Binnenkomend internet- of intranetverkeer filteren met Azure Firewall DNAT met behulp van Azure Portal
U kunt Azure Firewall Destination Network Address Translation (DNAT) configureren om inkomend internetverkeer te vertalen en te filteren op uw subnetten of intranetverkeer tussen privénetwerken (preview). Wanneer u DNAT configureert, wordt de actie Verzameling van NAT-regels ingesteld op Dnat. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om uw firewall openbaar of privé-IP-adres en -poort te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt er impliciet een overeenkomende netwerkregel toegevoegd om het omgezette verkeer toe te staan. Om veiligheidsredenen is het raadzaam om een specifieke bron toe te voegen om DNAT-toegang tot het netwerk toe te staan en jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.
Notitie
In dit artikel worden klassieke firewallregels gebruikt om de firewall te beheren. De voorkeursmethode is het gebruik van firewallbeleid. Zie Zelfstudie: Binnenkomend internetverkeer filteren met Azure Firewall Policy DNAT met behulp van Azure Portal om deze procedure te voltooien met behulp van firewallbeleid
Vereisten
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Een brongroep maken
- Meld u aan bij het Azure-portaal.
- Selecteer resourcegroepen op de startpagina van Azure Portal en selecteer vervolgens Maken.
- Selecteer uw abonnement bij Abonnement.
- Voor resourcegroep typt u RG-DNAT-Test.
- Selecteer een regio voor Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
- Selecteer Controleren + maken.
- Selecteer Maken.
De netwerkomgeving instellen
Voor dit artikel maakt u een twee gekoppelde VNets:
- VN-Hub: de firewall bevindt zich in dit VNet.
- VN-Spoke: de workloadserver bevindt zich in dit VNet.
Maak eerst de VNets en peer ze.
Een hub-VNet maken
Selecteer op de startpagina van Azure Portal de optie Alle services.
Onder Netwerken selecteert u Virtuele netwerken.
Selecteer Maken.
Selecteer RG-DNAT-Test voor resourcegroep.
Bij Naam typt u VN-Hub.
Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
Selecteer Volgende.
Selecteer Volgende op het tabblad Beveiliging.
Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.
Selecteer onder Subnetten de standaardwaarde.
Selecteer Azure Firewall voor een subnetsjabloon.
De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.
Notitie
De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.
Selecteer Opslaan.
Selecteer Controleren + maken.
Selecteer Maken.
Een spoke-VNet maken
- Selecteer op de startpagina van Azure Portal de optie Alle services.
- Onder Netwerken selecteert u Virtuele netwerken.
- Selecteer Maken.
- Selecteer RG-DNAT-Test voor resourcegroep.
- Bij Naam typt u VN-Spoke.
- Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
- Selecteer Volgende.
- Selecteer Volgende op het tabblad Beveiliging.
- Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
- Selecteer onder Subnetten de standaardwaarde.
- Voor het subnetnaamtype SN-Workload.
- Voor het beginadres typt u 192.168.1.0.
- Selecteer /24 voor subnetgrootte.
- Selecteer Opslaan.
- Selecteer Controleren + maken.
- Selecteer Maken.
De VNets instellen als peers
Nu gaat u de twee VNets als peer van elkaar instellen.
- Selecteer het virtuele netwerk VN-Hub.
- Selecteer onder Instellingen de optie Peerings.
- Selecteer Toevoegen.
- Typ onder Dit virtuele netwerk voor de naam van de peeringkoppeling peer-hubspoke.
- Typ peer-spokeHub onder Extern virtueel netwerk voor de naam van de peeringkoppeling.
- Selecteer VN-Spoke voor het virtuele netwerk.
- Accepteer alle andere standaardwaarden en selecteer Vervolgens Toevoegen.
Maak een virtuele machine
Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.
- Selecteer Een resource maken in het menu van Azure Portal.
- Selecteer Onder Populaire Marketplace-producten Windows Server 2019 Datacenter.
Basisinstellingen
- Selecteer uw abonnement bij Abonnement.
- Selecteer RG-DNAT-Test voor resourcegroep.
- Typ Srv-Workload voor Identiteit van virtuele machine.
- Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
- Typ een gebruikersnaam en wachtwoord.
- Selecteer Volgende: Schijven.
