Руководство по фильтрации входящего интернет-трафика с помощью DNAT политики Брандмауэра Azure и портала Azure

  • Статья

Вы можете настроить преобразование целевых сетевых адресов (DNAT) политики Брандмауэра Azure для преобразования и фильтрации входящего интернет-трафика в подсетях. При настройке DNAT для действия коллекции правил устанавливается значение DNAT. Каждое правило в коллекции правил NAT можно использовать для преобразования общедоступного IP-адреса и порта брандмауэра в частный IP-адрес и порт. Правила DNAT позволяют неявно добавить соответствующее правило сети, чтобы разрешить преобразованный трафик. По соображениям безопасности рекомендуется следующий подход: добавьте определенный источник в Интернете, чтобы разрешить доступ DNAT к сети и избежать использования подстановочных знаков. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики;
  • создание маршрута по умолчанию;
  • Настройка правила DNAT
  • тестирование брандмауэра.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Создание группы ресурсов

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Добавить.
  3. В качестве подписки выберите свою подписку.
  4. В качестве имени группы ресурсов введите RG-DNAT-Test.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Настройка сетевой среды

В рамках этого руководства вы создадите две пиринговые виртуальные сети:

  • VN-Hub — в этой виртуальной сети находится брандмауэр.
  • VN-Spoke — в этой виртуальной сети находится сервер рабочей нагрузки.

Сначала создайте виртуальные сети, а затем установите пиринг между ними.

Создание виртуальной сети концентратора

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сеть выберите Виртуальные сети.

  3. Выберите Добавить.

  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  5. В поле Имя введите VN-Hub.

  6. В поле Регион выберите тот же регион, который вы указали ранее.

  7. По завершении выберите Next: IP-адреса.

  8. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  9. В разделе Имя подсети выберите по умолчанию.

  10. Измените имя подсети и введите AzureFirewallSubnet.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

    Примечание

    Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  11. В поле Диапазон адресов подсети введите 10.0.1.0/26.

  12. Щелкните Сохранить.

  13. Выберите Проверить и создать.

  14. Нажмите кнопку создания.

Создание периферийной виртуальной сети

  1. На домашней странице портала Azure выберите Все службы.
  2. В разделе Сеть выберите Виртуальные сети.
  3. Выберите Добавить.
  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  5. В поле Имя введите VN-Spoke.
  6. В поле Регион выберите тот же регион, который вы указали ранее.
  7. По завершении выберите Next: IP-адреса.
  8. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
  9. Нажмите Добавить подсеть.
  10. В поле Имя подсети введите SN-Workload.
  11. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  12. Выберите Добавить.
  13. Выберите Review + create (Просмотреть и создать).
  14. Нажмите кнопку создания.

Установление пиринга между виртуальными сетями

Теперь установите пиринг между двумя виртуальными сетями.

  1. Выберите виртуальную сеть VN-Hub.
  2. В разделе Параметры щелкните Пиринги.
  3. Выберите Добавить.
  4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
  5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
  6. В качестве виртуальной сети выберите VN-Spoke.
  7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

  1. В меню портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2016 Datacenter.

Основы

  1. В качестве подписки выберите свою подписку.
  2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  3. Для параметра Имя виртуальной машины введите Srv-Workload.
  4. В поле Регион выберите использованное ранее расположение.
  5. Введите имя пользователя и пароль.
  6. По завершении выберите Next: Диски.

диски;

  1. По завершении выберите Next: сеть.

Сеть

  1. В поле Виртуальная сеть выберите VN-Spoke.
  2. В качестве подсети выберите SN-Workload.
  3. В поле Общедоступный IP-адрес выберите значение Нет.
  4. В поле Общедоступные входящие порты выберите значение Нет.
  5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

  1. Для параметра Диагностика загрузки выберите Отключить.
  2. Выберите Review + Create (Просмотреть и создать).

Просмотр и создание

Просмотрите страницу сводки, а затем щелкните Создать. Ее выполнение может занять несколько минут.

После завершения развертывания запишите частный IP-адрес для виртуальной машины. Он будет использоваться при настройке брандмауэра. Щелкните имя виртуальной машины, а затем в разделе Параметры щелкните Сети и найдите частный IP-адрес.

Развертывание брандмауэра и политики

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите элемент Брандмауэр и выберите Брандмауэр.

  3. Нажмите кнопку создания.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка <ваша подписка>
    Группа ресурсов Выберите RG-DNAT-Test.
    Имя FW-DNAT-test
    Регион Выберите использованное ранее расположение
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Добавить новую:
    fw-dnat-pol
    выбранный вами регион
    Выберите виртуальную сеть Use existing (Использовать имеющуюся): VN-Hub.
    Общедоступный IP-адрес Добавить новый, имя: fw-pip.

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Они будут использованы позже, при создании маршрута по умолчанию и правила NAT.

создание маршрута по умолчанию;

Для подсети SN-Workload вы настраиваете исходящий маршрут по умолчанию для прохождения через брандмауэр.

Важно!

Вам не нужно настраивать явный маршрут обратно к брандмауэру в целевой подсети. Брандмауэр Azure является службой с отслеживанием состояния и автоматически обрабатывает пакеты и сеансы. При создании этого маршрута вы создадите асимметричную среду маршрутизации, которая прерывает логику сеанса с отслеживанием состояния и приводит к удалению пакетов и подключений.

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Выберите Добавить.

  4. В качестве подписки выберите свою подписку.

  5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  6. В поле Регион выберите тот же регион, который использовался ранее.

  7. В поле Имя введите RT-FW-route.

  8. Выберите Review + create (Просмотреть и создать).

  9. Нажмите кнопку создания.

  10. Выберите Перейти к ресурсу.

  11. Щелкните Подсети, а затем — Привязать.

  12. В поле Виртуальная сеть выберите VN-Spoke.

  13. В качестве подсети выберите SN-Workload.

  14. Нажмите кнопку ОК.

  15. Щелкните Маршруты, а затем — Добавить.

  16. В поле Имя маршрута введите fw-dg.

  17. В поле Префикс адреса укажите 0.0.0.0/0.

  18. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  19. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  20. Щелкните ОК.

Настройка правила NAT

Это правило позволяет через брандмауэр подключать удаленный рабочий стол к виртуальной машине Srv-Workload.

  1. Откройте группу ресурсов RG-DNAT-Test и выберите политику брандмауэра fw-dnat-pol.
  2. В разделе Параметры щелкните Правила DNAT.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите rdp.
  5. В поле Приоритет введите 200.
  6. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  7. В разделе Правила в поле Имя введите rdp-nat.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите * .
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 3389.
  12. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  13. В поле Адрес назначения введите общедоступный IP-адрес брандмауэра.
  14. В поле Преобразованный адрес введите частный IP-адрес Srv-Workload.
  15. В поле Преобразованный порт введите 3389.
  16. Выберите Добавить.

тестирование брандмауэра.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра. Для этого необходимо установить подключение к виртуальной машине Srv-Workload.
  2. Закройте удаленный рабочий стол.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Дальнейшие действия

Развертывание и настройка Брандмауэра Azure уровня "Премиум"