Sdílet prostřednictvím

Filtrování příchozího internetového nebo intranetového provozu pomocí DNAT služby Azure Firewall pomocí webu Azure Portal

  • Článek

Azure Firewall Destination Network Address Translation (DNAT) můžete nakonfigurovat tak, aby překládaly příchozí internetový provoz do vašich podsítí nebo intranetového provozu mezi privátními sítěmi (Preview). Při konfiguraci DNAT se akce shromažďování pravidel NAT nastaví na Dnat. Každé pravidlo v kolekci pravidel překladu adres (NAT) se pak dá použít k překladu veřejné nebo privátní IP adresy brány firewall a portu na privátní IP adresu a port. Pravidla DNAT implicitně přidávají odpovídající pravidlo sítě, které povoluje přeložený provoz. Z bezpečnostních důvodů doporučujeme přidat konkrétní zdroj, který umožní přístup DNAT k síti a vyhnout se použití zástupných znaků. Další informace najdete v článku, který pojednává o logice zpracování pravidel služby Azure Firewall.

Poznámka:

Tento článek používá ke správě brány firewall klasická pravidla brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, přečtěte si kurz : Filtrování příchozího internetového provozu pomocí DNAT zásad služby Azure Firewall pomocí webu Azure Portal

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření skupiny zdrojů

  1. Přihlaste se k portálu Azure.
  2. Na domovské stránce webu Azure Portal vyberte Skupiny prostředků a pak vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako skupinu prostředků zadejte RG-DNAT-Test.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nastavení síťového prostředí

V tomto článku vytvoříte dvě partnerské virtuální sítě:

  • VN-Hub – v této virtuální síti bude brána firewall.
  • VN-Spoke – v této virtuální síti bude server úloh.

Nejprve vytvořte virtuální sítě a pak mezi nimi vytvořte partnerský vztah.

Vytvoření virtuální sítě centra

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.

  2. V části Sítě vyberte Virtuální sítě.

  3. Vyberte Vytvořit.

  4. Jako skupinu prostředků vyberte RG-DNAT-Test.

  5. Jako Název zadejte VN-Hub.

  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Vyberte Další.

  8. Na kartě Zabezpečení vyberte Další.

  9. Pro adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.

  10. V části Podsítě vyberte výchozí.

  11. V šabloně podsítě vyberte Azure Firewall.

    Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

    Poznámka:

    Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  12. Zvolte Uložit.

  13. Vyberte Zkontrolovat a vytvořit.

  14. Vyberte Vytvořit.

Vytvoření virtuální sítě paprsku

  1. Na domovské stránce webu Azure Portal vyberte Všechny služby.
  2. V části Sítě vyberte Virtuální sítě.
  3. Vyberte Vytvořit.
  4. Jako skupinu prostředků vyberte RG-DNAT-Test.
  5. Jako Název zadejte VN-Spoke.
  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  7. Vyberte Další.
  8. Na kartě Zabezpečení vyberte Další.
  9. Pro adresní prostor IPv4 upravte výchozí a zadejte 192.168.0.0/16.
  10. V části Podsítě vyberte výchozí.
  11. Jako název podsítě zadejte SN-Workload.
  12. Jako počáteční adresu zadejte 192.168.1.0.
  13. Jako velikost podsítě vyberte /24.
  14. Zvolte Uložit.
  15. Vyberte Zkontrolovat a vytvořit.
  16. Vyberte Vytvořit.

Vytvoření partnerského vztahu virtuálních sítí

Teď mezi dvěma virtuálními sítěmi vytvořte partnerský vztah.

  1. Vyberte virtuální síť VN-Hub.
  2. V části Nastavení vyberte Partnerské vztahy.
  3. Vyberte Přidat.
  4. V části Tato virtuální síť jako název propojení peeringu zadejte Peer-HubSpoke.
  5. V části Vzdálená virtuální síť jako název propojení peeringu zadejte Peer-SpokeHub.
  6. Jako virtuální síť vyberte VN-Spoke.
  7. Přijměte všechny ostatní výchozí hodnoty a pak vyberte Přidat.

Vytvoření virtuálního počítače

Vytvořte virtuální počítač úloh a umístěte ho do podsítě SN-Workload.

  1. Z nabídky portálu Azure vyberte možnost Vytvořit prostředek.
  2. V části Oblíbené produkty Marketplace vyberte Windows Server 2019 Datacenter.

Základy

  1. V části Předplatné vyberte své předplatné.
  2. Jako skupinu prostředků vyberte RG-DNAT-Test.
  3. Jako název virtuálního počítače zadejte Srv-Workload.
  4. V části Oblast vyberte stejné umístění, které jste použili dříve.
  5. Zadejte uživatelské jméno a heslo.
  6. Vyberte Další: Disky.

