使用 Azure 入口網站以 Azure 防火牆 DNAT 篩選輸入網際網路或內部網路流量
您可以設定 Azure 防火牆目的地網路位址轉譯 (DNAT),在私人網路間將輸入網際網路流量轉譯及篩選至您的子網路 (預覽)。 當您設定 DNAT 時,NAT 規則集合動作是設為 Dnat。 接著,NAT 規則集合中的每個規則均可用來將防火牆公用或私人 IP 位址和連接埠轉譯為私人 IP 位址和連接埠。 DNAT 規則會間接新增對應的網路規則,以允許經過轉譯的流量。 基於安全性理由,建議的方法是新增特定的來源,以允許 DNAT 存取網路,並避免使用萬用字元。 若要深入了解 Azure 防火牆規則處理邏輯,請參閱 Azure 防火牆規則處理邏輯。
注意
本文使用傳統防火牆規則來管理防火牆。 慣用方法為使用防火牆原則。 如果要使用防火牆原則完成此程序,請參閱 教學課程:使用 Azure 入口網站以 Azure 防火牆原則 DNAT 篩選輸入網際網路流量
必要條件
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
建立資源群組
- 登入 Azure 入口網站。
- 在 Azure 入口網站首頁上選取 [資源群組] ,然後選取 [建立] 。
- 在 [訂閱] 的部分,選取您的訂閱。
- 在 [資源群組] 中,輸入 [RG-DNAT-Test] 。
- 針對 [區域],選取區域。 您建立的所有其他資源都必須位於相同區域。
- 選取 [檢閱 + 建立]。
- 選取 建立。
設定網路環境
針對本教學課程,您會建立兩個對等互連 Vnet:
- VN-Hub - 防火牆位於此 VNet 中。
- VN-Spoke - 工作負載伺服器位於此 VNet 中。
首先建立 Vnet,然後將其對等互連。
建立中樞 VNet
從 Azure 入口網站首頁,選取 [所有服務]。
在 [網路] 底下,選取 [虛擬網路]。
選取 建立。
在 [資源群組] 中,選取 [RG-DNAT-Test]。
在 [名稱] 中,輸入 VN-Hub。
在 [區域] 中,選取您先前使用的相同區域。
選取 [下一步]。
在 [安全性] 索引標籤上,選取 [下一步]。
針對 [IPv4 位址空間],請接受預設的 10.0.0.0/16。
在 [子網路] 下,選取 [預設]。
針對 [子網路範本],選取 [Azure 防火牆]。
防火牆會在此子網路中,且子網路名稱必須是 AzureFirewallSubnet。
注意
AzureFirewallSubnet 子網路的大小是 /26。 如需有關子網路大小的詳細資訊,請參閱 Azure 防火牆的常見問題集。
選取 [儲存]。
選取 [檢閱 + 建立]。
選取 建立。
建立輪輻 VNet
- 從 Azure 入口網站首頁,選取 [所有服務]。
- 在 [網路] 底下,選取 [虛擬網路]。
- 選取 建立。
- 在 [資源群組] 中,選取 [RG-DNAT-Test]。
- 在 [名稱] 中,輸入 VN-Spoke。
- 在 [區域] 中,選取您先前使用的相同區域。
- 選取 [下一步]。
- 在 [安全性] 索引標籤上,選取 [下一步]。
- 針對 [IPv4 位址空間],編輯預設值並輸入 192.168.0.0/16。
- 在 [子網路] 下,選取 [預設]。
- 針對子網路 [名稱],輸入 SN-Workload。
- 針對 [起始位址],輸入 192.168.1.0。
- 針對 [子網路大小],選取 [/24]。
- 選取 [儲存]。
- 選取 [檢閱 + 建立]。
- 選取 建立。
將 VNet 對等互連
現在對等互連兩個 VNet。
- 選取 [VN-Hub] 虛擬網路。
- 在 [設定] 底下,選取 [對等互連]。
- 選取 [新增]。
- 在 [此虛擬網路] 底下,針對 [對等互連連結名稱],輸入 Peer-HubSpoke。
- 在 [遠端虛擬網路] 底下,針對 [對等互連連結名稱],輸入 Peer-SpokeHub。
- 針對虛擬網路選取 [VN-Spoke]。
- 接受其他所有預設值,然後選取 [新增]。
建立虛擬機器
建立工作負載虛擬機器,並將它放在 SN-Workload 子網路中。
- 從 Azure 入口網站功能表選取 [建立資源]。
- 在 [熱門 Marketplace 產品] 底下,選取 [Windows Server 2019 Datacenter]。
基本概念
- 在 [訂閱] 的部分,選取您的訂閱。
- 在 [資源群組] 中,選取 [RG-DNAT-Test]。
- 針對 [虛擬機器名稱],輸入 Srv-Workload。
- 針對 [區域],選取您先前使用的相同位置。
- 鍵入使用者名稱和密碼。
- 完成時,選取 [下一步: 磁碟]。
磁碟
- 選取 [下一步:網路]。
網路功能