Disks
- Selecteer Volgende: Netwerken.
Netwerken
- Bij Virtueel netwerk selecteert u VN-Spoke.
- Bij Subnet selecteert u SN-Workload.
- Selecteer Geen voor Openbaar IP.
- Bij Openbare binnenkomende poorten selecteert u Geen.
- Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.
Beheer
- Selecteer Volgende: Bewaking.
Bewaking
- Selecteer Uitschakelen voor diagnostische gegevens over opstarten.
- Selecteer Controleren + maken.
Beoordelen en maken
Controleer de samenvatting en selecteer Maken. Dit duurt enkele minuten.
Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Deze wordt later gebruikt wanneer u de firewall configureert. Selecteer de naam van de virtuele machine. Selecteer Overzicht en noteer onder Netwerken het privé-IP-adres.
Notitie
Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.
Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:
- Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
- De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
- Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.
Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.
Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.
De firewall implementeren
Selecteer op de startpagina van de portal Een resource maken.
Zoek naar firewall en selecteer vervolgens Firewall.
Selecteer Maken.
Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:
Instelling Weergegeven als Abonnement <uw abonnement> Resourcegroep RG-DNAT-Test selecteren Naam FW-DNAT-test Regio Selecteer dezelfde locatie die u eerder hebt gebruikt Firewall-SKU Standaard Firewallbeheer Firewallregels (klassiek) gebruiken om deze firewall te beheren Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub Openbaar IP-adres Voeg nieuwe, naam toe: fw-pip. Accepteer de andere standaardwaarden en selecteer Vervolgens Beoordelen en maken.
Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.
Het implementeren duurt een paar minuten.
Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.
Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.
Een standaardroute maken
Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.
Belangrijk
U hoeft geen expliciete route terug te configureren naar de firewall op het doelsubnet. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Als u deze route maakt, maakt u een asymmetrische routeringsomgeving die de stateful sessielogica onderbreekt en resulteert in verwijderde pakketten en verbindingen.
Selecteer op de startpagina van de Azure-portal Een resource maken.
Zoek de routetabel en selecteer deze.
Selecteer Maken.
Selecteer uw abonnement bij Abonnement.
Selecteer RG-DNAT-Test voor resourcegroep.
Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.
Bij Naam typt u RT-FWroute.
Selecteer Controleren + maken.
Selecteer Maken.
Selecteer Naar resource.
Selecteer Subnetten en vervolgens Koppelen.
Bij Virtueel netwerk selecteert u VN-Spoke.
Bij Subnet selecteert u SN-Workload.
Selecteer OK.
Selecteer Routes en vervolgens Toevoegen.
Bij Routenaam typt u FW-DG.
Selecteer IP-adressen voor doeltype.
Voor DOEL-IP-adressen/CIDR-bereiken typt u 0.0.0.0/0.
Bij Volgend hoptype selecteert u Virtueel apparaat.
Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.
Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.
Selecteer Toevoegen.
Een NAT-regel configureren
- Open de resourcegroep RG-DNAT-Test en selecteer de firewall FW-DNAT-test .
- Selecteer Regels (klassiek) op de pagina FW-DNAT-test onder Instellingen.
- Selecteer Verzameling van NAT-regels toevoegen.
- Bij Naam typt u RC-DNAT-01.
- Bij Prioriteit typt u 200.
- Onder Regels typt u bij Naam de naam RL-01.
- Bij Protocol selecteert u TCP.
- Selecteer IP-adres bij Brontype.
- Bij Bron typt u *.
- Voor doeladressen typt u het openbare of privé-IP-adres van de firewall.
- Bij Doelpoorten typt u 3389.
- Bij Omgezet adres typt u het privé-IP-adres voor de virtuele machine Srv-Workload.
- Bij Vertaalde poort typt u 3389.
- Selecteer Toevoegen.
Dit duurt enkele minuten.
De firewall testen
- Verbind een extern-bureaubladsessie met het openbare IP-adres van de firewall. U wordt als het goed is verbonden met de virtuele machine Srv-Workload.
- Sluit de sessie van Extern bureaublad.
Resources opschonen
U kunt uw firewallresources bewaren voor verdere tests, of als u deze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle firewallresources te verwijderen.
Volgende stappen
Als volgende kunt u de Azure Firewall-logboeken bewaken.