Поделиться через

Руководство: Фильтрация входящего интернет- или интрасетевого трафика с помощью политики DNAT Брандмауэра Azure через портал Azure.

  • Статья

You can configure Azure Firewall policy Destination Network Address Translation (DNAT) to translate and filter inbound Internet or intranet (preview) traffic to your subnets. При настройке DNAT для действия коллекции правил устанавливается значение DNAT. Затем каждое правило в коллекции правил NAT можно использовать для перевода общедоступного или частного IP-адреса брандмауэра и порта в частный IP-адрес и порт. Правила DNAT неявно добавляют соответствующее сетевое правило для допуска преобразованного трафика. For security reasons, the recommended approach is to add a specific source to allow DNAT access to the network and avoid using wildcards. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики;
  • Создание маршрута по умолчанию
  • Настройка правила DNAT
  • тестирование брандмауэра.

Предварительные условия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создать группу ресурсов

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Добавить.
  3. Выберите свою подписку.
  4. В качестве имени группы ресурсов введите RG-DNAT-Test.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Select Review + create.
  7. Нажмите кнопку создания.

Настройка сетевой среды

For this tutorial, you create a two peered VNets:

  • VN-Hub — в этой виртуальной сети находится брандмауэр.
  • VN-Spoke — в этой виртуальной сети находится сервер рабочей нагрузки.

Сначала создайте VNet, а затем установите пиринг между ними.

Создать виртуальную сеть Hub VNet

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сеть выберите Виртуальные сети.

  3. Выберите Добавить.

  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  5. В поле Имя введите VN-Hub.

  6. В поле Регион выберите тот же регион, который вы указали ранее.

  7. Нажмите кнопку "Далее": IP-адреса.

  8. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  9. В разделе Имя подсети выберите по умолчанию.

  10. Измените имя подсети и введите AzureFirewallSubnet.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

    Примечание.

    Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  11. В поле Диапазон адресов подсети введите 10.0.1.0/26.

  12. Выберите Сохранить.

  13. Select Review + create.

  14. Нажмите кнопку создания.

Create a spoke VNet

  1. На домашней странице портала Azure выберите Все службы.
  2. В разделе Сеть выберите Виртуальные сети.
  3. Выберите Добавить.
  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  5. В поле Имя введите VN-Spoke.
  6. В поле Регион выберите тот же регион, который вы указали ранее.
  7. Нажмите кнопку "Далее": IP-адреса.
  8. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
  9. Нажмите Добавить подсеть.
  10. В поле Имя подсети введите SN-Workload.
  11. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  12. Выберите Добавить.
  13. Select Review + create.
  14. Нажмите кнопку создания.

Peer the VNets

Now peer the two VNets.

  1. Выберите виртуальную сеть VN-Hub.
  2. Under Settings, select Peerings.
  3. Выберите Добавить.
  4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
  5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
  6. В качестве виртуальной сети выберите VN-Spoke.
  7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

  1. В меню портала Azure выберите Создать ресурс.
  2. В разделе Популярные выберите Windows Server 2016 Datacenter.

Основы

  1. Выберите свою подписку.
  2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  3. Для параметра Имя виртуальной машины введите Srv-Workload.
  4. В поле Регион выберите использованное ранее расположение.
  5. Введите имя пользователя и пароль.
  6. Нажмите кнопку "Далее" — диски.

диски;

  1. Выберите Далее: сеть.

Сеть

  1. В поле Виртуальная сеть выберите VN-Spoke.
  2. For Subnet, select SN-Workload.
  3. В поле Общедоступный IP-адрес выберите значение Нет.
  4. В поле Общедоступные входящие порты выберите значение Нет.
  5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

  1. Для параметра Диагностика загрузки выберите Отключить.
  2. Select Review + Create.

Проверка и создание

Просмотрите страницу сводки, а затем щелкните Создать. Ее выполнение может занять несколько минут.

После завершения развертывания запишите частный IP-адрес для виртуальной машины. Он будет использоваться при настройке брандмауэра. Щелкните имя виртуальной машины, а затем в разделе Параметры щелкните Сети и найдите частный IP-адрес.

Развертывание брандмауэра и политики

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите Брандмауэр и выберите Брандмауэр.

  3. Нажмите кнопку создания.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Настройка Значение
    Подписка <ваша подписка>
    Группа ресурсов Выберите RG-DNAT-Test.
    Имя. FW-DNAT-test
    Область/регион Выберите то же расположение, которое вы использовали ранее
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Добавить новое
    fw-dnat-pol
    выбранный вами регион
    Выберите виртуальную сеть Use existing (Использовать имеющуюся): VN-Hub.
    Общедоступный IP-адрес Добавить новый, имя: fw-pip.

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Они будут использованы позже, при создании маршрута по умолчанию и правила NAT.

Создание маршрута по умолчанию

Для подсети SN-Workload вы настраиваете исходящий маршрут по умолчанию для прохождения через брандмауэр.

Внимание

Не нужно настраивать явный маршрут обратно в брандмауэр в конечной подсети. Azure Firewall is a stateful service and handles the packets and sessions automatically. При создании этого маршрута вы создадите асимметричную среду маршрутизации, которая прерывает логику сессий с сохранением состояния и приводит к потере пакетов и подключений.

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Выберите Добавить.

  4. Выберите свою подписку.

  5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  6. В поле Регион выберите тот же регион, который использовался ранее.

  7. В поле Имя введите RT-FW-route.

  8. Select Review + create.

  9. Нажмите кнопку создания.

  10. Выберите Перейти к ресурсу.

  11. Select Subnets, and then select Associate.

  12. В поле Виртуальная сеть выберите VN-Spoke.

  13. For Subnet, select SN-Workload.

  14. Нажмите ОК.

  15. Щелкните Маршруты, а затем — Добавить.

  16. В поле Имя маршрута введите fw-dg.

  17. В поле Префикс адреса укажите 0.0.0.0/0.

  18. В поле Тип следующего прыжка выберите Виртуальный прибор.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  19. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  20. Нажмите ОК.

Настройка правила NAT

Это правило позволяет через брандмауэр подключать удаленный рабочий стол к виртуальной машине Srv-Workload.

  1. Откройте группу ресурсов RG-DNAT-Test и выберите политику брандмауэра fw-dnat-pol.
  2. В разделе Параметры щелкните Правила DNAT.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите rdp.
  5. В поле Приоритет введите 200.
  6. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  7. В разделе Правила в поле Имя введите rdp-nat.
  8. В поле Тип источника выберите IP-адрес.
  9. Для источника укажите IP-адрес или диапазон, который требуется разрешить. Например, 192.168.1.0/24.
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 3389.
  12. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  13. В поле "Назначение" введите общедоступный или частный IP-адрес брандмауэра.
  14. В поле Преобразованный адрес введите частный IP-адрес Srv-Workload.
  15. В поле Преобразованный порт введите 3389.
  16. Выберите Добавить.

тестирование брандмауэра.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра. Для этого необходимо установить подключение к виртуальной машине Srv-Workload.
  2. Закройте удаленный рабочий стол.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium