Руководство по фильтрации входящего интернет-трафика с помощью DNAT политики Брандмауэра Azure и портала Azure

Вы можете настроить преобразование целевых сетевых адресов (DNAT) политики Брандмауэра Azure для преобразования и фильтрации входящего интернет-трафика в подсетях. При настройке DNAT для действия коллекции правил устанавливается значение DNAT. Каждое правило в коллекции правил NAT можно использовать для преобразования общедоступного IP-адреса и порта брандмауэра в частный IP-адрес и порт. Правила DNAT позволяют неявно добавить соответствующее правило сети, чтобы разрешить преобразованный трафик. По соображениям безопасности рекомендуется следующий подход: добавьте определенный источник в Интернете, чтобы разрешить доступ DNAT к сети и избежать использования подстановочных знаков. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики;
  • создание маршрута по умолчанию;
  • Настройка правила DNAT
  • тестирование брандмауэра.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Создание группы ресурсов

  1. Войдите на портал Azure по адресу https://portal.azure.com.
  2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Добавить.
  3. В качестве подписки выберите свою подписку.
  4. В качестве имени группы ресурсов введите RG-DNAT-Test.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Настройка сетевой среды

В рамках этого руководства вы создадите две пиринговые виртуальные сети:

  • VN-Hub — в этой виртуальной сети находится брандмауэр.
  • VN-Spoke — в этой виртуальной сети находится сервер рабочей нагрузки.

Сначала создайте виртуальные сети, а затем установите пиринг между ними.

Создание виртуальной сети концентратора

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сеть выберите Виртуальные сети.

  3. Выберите Добавить.

  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  5. В поле Имя введите VN-Hub.

  6. В поле Регион выберите тот же регион, который вы указали ранее.

  7. По завершении выберите Next: IP-адреса.

  8. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  9. В разделе Имя подсети выберите по умолчанию.

  10. Измените имя подсети и введите AzureFirewallSubnet.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

    Примечание

    Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  11. В поле Диапазон адресов подсети введите 10.0.1.0/26.

  12. Щелкните Сохранить.

  13. Выберите Проверить и создать.

  14. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Все службы.
  2. В разделе Сеть выберите Виртуальные сети.
  3. Выберите Добавить.
  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  5. В поле Имя введите VN-Spoke.
  6. В поле Регион выберите тот же регион, который вы указали ранее.
  7. По завершении выберите Next: IP-адреса.
  8. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
  9. Нажмите Добавить подсеть.
  10. В поле Имя подсети введите SN-Workload.
  11. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  12. Выберите Добавить.
  13. Выберите Проверить и создать.
  14. Нажмите кнопку создания.

Установление пиринга между виртуальными сетями

Теперь установите пиринг между двумя виртуальными сетями.

  1. Выберите виртуальную сеть VN-Hub.
  2. В разделе Параметры щелкните Пиринги.
  3. Выберите Добавить.
  4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
  5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
  6. В качестве виртуальной сети выберите VN-Spoke.
  7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

  1. В меню портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2016 Datacenter.

Основы

  1. В качестве подписки выберите свою подписку.
  2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  3. Для параметра Имя виртуальной машины введите Srv-Workload.
  4. В поле Регион выберите использованное ранее расположение.
  5. Введите имя пользователя и пароль.
  6. По завершении выберите Next: Диски.

диски;

  1. По завершении выберите Next: сеть.

Сеть

  1. В поле Виртуальная сеть выберите VN-Spoke.
  2. В качестве подсети выберите SN-Workload.
  3. В поле Общедоступный IP-адрес выберите значение Нет.
  4. В поле Общедоступные входящие порты выберите значение Нет.
  5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

  1. Для параметра Диагностика загрузки выберите Отключить.
  2. Выберите Review + Create (Просмотреть и создать).

Просмотр и создание

Просмотрите страницу сводки, а затем щелкните Создать. Ее выполнение может занять несколько минут.

После завершения развертывания запишите частный IP-адрес для виртуальной машины. Он будет использоваться при настройке брандмауэра. Щелкните имя виртуальной машины, а затем в разделе Параметры щелкните Сети и найдите частный IP-адрес.

Развертывание брандмауэра и политики

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите элемент Брандмауэр и выберите Брандмауэр.

  3. Нажмите кнопку создания.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка <your subscription>
    Группа ресурсов Выберите RG-DNAT-Test.
    Имя FW-DNAT-test
    Регион Выберите использованное ранее расположение
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Добавить новую:
    fw-dnat-pol
    выбранный вами регион
    Выберите виртуальную сеть Use existing (Использовать имеющуюся): VN-Hub.
    Общедоступный IP-адрес Добавить новый, имя: fw-pip.
  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Они будут использованы позже, при создании маршрута по умолчанию и правила NAT.

создание маршрута по умолчанию;

Для подсети SN-Workload вы настраиваете исходящий маршрут по умолчанию для прохождения через брандмауэр.

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Выберите Добавить.

  4. В качестве подписки выберите свою подписку.

  5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  6. В поле Регион выберите тот же регион, который использовался ранее.

  7. В поле Имя введите RT-FW-route.

  8. Выберите Review + create (Просмотреть и создать).

  9. Нажмите кнопку создания.

  10. Выберите Перейти к ресурсу.

  11. Щелкните Подсети, а затем — Привязать.

  12. В поле Виртуальная сеть выберите VN-Spoke.

  13. В качестве подсети выберите SN-Workload.

  14. Нажмите кнопку ОК.

  15. Щелкните Маршруты, а затем — Добавить.

  16. В поле Имя маршрута введите fw-dg.

  17. В поле Префикс адреса укажите 0.0.0.0/0.

  18. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  19. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  20. Щелкните ОК.

Настройка правила NAT

Это правило позволяет через брандмауэр подключать удаленный рабочий стол к виртуальной машине Srv-Workload.

  1. Откройте группу ресурсов RG-DNAT-Test и выберите политику брандмауэра fw-dnat-pol.
  2. В разделе Параметры щелкните Правила DNAT.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите rdp.
  5. В поле Приоритет введите 200.
  6. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  7. В разделе Правила в поле Имя введите rdp-nat.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите * .
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 3389.
  12. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  13. В поле Адрес назначения введите общедоступный IP-адрес брандмауэра.
  14. В поле Преобразованный адрес введите частный IP-адрес Srv-Workload.
  15. В поле Преобразованный порт введите 3389.
  16. Выберите Добавить.

тестирование брандмауэра.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра. Для этого необходимо установить подключение к виртуальной машине Srv-Workload.
  2. Закройте удаленный рабочий стол.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Дальнейшие действия