Filtrera inkommande Internettrafik med Azure Firewall DNAT med hjälp av Azure Portal

Du kan konfigurera Azure Firewall DNAT (Destination Network Address Translation) att översätta och filtrera inkommande trafik till dina undernät. När du konfigurerar DNAT anges NAT-regelsamlingsåtgärden till Dnat. Varje regel i NAT-regelsamlingen kan sedan användas för att översätta brandväggens offentliga IP-adress och port till en privat IP-adress och port. DNAT-regler lägger implicit till en motsvarande nätverksregel för att tillåta den översatta trafiken. Av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik Internetkälla för att tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken. Mer information om regelbearbetningslogik för Azure Firewall finns i Regelbearbetningslogik för Azure Firewall.

I den här artikeln kan du se hur du:

  • konfigurera en testnätverksmiljö
  • distribuera en brandvägg
  • Skapa en standardväg
  • Konfigurera en DNAT-regel
  • testa brandväggen.

Anteckning

Den här artikeln använder klassiska brandväggsregler för att hantera brandväggen. Den bästa metoden är att använda brandväggsprincipen. Information om hur du slutför den här proceduren med hjälp av brandväggsprincipen finns i Självstudie: Filtrera inkommande Internettrafik med Azure Firewall princip-DNAT med hjälp av Azure Portal

Krav

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en resursgrupp

  1. Logga in på Azure Portal på https://portal.azure.com.
  2. På startsidan Azure Portal väljer du Resursgrupper och sedan Lägg till.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. I fältet Resursgruppsnamn anger du RG-DNAT-Test.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Konfigurera nätverksmiljön

I den här artikeln skapar du två peerkopplade virtuella nätverk:

  • VN-Hub – brandväggen finns i det här virtuella nätverket.
  • VN-Spoke – arbetsbelastningsservern finns i det här virtuella nätverket.

Skapa först de virtuella nätverken och peerkoppla dem sedan.

Skapa det virtuella Hub-nätverket

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Virtuella nätverk.

  3. Välj Lägg till.

  4. För Resursgrupp väljer du RG-DNAT-Test.

  5. Som Namn anger du VN-Hub.

  6. För Region väljer du samma region som du använde tidigare.

  7. Välj Nästa: IP-adresser.

  8. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  9. Under Undernätsnamn väljer du standard.

  10. Redigera undernätets namn och skriv AzureFirewallSubnet.

    Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

    Anteckning

    Storleken på Undernätet AzureFirewallSubnet är /26. Mer information om undernätsstorleken finns i vanliga frågor och svar om Azure Firewall.

  11. För Adressintervall för undernätet skriver du 10.0.1.0/26.

  12. Välj Spara.

  13. Välj Granska + skapa.

  14. Välj Skapa.

Skapa ett virtuellt spoke-nätverk

  1. På startsidan Azure Portal väljer du Alla tjänster.
  2. Under Nätverk väljer du Virtuella nätverk.
  3. Välj Lägg till.
  4. För Resursgrupp väljer du RG-DNAT-Test.
  5. I fältet Namn anger du VN-Spoke.
  6. För Region väljer du samma region som du använde tidigare.
  7. Välj Nästa: IP-adresser.
  8. För IPv4-adressutrymme redigerar du standardvärdet och skriver 192.168.0.0/16.
  9. Välj Lägg till undernät.
  10. För undernätets namn skriver du SN-Workload.
  11. För Adressintervall för undernätet skriver du 192.168.1.0/24.
  12. Välj Lägg till.
  13. Välj Granska + skapa.
  14. Välj Skapa.

Peerkoppla de virtuella nätverken

Peerkoppla nu de två virtuella nätverken.

  1. Välj det virtuella nätverket VN-Hub .
  2. Under Inställningar väljer du Peerings.
  3. Välj Lägg till.
  4. Under Det här virtuella nätverket skriver du Peer-HubSpoke som namn på peeringlänken.
  5. Under Fjärranslutet virtuellt nätverk skriver du Peer-SpokeHub för Peering-länknamn.
  6. Välj VN-Spoke för det virtuella nätverket.
  7. Acceptera alla andra standardvärden och välj sedan Lägg till.

Skapa en virtuell dator

Skapa en virtuell arbetsbelastningsdator och placera den i undernätet SN-Workload.

  1. I menyn i Azure-portalen väljer du Skapa en resurs.
  2. Under Populärt väljer du Windows Server 2016 Datacenter.

Grundläggande inställningar

  1. I fältet Prenumeration väljer du din prenumeration.
  2. För Resursgrupp väljer du RG-DNAT-Test.
  3. För Namn på virtuell dator skriver du Srv-Workload.
  4. För Region väljer du samma plats som du använde tidigare.
  5. Ange ett användarnamn och lösenord.
  6. Välj Nästa: Diskar.

Diskar

  1. Välj Nästa: Nätverk.

Nätverk

  1. För Virtuellt nätverk väljer du VN-Spoke.
  2. I fältet Undernät väljer du SN-Workload.
  3. För Offentlig IP väljer du Ingen.
  4. För Offentliga inkommande portar väljer du Ingen.
  5. Lämna de andra standardinställningarna och välj Nästa: Hantering.

Hantering

  1. För Startdiagnostik väljer du Inaktivera.
  2. Välj Granska + skapa.

Granska + skapa

Granska sammanfattningen och välj sedan Skapa. Det här kan ta några minuter.

När distributionen är klar antecknar du den privata IP-adressen för den virtuella datorn. Den används senare när du konfigurerar brandväggen. Välj namnet på den virtuella datorn och under Inställningar väljer du Nätverk för att hitta den privata IP-adressen.

Anteckning

Azure tillhandahåller en utgående standardåtkomst-IP för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Standardmekanismen för utgående åtkomst-IP tillhandahåller en utgående IP-adress som inte kan konfigureras.

Mer information finns i Utgående standardåtkomst i Azure.

Standard-IP för utgående åtkomst inaktiveras när antingen en offentlig IP-adress tilldelas till den virtuella datorn eller om den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik. Om en GATEWAY-resurs för Azure Virtual Network nat-gateway (network address translation) tilldelas till den virtuella datorns undernät inaktiveras den utgående åtkomst-IP-adressen som är standard.

Virtuella datorer som skapas av VM-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Använda källnätverksadressöversättning (SNAT) för utgående anslutningar.

Distribuera brandväggen

  1. På portalens startsida väljer du Skapa en resurs.

  2. Sök efter Brandvägg och välj sedan Brandvägg.

  3. Välj Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <din prenumeration>
    Resursgrupp Välj RG-DNAT-Test
    Name FW-DNAT-test
    Region Välj samma plats som tidigare
    Brandväggshantering Använda brandväggsregler (klassisk) för att hantera den här brandväggen
    Välj ett virtuellt nätverk Använd befintlig: VN-Hub
    Offentlig IP-adress Lägg till ny, Namn: fw-pip.
  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Distributionen kan ta några minuter.

  7. När distributionen är klar går du till resursgruppen RG-DNAT-Test och väljer brandväggen FW-DNAT-test .

  8. Observera brandväggens privata och offentliga IP-adresser. Du kommer att använda dem senare när du skapar standardvägen och NAT-regeln.

Skapa en standardväg

För undernätet SN-Workload ställer du in att den utgående standardvägen ska gå via brandväggen.

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Routningstabeller.

  3. Välj Lägg till.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du RG-DNAT-Test.

  6. För Region väljer du samma region som du använde tidigare.

  7. I fältet Namn skriver du RT-FWroute.

  8. Välj Granska + skapa.

  9. Välj Skapa.

  10. Välj Gå till resurs.

  11. Välj Undernät och sedan Associera.

  12. För Virtuellt nätverk väljer du VN-Spoke.

  13. I fältet Undernät väljer du SN-Workload.

  14. Välj OK.

  15. Välj Vägar och sedan Lägg till.

  16. I fältet Vägnamn skriver du FW-DG.

  17. I fältet Adressprefix skriver du 0.0.0.0/0.

  18. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  19. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  20. Välj OK.

Konfigurera en NAT-regel

  1. Öppna resursgruppen RG-DNAT-Test och välj brandväggen FW-DNAT-test .
  2. På sidan FW-DNAT-test under Inställningar väljer du Regler (klassisk).
  3. Välj Lägg till NAT-regelsamling.
  4. I fältet Namn skriver du RC-DNAT-01.
  5. I fältet Prioritet skriver du 200.
  6. Under Regler, i fältet Namn, skriver du RL-01.
  7. I fältet Protokoll väljer du TCP.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du *.
  10. För Måladresser skriver du brandväggens offentliga IP-adress.
  11. I fältet Målportar skriver du 3389.
  12. I fältet Översatt adress skriver du den privata IP-adressen för den virtuella datorn Srv-Workload.
  13. I fältet Översatt port skriver du 3389.
  14. Välj Lägg till. Det här kan ta några minuter.

testa brandväggen.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress. Du ska vara ansluten till den virtuella datorn Srv-Workload.
  2. Stäng fjärrskrivbordet.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare testning eller, om de inte längre behövs, ta bort resursgruppen RG-DNAT-Test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Därefter kan du övervaka Azure Firewall-loggarna.

Självstudie: Övervaka Azure Firewall-loggar