- 針對 [虛擬網路],選取 [VN-Spoke]。
- 在 [子網路] 中,選取 [SN-Workload]。
- 在 [公用 IP] 中,選取 [無]。
- 針對 [公用輸入連接埠],選取 [無]。
- 保留其他預設設定,然後選取 [下一步:管理]。
管理
- 選取 [下一步:監視]。
監視
- 針對 [開機診斷],選取 [停用]。
- 選取 [檢閱 + 建立] 。
檢閱 + 建立
檢閱摘要,然後選取 [建立]。 這需要幾分鐘的時間來完成。
部署完成之後,請記下虛擬機器的私人 IP 位址。 稍後當您設定防火牆時將會用到該位址。 選取虛擬機器名稱。 選取 [概觀],記下 [網路] 底下的私人 IP 位址。
注意
無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 公用 IP 位址會指派給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網路。
您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取與針對輸出連線,使用來源網路位址轉譯 (SNAT)。
部署防火牆
從入口網站首頁選取 [建立資源]。
搜尋 [防火牆],然後選取 [防火牆]。
選取 建立。
在 [建立防火牆] 頁面上,使用下表來設定防火牆:
設定 值 訂用帳戶 <訂用帳戶> 資源群組 選取 RG-DNAT-Test 名稱 FW-DNAT-test 區域 選取您先前使用的相同位置 防火牆 SKU 標準 防火牆管理 使用防火牆規則 (傳統) 管理此防火牆 選擇虛擬網路 使用現有的:VN-Hub 公用 IP 位址 新增,名稱:fw-pip。 接受其他預設值,然後選取 [檢閱 + 建立]。
檢閱摘要,然後選取 [建立] 來建立防火牆。
部署需要幾分鐘的時間。
部署完成之後,請移至 RG-DNAT-Test 資源群組,然後選取 FW-DNAT-test 防火牆。
請注意防火牆的私人和公用 IP 位址。 您稍後會在建立預設路由和 NAT 規則時使用這些項目。
建立預設路由
在 SN-Workload 子網路中,您要設定通過防火牆的輸出預設路由。
重要
您不需要設定明確路由,並回到目的地子網路的防火牆。 Azure 防火牆是具狀態服務,並會自動處理封包和工作階段。 如果您建立此路由,您將建立非對稱路由環境,其會中斷具狀態工作階段邏輯,並導致捨棄封包和連線。
從 Azure 入口網站首頁,選取 [建立資源]。
搜尋並選取 [路由表]。
選取 建立。
在 [訂閱] 的部分,選取您的訂閱。
在 [資源群組] 中,選取 [RG-DNAT-Test]。
在 [區域] 中,選取您先前使用的相同區域。
在 [名稱] 中,輸入 RT-FWroute。
選取 [檢閱 + 建立]。
選取 建立。
選取 [前往資源] 。
選取 [子網路],然後選取 [建立關聯]。
針對 [虛擬網路],選取 [VN-Spoke]。
在 [子網路] 中,選取 [SN-Workload]。
選取 [確定]。
選取 [路由],然後選取 [確定]。
在 [路由名稱] 中,鍵入 FW-DG。
針對 [目的地類型],選取 [IP 位址]。
在 [目的地 IP 位址/CIDR 範圍] 中,輸入 [0.0.0.0/0] 。
在 [下一個躍點類型] 中,選取 [虛擬設備]。
Azure 防火牆實際上是受管理的服務,但虛擬設備可在此情況下運作。
在 [下一個躍點位址] 中,鍵入您先前記下的防火牆私人 IP 位址。
選取 [新增]。
設定 NAT 規則
- 開啟 RG-DNAT-Test 資源群組,然後選取 FW-DNAT-test 防火牆。
- 在 [FW-DNAT-test] 頁面的 [設定] 底下,選取 [規則 (傳統)]。
- 選取 [新增 NAT 規則集合]。
- 在 [名稱] 中,輸入 RC-DNAT-01。
- 在 [優先順序] 中,鍵入 200。
- 在 [規則] 底下的 [名稱] 中,輸入 RL-01。
- 在 [通訊協定] 中,選取 [TCP]。
- 針對 [來源類型],選取 [IP 位址]。
- 針對 [來源],輸入 *。
- 針對 [目的地位址],輸入防火牆的公用或私人 IP 位址。
- 在 [目的地連接埠] 中,輸入 3389。
- 在 [轉譯的位址] 中,輸入 Srv-Workload 虛擬機器的私人 IP 位址。
- 在 [轉譯的連接埠] 中,輸入 3389。
- 選取 [新增]。
這需要幾分鐘的時間來完成。
測試防火牆
- 將遠端桌面連線至防火牆公用 IP 位址。 您應該會連線到 Srv-Workload 虛擬機器。
- 關閉遠端桌面。
清除資源
您可以保留防火牆資源供下一個教學課程使用,若不再需要,則可刪除 RG-DNAT-Test 資源群組以刪除所有防火牆相關資源。
下一步
接下來,您可以監視 Azure 防火牆記錄。