Disky

  1. Vyberte Další: Sítě.

Sítě

  1. V případě virtuální sítě vyberte VN-Spoke.
  2. Jako Podsíť vyberte SN-Workload.
  3. Jako veřejnou IP adresu vyberte Žádné.
  4. U veřejných příchozích portů vyberte Žádné.
  5. Ponechte ostatní výchozí nastavení a vyberte Další: Správa.

Správa

  1. Vyberte Další: Monitorování.

Monitorování

  1. V případě diagnostiky spouštění vyberte Zakázat.
  2. Vyberte Zkontrolovat a vytvořit.

Zkontrolovat a vytvořit

Zkontrolujte souhrn a pak vyberte Vytvořit. Tato akce trvá několik minut.

Po dokončení nasazení si poznamenejte privátní IP adresu virtuálního počítače. Použije se později při konfiguraci brány firewall. Vyberte název virtuálního počítače. Vyberte Přehled a v části Sítě si poznamenejte privátní IP adresu.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Nasazení brány firewall

  1. Na domovské stránce portálu vyberte Vytvořit prostředek.

  2. Vyhledejte bránu firewall a pak vyberte Bránu firewall.

  3. Vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina prostředků Výběr testu RG-DNAT-Test
    Název FW-DNAT-test
    Oblast Vyberte dříve použité umístění.
    Skladová položka brány firewall Standard
    Správa brány firewall Použití pravidel brány firewall (classic) ke správě této brány firewall
    Volba virtuální sítě Použít existující: VN-Hub
    Veřejná IP adresa Přidat novou, Název: fw-pip.

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Projděte si souhrn a pak vyberte Vytvořit, abyste vytvořili bránu firewall.

    Nasazení trvá několik minut.

  7. Po dokončení nasazení přejděte do skupiny prostředků RG-DNAT-Test a vyberte bránu firewall FW-DNAT-test .

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Později je použijete při vytváření výchozí trasy a pravidla překladu adres (NAT).

Vytvořit výchozí trasu

U podsítě SN-Workload nakonfigurujete výchozí trasu v odchozím směru, která půjde přes bránu firewall.

Důležité

Není nutné konfigurovat explicitní trasu zpět do brány firewall v cílové podsíti. Azure Firewall je stavová služba a zpracovává pakety a relace automaticky. Pokud vytvoříte tuto trasu, vytvoříte asymetrické prostředí směrování, které přeruší logiku stavové relace a způsobí vyřazené pakety a připojení.

  1. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.

  2. Vyhledejte směrovací tabulku a vyberte ji.

  3. Vyberte Vytvořit.

  4. V části Předplatné vyberte své předplatné.

  5. Jako skupinu prostředků vyberte RG-DNAT-Test.

  6. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.

  7. Jako Název zadejte RT-FWroute.

  8. Vyberte Zkontrolovat a vytvořit.

  9. Vyberte Vytvořit.

  10. Vyberte Přejít k prostředku.

  11. Vyberte Podsítě a pak vyberte Přidružit.

  12. V případě virtuální sítě vyberte VN-Spoke.

  13. Jako Podsíť vyberte SN-Workload.

  14. Vyberte OK.

  15. Vyberte Trasy a pak vyberte Přidat.

  16. Jako Název trasy zadejte FW-DG.

  17. Jako typ cíle vyberte IP adresy.

  18. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  19. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  20. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  21. Vyberte Přidat.

Konfigurace pravidla překladu adres (NAT)

  1. Otevřete skupinu prostředků RG-DNAT-Test a vyberte bránu firewall FW-DNAT-test.
  2. Na stránce FW-DNAT-test v části Nastavení vyberte Pravidla (classic).
  3. Vyberte Přidat kolekci pravidel překladu adres (NAT).
  4. Jako Název zadejte RC-DNAT-01.
  5. V části Priorita zadejte 200.
  6. V části Pravidla jako Název zadejte RL-01.
  7. V části Protokol vyberte TCP.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte *.
  10. Jako cílové adresy zadejte veřejnou nebo privátní IP adresu brány firewall.
  11. Do pole Cílové porty zadejte 3389.
  12. Do pole Přeložená adresa zadejte privátní IP adresu virtuálního počítače Srv-Workload.
  13. Do pole Přeložený port zadejte 3389.
  14. Vyberte Přidat.

Tato akce trvá několik minut.

Testovat bránu firewall

  1. Připojte k veřejné IP adrese brány firewall vzdálenou plochu. Měli byste se připojit k virtuálnímu počítači Srv-Workload.
  2. Zavřete vzdálenou plochu.

Vyčištění prostředků

Prostředky brány firewall můžete ponechat pro další testování nebo pokud už je nepotřebujete, odstraňte skupinu prostředků RG-DNAT-Test a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Dál můžete pokračovat monitorováním protokolů brány Azure Firewall.

Kurz: Monitorování protokolů brány Azure Firewall