Dela via

Självstudie: Filtrera inkommande Internet- eller intranättrafik med Azure Firewall-princip-DNAT med hjälp av Azure Portal

  • Artikel

Du kan konfigurera Azure Firewall-principen DNAT (Destination Network Address Translation) för att översätta och filtrera inkommande Internet- eller intranättrafik (förhandsversion) till dina undernät. När du konfigurerar DNAT anges åtgärden för regelinsamling till DNAT. Varje regel i NAT-regelsamlingen kan sedan användas för att översätta brandväggens offentliga eller privata IP-adress och port till en privat IP-adress och port. DNAT-regler lägger implicit till en motsvarande nätverksregel för att tillåta den översatta trafiken. Av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik källa för att tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken. Mer information om regelbearbetningslogik för Azure Firewall finns i Regelbearbetningslogik för Azure Firewall.

I den här självstudien lär du dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en brandvägg och princip
  • Skapa en standardväg
  • Konfigurera en DNAT-regel
  • testa brandväggen.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Skapa en resursgrupp

  1. Logga in på Azure-portalen.
  2. På startsidan Azure Portal väljer du Resursgrupper och sedan Lägg till.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. I fältet Resursgruppsnamn anger du RG-DNAT-Test.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Konfigurera nätverksmiljön

För den här självstudien skapar du två peerkopplade virtuella nätverk:

  • VN-Hub – brandväggen finns i det här virtuella nätverket.
  • VN-Spoke – arbetsbelastningsservern finns i det här virtuella nätverket.

Skapa först de virtuella nätverken och peerkoppla dem sedan.

Skapa det virtuella Hub-nätverket

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Virtuella nätverk.

  3. Markera Lägga till.

  4. För Resursgrupp väljer du RG-DNAT-Test.

  5. Som Namn anger du VN-Hub.

  6. För Region väljer du samma region som du använde tidigare.

  7. Välj Nästa: IP-adresser.

  8. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  9. Under Undernätsnamn väljer du standard.

  10. Redigera undernätets namn och skriv AzureFirewallSubnet.

    Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

    Kommentar

    Storleken på AzureFirewallSubnet-undernätet är /26. Mer information om undernätets storlek finns i Vanliga frågor och svar om Azure Firewall.

  11. För Adressintervall för undernät skriver du 10.0.1.0/26.

  12. Välj Spara.

  13. Välj Granska + skapa.

  14. Välj Skapa.

Skapa ett virtuellt spoke-nätverk

  1. På startsidan Azure Portal väljer du Alla tjänster.
  2. Under Nätverk väljer du Virtuella nätverk.
  3. Markera Lägga till.
  4. För Resursgrupp väljer du RG-DNAT-Test.
  5. I fältet Namn anger du VN-Spoke.
  6. För Region väljer du samma region som du använde tidigare.
  7. Välj Nästa: IP-adresser.
  8. För IPv4-adressutrymme redigerar du standardvärdet och skriver 192.168.0.0/16.
  9. Välj Lägg till undernät.
  10. För undernätets namn skriver du SN-Workload.
  11. För undernätsadressintervall skriver du 192.168.1.0/24.
  12. Markera Lägga till.
  13. Välj Granska + skapa.
  14. Välj Skapa.

Peerkoppla de virtuella nätverken

Peerkoppla nu de två virtuella nätverken.

  1. Välj det virtuella VN-Hub-nätverket .
  2. Under Inställningar väljer du Peerings.
  3. Markera Lägga till.
  4. Under Det här virtuella nätverket skriver du Peer-HubSpoke för peeringlänknamnet.
  5. Under Fjärranslutet virtuellt nätverk skriver du Peer-SpokeHub för Peering-länknamn.
  6. Välj VN-Spoke för det virtuella nätverket.
  7. Acceptera alla andra standardvärden och välj sedan Lägg till.

Skapa en virtuell dator

Skapa en virtuell arbetsbelastningsdator och placera den i undernätet SN-Workload.

  1. Från Azure-portal menyn, välj skapa en resurs.
  2. Under Populärt väljer du Windows Server 2016 Datacenter.

Grundläggande inställningar

  1. I fältet Prenumeration väljer du din prenumeration.
  2. För Resursgrupp väljer du RG-DNAT-Test.
  3. För Namn på virtuell dator skriver du Srv-Workload.
  4. För Region väljer du samma plats som du använde tidigare.
  5. Ange ett användarnamn och lösenord.
  6. Välj Nästa: Diskar.

