Udostępnij za pośrednictwem

Samouczek: filtrowanie przychodzącego ruchu internetowego lub intranetowego przy użyciu zasad usługi Azure Firewall DNAT przy użyciu witryny Azure Portal

  • Artykuł

Możesz skonfigurować zasady usługi Azure Firewall Docelowy translacja adresów sieciowych (DNAT) w celu tłumaczenia i filtrowania przychodzącego ruchu internetowego lub intranetowego (wersja zapoznawcza) do podsieci. Podczas konfigurowania dnaT akcja zbierania reguł jest ustawiona na DNAT. Każda reguła w kolekcji reguł translatora adresów sieciowych może następnie służyć do tłumaczenia publicznego lub prywatnego adresu IP zapory na prywatny adres IP i port. Reguły DNAT niejawnie dodają odpowiednią regułę sieci zezwalającą na przekształcony ruch. Ze względów bezpieczeństwa zalecane jest dodanie określonego źródła w celu umożliwienia dostępu DNAT do sieci i uniknięcia korzystania z symboli wieloznacznych. Aby dowiedzieć się więcej na temat logiki przetwarzania reguł usługi Azure Firewall, zobacz Azure Firewall rule processing logic (Logika przetwarzania reguł usługi Azure Firewall).

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zapory i zasad
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły DNAT
  • Testowanie zapory

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie grupy zasobów

  1. Zaloguj się w witrynie Azure Portal.
  2. Na stronie głównej witryny Azure Portal wybierz pozycję Grupy zasobów, a następnie wybierz pozycję Dodaj.
  3. W obszarze Subskrypcja wybierz swoją subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz RG-DNAT-Test.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Konfigurowanie środowiska sieciowego

W tym samouczku utworzysz dwie sieci wirtualne połączone przy użyciu komunikacji równorzędnej:

  • VN-Hub — w tej sieci wirtualnej znajduje się zapora.
  • VN-Spoke — w tej sieci wirtualnej znajduje się serwer obciążeń.

Najpierw utwórz sieci wirtualne, a następnie połącz je przy użyciu komunikacji równorzędnej.

Tworzenie koncentratora sieci wirtualnej

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.

  3. Wybierz Dodaj.

  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  5. W polu Nazwa wpisz wartość VN-Hub.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. Wybierz pozycję Dalej: adresy IP.

  8. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  9. W obszarze Nazwa podsieci wybierz pozycję domyślną.

  10. Edytuj nazwę podsieci i wpisz AzureFirewallSubnet.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

    Uwaga

    Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  11. W polu Zakres adresów podsieci wpisz 10.0.1.0/26.

  12. Wybierz pozycję Zapisz.

  13. Wybierz pozycję Przejrzyj i utwórz.

  14. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej będącej szprychą

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.
  2. W obszarze Sieć wybierz pozycję Sieci wirtualne.
  3. Wybierz Dodaj.
  4. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  5. W polu Nazwa wpisz wartość VN-Spoke.
  6. W polu Region wybierz ten sam region, który był wcześniej używany.
  7. Wybierz pozycję Dalej: adresy IP.
  8. W polu Przestrzeń adresowa IPv4 zmodyfikuj wartość domyślną i wpisz 192.168.0.0/16.
  9. Wybierz pozycję Dodaj podsieć.
  10. W polu Nazwa podsieci wpisz SN-Workload.
  11. W polu Zakres adresów podsieci wpisz 192.168.1.0/24.
  12. Wybierz Dodaj.
  13. Wybierz pozycję Przejrzyj i utwórz.
  14. Wybierz pozycję Utwórz.

Łączenie sieci wirtualnych przy użyciu komunikacji równorzędnej

Teraz połącz sieci wirtualne przy użyciu komunikacji równorzędnej.

  1. Wybierz sieć wirtualną VN-Hub .
  2. W obszarze Ustawienia wybierz pozycję Komunikacje równorzędne.
  3. Wybierz Dodaj.
  4. W obszarze Ta sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-HubSpoke.
  5. W obszarze Zdalna sieć wirtualna w polu Nazwa łącza komunikacji równorzędnej wpisz Peer-SpokeHub.
  6. Jako sieć wirtualną wybierz VN-Spoke.
  7. Zaakceptuj wszystkie pozostałe wartości domyślne, a następnie wybierz pozycję Dodaj.

Tworzenie maszyny wirtualnej

Utwórz maszynę wirtualną obciążenia i umieść ją w podsieci SN-Workload.

  1. W menu portalu Azure wybierz polecenie Utwórz zasób.
  2. W obszarze Popularne wybierz pozycję Windows Server 2016 Datacenter.

Podstawy

  1. W obszarze Subskrypcja wybierz swoją subskrypcję.
  2. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.
  3. W polu Nazwa maszyny wirtualnej wpisz Srv-Workload.
  4. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wpisz nazwę użytkownika i hasło.
  6. Wybierz pozycję Dalej: dyski.

Disks (grupa dysków)

  1. Wybierz pozycję Dalej: Sieć.

Sieć

  1. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.
  2. W polu Podsieć wybierz pozycję SN-Workload.
  3. W obszarze Publiczny adres IP wybierz pozycję Brak.
  4. W obszarze Publiczne porty wejściowe wybierz pozycję Brak.
  5. Pozostaw inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.

Zarządzanie

  1. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz.
  2. Wybierz pozycję Przejrzyj i utwórz.

Przeglądanie i tworzenie

Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Ukończenie tej operacji potrwa kilka minut.

Po zakończeniu wdrożenia zanotuj prywatny adres IP maszyny wirtualnej. Posłuży on później do skonfigurowania zapory. Wybierz nazwę maszyny wirtualnej, a następnie w obszarze Ustawienia wybierz pozycję Sieć , aby znaleźć prywatny adres IP.

Wdrażanie zapory i zasad

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.

  2. Wyszukaj pozycję Zapora, a następnie wybierz pozycję Zapora.

  3. Wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Wybierz pozycję RG-DNAT-Test
    Nazwisko Test FW-DNAT
    Region (Region) Wybierz tę samą lokalizację, której użyto poprzednio
    Zarządzanie zaporą Zarządzanie tą zaporą za pomocą zasad zapory
    Zasady zapory Dodaj nowe:
    fw-dnat-pol
    wybrany region
    Wybieranie sieci wirtualnej Użyj istniejącej: VN-Hub
    Publiczny adres IP Dodaj nowy, Nazwa: fw-.

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów RG-DNAT-Test i wybierz zaporę FW-DNAT-test .

  8. Zanotuj prywatne i publiczne adresy IP zapory. Będą one używane później podczas tworzenia trasy domyślnej i reguły TRANSLATORa adresów sieciowych.

Tworzenie trasy domyślnej

Na potrzeby podsieci SN-Workload skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

Ważne

Nie trzeba konfigurować jawnej trasy z powrotem do zapory w podsieci docelowej. Usługa Azure Firewall to usługa stanowa i automatycznie obsługuje pakiety i sesje. Jeśli utworzysz tę trasę, utworzysz asymetryczne środowisko routingu, które przerywa logikę sesji stanowej i powoduje usunięcie pakietów i połączeń.

  1. Na stronie głównej witryny Azure Portal wybierz pozycję Wszystkie usługi.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz Dodaj.

  4. W obszarze Subskrypcja wybierz swoją subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję RG-DNAT-Test.

  6. W polu Region wybierz ten sam region, który był wcześniej używany.

  7. W polu Nazwa wpisz RT-FW-route.

  8. Wybierz pozycję Przejrzyj i utwórz.

  9. Wybierz pozycję Utwórz.

  10. Wybierz pozycję Przejdź do zasobu.

  11. Wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  12. W obszarze Sieć wirtualna wybierz pozycję VN-Spoke.

  13. W polu Podsieć wybierz pozycję SN-Workload.

  14. Wybierz przycisk OK.

  15. Wybierz pozycję Trasy, a następnie wybierz pozycję Dodaj.

  16. W polu Nazwa trasy wpisz fw-dg.

  17. W polu Prefiks adresu wpisz wartość 0.0.0.0/0.

  18. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  19. W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.

  20. Wybierz przycisk OK.

Konfigurowanie reguł translatora adresów sieciowych

Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Workload za pośrednictwem zapory.

  1. Otwórz grupę zasobów RG-DNAT-Test i wybierz zasady zapory fw-dnat-pol.
  2. W obszarze Ustawienia wybierz pozycję Reguły DNAT.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz rdp.
  5. W polu Priorytet wpisz wartość 200.
  6. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wpisz rdp-nat.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz *.
  10. W polu Protokół wybierz TCP.
  11. W polu Porty docelowe wpisz wartość 3389.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz publiczny lub prywatny adres IP zapory.
  14. W polu Przetłumaczony adres wpisz prywatny adres IP Srv-Workload.
  15. W polu Przekształcony port wpisz 3389.
  16. Wybierz Dodaj.

Testowanie zapory

  1. Połącz pulpit zdalny z publicznym adresem IP zapory. Powinno zostać nawiązane połączenie z maszyną wirtualną Srv-Workload.
  2. Zamknij pulpit zdalny.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów RG-DNAT-Test, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium