Руководство: Фильтрация входящего интернет-трафика с использованием политики DNAT брандмауэра Azure через портал Azure.

Вы можете настроить политику брандмауэра Azure для преобразования и фильтрации входящего интернет-трафика с помощью трансляции сетевых адресов назначения (DNAT) в ваши подсети. При настройке DNAT для действия коллекции правил устанавливается значение DNAT. Затем каждое правило в коллекции правил NAT можно использовать для перевода общедоступного IP-адреса брандмауэра и порта в частный IP-адрес и порт. Правила DNAT неявно добавляют соответствующее сетевое правило для допуска преобразованного трафика. По соображениям безопасности рекомендуется добавить конкретный источник, чтобы разрешить доступ DNAT к сети и избегать использования подстановочных знаков. Дополнительные сведения о логике обработки правил Брандмауэра Azure см. в соответствующей статье.

В этом руководстве показано, как опубликовать веб-сервер с помощью DNAT.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики;
  • Создание маршрута по умолчанию
  • Развертывание и настройка веб-сервера
  • Настройте правило DNAT для публикации веб-сервера
  • тестирование брандмауэра.

Предварительные условия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создать группу ресурсов

  1. Войдите на портал Azure.
  2. На домашней странице портала Azure выберите раздел Группы ресурсов, а затем щелкните Добавить.
  3. Выберите свою подписку.
  4. В качестве имени группы ресурсов введите RG-DNAT-Test.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create.
  7. Нажмите кнопку создания.

Настройка сетевой среды

В рамках этого руководства вы создадите две взаимоподключенные виртуальные сети:

  • VN-Hub — в этой виртуальной сети находится брандмауэр.
  • VN-Spoke — в этой виртуальной сети находится сервер рабочей нагрузки.

Сначала создайте VNet, а затем установите пиринг между ними.

Создать виртуальную сеть Hub VNet

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сеть выберите Виртуальные сети.

  3. Выберите Добавить.

  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  5. В поле Имя введите VN-Hub.

  6. В поле Регион выберите тот же регион, который вы указали ранее.

  7. Нажмите кнопку "Далее": IP-адреса.

  8. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  9. В разделе Имя подсети выберите по умолчанию.

  10. Измените имя подсети и введите AzureFirewallSubnet.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

    Примечание.

    Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  11. В поле Диапазон адресов подсети введите 10.0.1.0/26.

  12. Выберите Сохранить.

  13. Выберите Review + create.

  14. Нажмите кнопку создания.

Создание спицевой виртуальной сети

  1. На домашней странице портала Azure выберите Все службы.
  2. В разделе Сеть выберите Виртуальные сети.
  3. Выберите Добавить.
  4. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  5. В поле Имя введите VN-Spoke.
  6. В поле Регион выберите тот же регион, который вы указали ранее.
  7. Нажмите кнопку "Далее": IP-адреса.
  8. В поле Диапазон IPv4-адресов измените значение по умолчанию, указав 192.168.0.0/16.
  9. Нажмите Добавить подсеть.
  10. В поле Имя подсети введите SN-Workload.
  11. В поле Диапазон адресов подсети введите 192.168.1.0/24.
  12. Выберите Добавить.
  13. Выберите Review + create.
  14. Нажмите кнопку создания.

Настройка пиринга виртуальных сетей

Теперь создайте пиринг между двумя виртуальными сетями.

  1. Выберите виртуальную сеть VN-Hub.
  2. В разделе Параметры выберите Соединения.
  3. Выберите Добавить.
  4. В разделе Эта виртуальная сеть в поле Имя пиринговой связи введите Peer-HubSpoke.
  5. В разделе Удаленная виртуальная сеть в поле Имя пиринговой связи введите Peer-SpokeHub.
  6. В качестве виртуальной сети выберите VN-Spoke.
  7. Примите остальные значения по умолчанию и щелкните Добавить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть SN-Workload.

  1. В меню портала Azure выберите Создать ресурс.
  2. В разделе "Популярные" выберите Ubuntu Server 22.04 LTS.

Основы

  1. Выберите свою подписку.
  2. Для параметра Группа ресурсов выберите RG-DNAT-Test.
  3. Для параметра Имя виртуальной машины введите Srv-Workload.
  4. В поле Регион выберите использованное ранее расположение.
  5. Для образа выберите Ubuntu Server 22.04 LTS — x64 Gen2.
  6. Для параметра "Размер" выберите Standard_B2s.
  7. Для типа проверки подлинности выберите открытый ключ SSH.
  8. Для имени пользователя введите azureuser.
  9. Для источника открытого ключа SSH выберите "Создать новую пару ключей".
  10. В поле "Имя пары ключей" введите Srv-Workload_key.
  11. Выберите "Нет" в общедоступных входящих портах.
  12. Нажмите кнопку "Далее" — диски.

диски;

  • Выберите Далее: сеть.

Сеть

  1. В поле Виртуальная сеть выберите VN-Spoke.
  2. Для подсети выберите SN-Workload.
  3. В поле Общедоступный IP-адрес выберите значение Нет.
  4. В поле Общедоступные входящие порты выберите значение Нет.
  5. Оставьте другие значения параметров по умолчанию и выберите Далее: управление.

Управление

  • Нажмите кнопку "Далее": мониторинг.

Monitoring

  1. Для параметра Диагностика загрузки выберите Отключить.
  2. Выберите Review + Create.

Проверка и создание

Просмотрите страницу сводки, а затем щелкните Создать.

  • В диалоговом окне "Создание пары ключей " выберите "Скачать закрытый ключ" и создайте ресурс. Сохраните файл ключа в виде Srv-Workload_key.pem.

После завершения развертывания запишите частный IP-адрес для виртуальной машины. Он будет использоваться при настройке брандмауэра. Щелкните имя виртуальной машины, а затем в разделе Параметры щелкните Сети и найдите частный IP-адрес.

Установка веб-сервера

Используйте функцию запуска команды портала Azure для установки веб-сервера на виртуальной машине.

  1. Перейдите к виртуальной машине Srv-Workload на портале Azure.

  2. В разделе "Операции" выберите команду "Выполнить".

  3. Выберите RunShellScript.

  4. В окне "Запуск командного скрипта " вставьте следующий сценарий:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Выберите Выполнить.

  6. Дождитесь завершения скрипта. Выходные данные должны показать успешную установку Nginx.

Развертывание брандмауэра и политики

  1. На домашней странице портала Azure выберите Создать ресурс.

  2. Найдите Брандмауэр и выберите Брандмауэр.

  3. Нажмите кнопку создания.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Настройка Значение
    Подписка <ваша подписка>
    Группа ресурсов Выберите RG-DNAT-Test.
    Имя. FW-DNAT-test
    Область/регион Выберите то же расположение, которое вы использовали ранее
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Добавить новое
    fw-dnat-pol
    выбранный вами регион
    Выберите виртуальную сеть Use existing (Использовать имеющуюся): VN-Hub.
    Общедоступный IP-адрес Добавить новый, имя: fw-pip.

  5. Снимите флажок рядом с включить NIC управления брандмауэром.

  6. Примите остальные значения по умолчанию и выберите Проверка и создание.

  7. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  8. По завершении развертывания перейдите в группу ресурсов RG-DNAT-Test и выберите брандмауэр FW-DNAT-test.

  9. Запишите частный и общедоступный IP-адреса брандмауэра. Они будут использованы позже, при создании маршрута по умолчанию и правила NAT.

Создание маршрута по умолчанию

Для подсети SN-Workload вы настраиваете исходящий маршрут по умолчанию для прохождения через брандмауэр.

Внимание

Не нужно настраивать явный маршрут обратно в брандмауэр в конечной подсети. Брандмауэр Azure представляет собой службу, отслеживающую состояние, которая автоматически обрабатывает пакеты и сеансы. При создании этого маршрута вы создадите асимметричную среду маршрутизации, которая прерывает логику сессий с сохранением состояния и приводит к потере пакетов и подключений.

  1. На домашней странице портала Azure выберите Все службы.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Выберите Добавить.

  4. Выберите свою подписку.

  5. Для параметра Группа ресурсов выберите RG-DNAT-Test.

  6. В поле Регион выберите тот же регион, который использовался ранее.

  7. В поле Имя введите RT-FW-route.

  8. Выберите Review + create.

  9. Нажмите кнопку создания.

  10. Выберите Перейти к ресурсу.

  11. Выберите Подсети, а затем выберите Привязать.

  12. В поле Виртуальная сеть выберите VN-Spoke.

  13. Для подсети выберите SN-Workload.

  14. Нажмите ОК.

  15. Щелкните Маршруты, а затем — Добавить.

  16. В поле Имя маршрута введите fw-dg.

  17. В поле Префикс адреса укажите 0.0.0.0/0.

  18. В поле Тип следующего прыжка выберите Виртуальный прибор.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  19. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  20. Нажмите ОК.

Настройка правила DNAT

Это правило позволяет входящего HTTP-трафика из Интернета обращаться к веб-серверу через брандмауэр.

  1. Откройте группу ресурсов RG-DNAT-Test и выберите политику брандмауэра fw-dnat-pol.
  2. В разделе Параметры щелкните Правила DNAT.
  3. Щелкните Добавить коллекцию правил.
  4. В поле "Имя" введите веб-доступ.
  5. В поле Приоритет введите 200.
  6. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  7. В разделе "Правила" для имени введите http-dnat.
  8. В поле Тип источника выберите IP-адрес.
  9. Для источника введите * , чтобы разрешить трафик из любого источника.
  10. В поле Протокол выберите TCP.
  11. В поле Порты назначения введите 80.
  12. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  13. В поле "Назначение" введите общедоступный IP-адрес брандмауэра.
  14. В поле Преобразованный адрес введите частный IP-адрес Srv-Workload.
  15. Для переведенного порта введите 80.
  16. Выберите Добавить.

тестирование брандмауэра.

Теперь проверьте правило DNAT, чтобы убедиться, что веб-сервер доступен через брандмауэр.

  1. Откройте веб-браузер.
  2. Перейдите к http://<firewall-public-ip> (используйте общедоступный IP-адрес брандмауэра, который вы указали ранее).
  3. Вы увидите веб-страницу: демонстрация DNAT брандмауэра Azure — Srv-Workload

Правило DNAT успешно преобразует входящий HTTP-запрос на общедоступный IP-адрес брандмауэра на частный IP-адрес веб-сервера. Демонстрируется, как DNAT Azure Firewall можно использовать для публикации веб-приложений, сохраняя серверы в частной подсети.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если они больше не нужны, удалить группу ресурсов RG-DNAT-Test, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Расширенные сценарии DNAT, связанные с перекрывающимися сетями или не маршрутизируемым доступом к сети, см. следующую статью:

Развертывание частного IP-адреса DNAT брандмауэра Azure для перекрывающихся и не routable сетей

  • Last updated on