Diskar

  1. Välj Nästa: Nätverk.

Nätverk

  1. För Virtuellt nätverk väljer du VN-Spoke.
  2. I fältet Undernät väljer du SN-Workload.
  3. För Offentlig IP väljer du Ingen.
  4. För Offentliga inkommande portar väljer du Ingen.
  5. Lämna de andra standardinställningarna och välj Nästa: Hantering.

Hantering

  1. För Startdiagnostik väljer du Inaktivera.
  2. Välj Granska + skapa.

Granska + skapa

Granska sammanfattningen och välj sedan Skapa. Det här kan ta några minuter.

När distributionen är klar antecknar du den privata IP-adressen för den virtuella datorn. Den används senare när du konfigurerar brandväggen. Välj namnet på den virtuella datorn och under Inställningar väljer du Nätverk för att hitta den privata IP-adressen.

Distribuera brandväggen och principen

  1. På portalens startsida väljer du Skapa en resurs.

  2. Sök efter Brandvägg och välj sedan Brandvägg.

  3. Välj Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <din prenumeration>
    Resursgrupp Välj RG-DNAT-Test
    Name FW-DNAT-test
    Region Välj samma plats som tidigare
    Brandväggshantering Använda en brandväggsprincip för att hantera den här brandväggen
    Brandväggsprincip Lägg till ny:
    fw-dnat-pol
    din valda region
    Välj ett virtuellt nätverk Använd befintlig: VN-Hub
    Offentlig IP-adress Lägg till ny, Namn: fw-pip.

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Det tar några minuter att distribuera.

  7. När distributionen är klar går du till resursgruppen RG-DNAT-Test och väljer brandväggen FW-DNAT-test .

  8. Observera brandväggens privata och offentliga IP-adresser. Du använder dem senare när du skapar standardvägen och NAT-regeln.

Skapa en standardväg

För undernätet SN-Workload ställer du in att den utgående standardvägen ska gå via brandväggen.

Viktigt!

Du behöver inte konfigurera en explicit väg tillbaka till brandväggen i målundernätet. Azure Firewall är en tillståndskänslig tjänst och hanterar paketen och sessionerna automatiskt. Om du skapar den här vägen skapar du en asymmetrisk routningsmiljö som avbryter tillståndskänslig sessionslogik och resulterar i borttagna paket och anslutningar.

  1. På startsidan Azure Portal väljer du Alla tjänster.

  2. Under Nätverk väljer du Routningstabeller.

  3. Markera Lägga till.

  4. I fältet Prenumeration väljer du din prenumeration.

  5. För Resursgrupp väljer du RG-DNAT-Test.

  6. För Region väljer du samma region som du använde tidigare.

  7. Som Namn skriver du RT-FW-route.

  8. Välj Granska + skapa.

  9. Välj Skapa.

  10. Välj Gå till resurs.

  11. Välj Undernät och sedan Associera.

  12. För Virtuellt nätverk väljer du VN-Spoke.

  13. I fältet Undernät väljer du SN-Workload.

  14. Välj OK.

  15. Välj Vägar och sedan Lägg till.

  16. För Routningsnamn skriver du fw-dg.

  17. I fältet Adressprefix skriver du 0.0.0.0/0.

  18. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  19. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  20. Välj OK.

Konfigurera en NAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till den virtuella Srv-Workload-datorn via brandväggen.

  1. Öppna resursgruppen RG-DNAT-Test och välj brandväggsprincipen fw-dnat-pol.
  2. Under Inställningar väljer du DNAT-regler.
  3. Välj Lägg till en regelsamling.
  4. Som Namn skriver du rdp.
  5. I fältet Prioritet skriver du 200.
  6. Som Regelsamlingsgrupp väljer du DefaultDnatRuleCollectionGroup.
  7. Under Regler skriver du rdp-nat för Namn.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du *.
  10. I fältet Protokoll väljer du TCP.
  11. För Målportar skriver du 3389.
  12. Som Måltyp väljer du IP-adress.
  13. För Mål skriver du brandväggens offentliga eller privata IP-adress.
  14. För Översatt adress skriver du den privata IP-adressen för Srv-Workload .
  15. I fältet Översatt port skriver du 3389.
  16. Markera Lägga till.

testa brandväggen.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress. Du ska vara ansluten till den virtuella datorn Srv-Workload.
  2. Stäng fjärrskrivbordet.

Rensa resurser

Du kan behålla dina brandväggsresurser för nästa självstudie eller, om de inte längre behövs, så tar du bort resursgruppen RG-DNAT-Test för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium