te lezen

U kunt Azure Firewall Destination Network Address Translation (DNAT) configureren voor het omzetten en filteren van inkomend verkeer van internet naar uw subnetten. Wanneer u DNAT configureert, wordt de actie Verzameling van NAT-regels ingesteld op Dnat. Elke regel in de verzameling NAT-regels kan vervolgens worden gebruikt om het openbare IP-adres en de poort van uw firewall om te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt er impliciet een overeenkomende netwerkregel toegevoegd om het omgezette verkeer toe te staan. Uit veiligheidsoverwegingen wordt aanbevolen een specifieke internetbron toe te voegen om DNAT-toegang tot het netwerk toe te staan en het gebruik van jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

In dit artikel leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall implementeren
  • Een standaardroute maken
  • Een DNAT-regel configureren
  • De firewall testen

Notitie

In dit artikel worden klassieke firewallregels gebruikt voor het beheren van de firewall. De voorkeursmethode is om firewallbeleid te gebruiken. Als u deze procedure wilt uitvoeren met behulp van firewallbeleid, zie Zelfstudie: Inkomende internetverkeer filteren met Azure Firewall dnat-beleid met behulp van de Azure Portal

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een resourcegroep maken

  1. Meld u aan bij de Azure Portal op https://portal.azure.com.
  2. Selecteer op de startpagina van Azure Portal Resourcegroepen en vervolgens Toevoegen.
  3. Bij Abonnement selecteert u uw abonnement.
  4. Bij Resourcegroepnaam typt u RG-DNAT-Test.
  5. Selecteer bij Regio een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio hebben.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De netwerkomgeving instellen

Voor dit artikel maakt u twee peered VNets:

  • VN-Hub: de firewall bevindt zich in dit VNet.
  • VN-Spoke: de workloadserver bevindt zich in dit VNet.

Maak eerst de VNets en peer ze.

Een hub-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Onder Netwerken selecteert u Virtuele netwerken.

  3. Selecteer Toevoegen.

  4. Selecteer bij Resourcegroep de optie RG-DNAT-Test.

  5. Bij Naam typt u VN-Hub.

  6. Selecteer bij Regio dezelfde regio die u eerder hebt gebruikt.

  7. Selecteer Volgende: IP-adressen.

  8. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  9. Selecteer standaard onder Subnetnaam.

  10. Bewerk de subnetnaam en typ AzureFirewallSubnet.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

    Notitie

    De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  11. Bij Subnetadresbereik typt u 10.0.1.0/26.

  12. Selecteer Opslaan.

  13. Selecteer Controleren + maken.

  14. Selecteer Maken.

Een spoke-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Toevoegen.
  4. Selecteer bij Resourcegroep de optie RG-DNAT-Test.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer bij Regio dezelfde regio die u eerder hebt gebruikt.
  7. Selecteer Volgende: IP-adressen.
  8. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  9. Selecteer Subnet toevoegen.
  10. Voor de subnetnaam typt u SN-Workload.
  11. Typ 192.168.1.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Selecteer Controleren en maken.
  14. Selecteer Maken.

De VNets instellen als peers

Nu gaat u de twee VNets als peer van elkaar instellen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Onder Dit virtuele netwerk typt u Peer-HubSpoke voor de naam van de peeringkoppeling.
  5. Onder Extern virtueel netwerk typt u Peer-SpokeHub voor peeringkoppelingsnaam.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer vervolgens Toevoegen.

Een virtuele machine maken

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van de Azure-portal.
  2. Selecteer Windows Server 2016 Datacenter onder Populair.

Basisinstellingen

  1. Bij Abonnement selecteert u uw abonnement.
  2. Bij Resourcegroep selecteert u RG-DNAT-Test.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Typ een gebruikersnaam en wachtwoord.
  6. Selecteer Volgende: Schijven.

Disks

  1. Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  1. Voor Diagnostische gegevens over opstarten selecteert u Uitschakelen.
  2. Selecteer Controleren + maken.

