Фильтрация входящего Интернет-трафика с помощью DNAT службы "Брандмауэр Azure" и портала Azure

  • Статья

Вы можете настроить преобразование целевых сетевых адресов (DNAT) службы "Брандмауэр Azure" для преобразования и фильтрации входящего Интернет-трафика в подсетях. При настройке DNAT для действия коллекции правил NAT устанавливается значение Dnat. Каждое правило в коллекции правил NAT можно использовать для преобразования общедоступного IP-адреса и порта брандмауэра в частный IP-адрес и порт. Правила DNAT позволяют неявно добавить соответствующее правило сети, чтобы разрешить преобразованный трафик. По соображениям безопасности рекомендуется следующий подход: добавьте определенный источник в Интернете, чтобы разрешить доступ DNAT к сети и избежать использования подстановочных знаков. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

Примечание.

В этой статье для управления брандмауэром используются классические правила брандмауэра. Рекомендуется использовать политику брандмауэра. Сведения о том, как выполнить эту процедуру с использованием политики брандмауэра, см. в учебнике по фильтрации входящего интернет-трафика с помощью DNAT политики Брандмауэра Azure и портала Azure.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание или изменение группы ресурсов

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Создать.
  3. В качестве подписки выберите свою подписку.
  4. В разделе Группа ресурсов введите RG-DNAT-Test.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Настройка сетевой среды

В рамках этой статьи вы создадите две пиринговые виртуальные сети:

  • VN-Hub — в этой виртуальной сети находится брандмауэр.
  • VN-Spoke — в этой виртуальной сети находится сервер рабочей нагрузки.

Сначала создайте виртуальные сети, а затем установите пиринг между ними.

Создание виртуальной сети концентратора

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сеть выберите Виртуальные сети.

  3. Нажмите кнопку создания.

  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  5. В поле Имя введите VN-Hub.

  6. В поле Регион выберите тот же регион, который вы указали ранее.

  7. Выберите Далее.

  8. На вкладке "Безопасность " нажмите кнопку "Далее".

  9. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  10. В подсетях выберите значение по умолчанию.

  11. Для шаблона подсети выберите Брандмауэр Azure.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

    Примечание.

    Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  12. Выберите Сохранить.

  13. Выберите Review + create (Просмотреть и создать).

  14. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Все службы.
  2. В разделе Сеть выберите Виртуальные сети.
  3. Нажмите кнопку создания.
  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  5. В поле Имя введите VN-Spoke.
  6. В поле Регион выберите тот же регион, который вы указали ранее.
  7. Выберите Далее.
  8. На вкладке "Безопасность " нажмите кнопку "Далее".
  9. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
  10. В подсетях выберите значение по умолчанию.
  11. Для типа ИМЕНИ подсети SN-Workload.
  12. Для начального адреса введите 192.168.1.0.
  13. Для размера подсети выберите /24.
  14. Выберите Сохранить.
  15. Выберите Review + create (Просмотреть и создать).
  16. Нажмите кнопку создания.

Установление пиринга между виртуальными сетями

Теперь установите пиринг между двумя виртуальными сетями.

  1. Выберите виртуальную сеть VN-Hub.
  2. В разделе Параметры щелкните Пиринги.
  3. Выберите Добавить.
  4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
  5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
  6. В качестве виртуальной сети выберите VN-Spoke.
  7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

  1. В меню портала Azure выберите Создать ресурс.
  2. В разделе Популярные продукты Marketplace выберите Windows Server 2019 Datacenter.

Основы

  1. В качестве подписки выберите свою подписку.
  2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  3. Для параметра Имя виртуальной машины введите Srv-Workload.
  4. В поле Регион выберите использованное ранее расположение.
  5. Введите имя пользователя и пароль.
  6. Нажмите кнопку "Далее" — диски.

диски;

  1. Выберите Далее: сеть.

Сеть

  1. В поле Виртуальная сеть выберите VN-Spoke.
  2. В качестве подсети выберите SN-Workload.
  3. В поле Общедоступный IP-адрес выберите значение Нет.
  4. В поле Общедоступные входящие порты выберите значение Нет.
  5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

  1. Нажмите кнопку "Далее": мониторинг.

Мониторинг

  1. Для параметра Диагностика загрузки выберите Отключить.
  2. Выберите Review + Create (Просмотреть и создать).

Просмотр и создание

Просмотрите страницу сводки, а затем щелкните Создать. Операция займет всего несколько минут.

После завершения развертывания запишите частный IP-адрес для виртуальной машины. Он используется позже при настройке брандмауэра. Выберите имя виртуальной машины. Выберите "Обзор" и в разделе "Сеть " запишите частный IP-адрес.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Развертывание брандмауэра

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите элемент Брандмауэр и выберите Брандмауэр.

  3. Нажмите кнопку создания.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Отток подписок <ваша подписка>
    Группа ресурсов Выберите RG-DNAT-Test.
    Имя. FW-DNAT-test
    Область/регион Выбрать использованное ранее расположение
    Номер SKU брандмауэра Стандартные
    Управление брандмауэром Использовать правила брандмауэра (классические) для управления этим брандмауэром
    Выберите виртуальную сеть Use existing (Использовать имеющуюся): VN-Hub.
    Общедоступный IP-адрес Добавить новый, имя: fw-pip.

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Они будут использованы позже, при создании маршрута по умолчанию и правила NAT.

Создание маршрута по умолчанию

Для подсети SN-Workload вы настраиваете исходящий маршрут по умолчанию для прохождения через брандмауэр.

Внимание

Не нужно настраивать явный маршрут обратно в брандмауэр в конечной подсети. Брандмауэр Azure — это служба с отслеживанием состояния и автоматически обрабатывает пакеты и сеансы. При создании этого маршрута вы создадите асимметричную среду маршрутизации, которая прерывает логику сеанса с отслеживанием состояния и приводит к удалению пакетов и подключений.

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите таблицу Route и выберите ее.

  3. Нажмите кнопку создания.

  4. В качестве подписки выберите свою подписку.

  5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  6. В поле Регион выберите тот же регион, который использовался ранее.

  7. В поле Имя введите RT-FWroute.

  8. Выберите Review + create (Просмотреть и создать).

  9. Нажмите кнопку создания.

  10. Выберите Перейти к ресурсу.

  11. Щелкните Подсети, а затем — Привязать.

  12. В поле Виртуальная сеть выберите VN-Spoke.

  13. В качестве подсети выберите SN-Workload.

  14. Нажмите ОК.

  15. Щелкните Маршруты, а затем — Добавить.

  16. В поле Имя маршрута введите FW-DG.

  17. Для типа назначения выберите IP-адреса.

  18. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.

  19. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  20. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  21. Выберите Добавить.

Настройка правила NAT

  1. Откройте группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.
  2. На странице FW-DNAT-test в разделе Параметры щелкните Правила (классические).
  3. Щелкните Добавление коллекции правил преобразования сетевых адресов (NAT).
  4. В поле Имя введите RC-DNAT-01.
  5. В поле Приоритет введите 200.
  6. В разделе Правила в качестве имени введите RL-01.
  7. В поле Протокол выберите TCP.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите *.
  10. В поле Адреса назначения введите общедоступный IP-адрес брандмауэра.
  11. В поле Порты назначения введите 3389.
  12. В поле Преобразованный адрес введите частный IP-адрес для виртуальной машины Srv-Workload.
  13. В поле Преобразованный порт введите 3389.
  14. Выберите Добавить.

Операция займет всего несколько минут.

тестирование брандмауэра.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра. Для этого необходимо установить подключение к виртуальной машине Srv-Workload.
  2. Закройте удаленный рабочий стол.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, которая содержит все связанные с брандмауэром ресурсы.

Следующие шаги

Теперь вы можете отследить журналы Брандмауэра Azure.

Руководство по мониторингу журналов Брандмауэра Azure