Beoordelen en maken

Controleer de samenvatting en selecteer Maken. Het duurt enkele minuten voordat dit is voltooid.

Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Noteer dit voor later gebruik, wanneer u de firewall gaat configureren. Selecteer de naam van de virtuele machine en selecteer onder Instellingen de optie Netwerken om het privé-IP-adres te vinden.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor Azure Virtual Machines dat niet is toegewezen aan een openbaar IP-adres of zich in de back-endpool van een interne Basic-Azure Load Balancer. Het standaardmechanisme voor uitgaand toegangs-IP biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Zie Standaard uitgaande toegang in Azure voor meer informatie over standaard uitgaande toegang

Het standaard-IP-adres voor uitgaande toegang wordt uitgeschakeld wanneer een openbaar IP-adres wordt toegewezen aan de virtuele machine of als de virtuele machine met of zonder uitgaande regels in de back-Standard Load Balancer van een Standard Load Balancer wordt geplaatst. Als een Azure Virtual Network NAT-gatewayresource wordt toegewezen aan het subnet van de virtuele machine, wordt het standaard IP-adres voor uitgaande toegang uitgeschakeld.

Virtuele machines die zijn gemaakt door virtuele-machineschaalsets in de modus Flexibele orchestration hebben geen standaard uitgaande toegang.

Zie Using Source Network Address Translation (SNAT) for outbound connections (Bronnetwerkadresvertaling (SNAT) gebruiken voor uitgaande verbindingen) voormeer informatie over uitgaande verbindingen in Azure.

De firewall implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar Firewall en selecteer vervolgens Firewall.

  3. Selecteer Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Waarde
    Abonnement <your subscription>
    Resourcegroep Selecteer RG-DNAT-Test
    Name FW-DNAT-test
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewallbeheer Firewallregels (klassiek) gebruiken om deze firewall te beheren
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Voeg nieuwe, Naam: fw-pip toe.

  5. Accepteer de overige standaardwaarden en selecteer beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  7. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.

  8. Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.

Een standaardroute maken

Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Toevoegen.

  4. Bij Abonnement selecteert u uw abonnement.

  5. Bij Resourcegroep selecteert u RG-DNAT-Test.

  6. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FWroute.

  8. Selecteer Controleren + maken.

  9. Selecteer Maken.

  10. Selecteer Ga naar resource.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Selecteer OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u FW-DG.

  17. Bij Adresvoorvoegsel typt u 0.0.0.0/0.

  18. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  19. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  20. Selecteer OK.

Een NAT-regel configureren

  1. Open de resourcegroep RG-DNAT-Test en selecteer de firewall FW-DNAT-test.
  2. Selecteer op de pagina FW-DNAT-test onder Instellingen de optie Regels (klassiek).
  3. Selecteer Verzameling van NAT-regels toevoegen.
  4. Bij Naam typt u RC-DNAT-01.
  5. Bij Prioriteit typt u 200.
  6. Onder Regels typt u bij Naam de naam RL-01.
  7. Bij Protocol selecteert u TCP.
  8. Selecteer IP-adres bij Brontype.
  9. Bij Bron typt u *.
  10. Bij Doeladressen typt u het openbare IP-adres van de firewall.
  11. Bij Doelpoorten typt u 3389.
  12. Bij Omgezet adres typt u het privé-IP-adres voor de virtuele machine Srv-Workload.
  13. Bij Vertaalde poort typt u 3389.
  14. Selecteer Toevoegen. Het duurt enkele minuten voordat dit is voltooid.

De firewall testen

  1. Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall. U wordt als het goed is verbonden met de virtuele machine Srv-Workload.
  2. Sluit de sessie van Extern bureaublad.

Resources opschonen

U kunt uw firewallresources bewaren voor verdere tests, of als u deze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen

Als volgende kunt u de Azure Firewall-logboeken bewaken.

Zelfstudie: Azure Firewall-logboeken bewaken