Freigeben über

Lernprogramm: Bereitstellen privater IP-DNAT von Azure Firewall für überlappende und nicht routingfähige Netzwerke

Mit azure Firewall private IP DNAT (Zielnetzwerkadressenübersetzung) können Sie eingehenden Datenverkehr mithilfe der privaten IP-Adresse der Firewall statt ihrer öffentlichen IP-Adresse übersetzen und filtern. Diese Funktion ist nützlich für Szenarien mit überlappenden Netzwerken oder nicht routingfähigem Netzwerkzugriff, bei denen herkömmliche öffentliche IP-DNAT nicht geeignet ist.

Private IP DNAT befasst sich mit zwei wichtigen Szenarien:

  • Überlappende Netzwerke: Wenn mehrere Netzwerke den gleichen IP-Adressraum gemeinsam nutzen
  • Nicht routingfähige Netzwerke: Wenn Sie über Netzwerke zugreifen müssen, die nicht direkt routingfähig sind

In diesem Tutorial erfahren Sie, wie:

  • Grundlegendes zu privaten IP DNAT-Anwendungsfällen
  • Bereitstellung der Azure Firewall mit privater IP-DNAT-Fähigkeit
  • Konfigurieren von DNAT-Regeln für überlappende Netzwerkszenarien
  • Konfigurieren von DNAT-Regeln für nicht routingfähige Netzwerkzugriffe
  • Testen privater IP DNAT-Funktionen
  • Überprüfen des Datenverkehrsflusses und der Regelverarbeitung

Voraussetzungen

  • Ein Azure-Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Azure Firewall Standard oder Premium (private IP DNAT wird in basic SKU nicht unterstützt)
  • Vertrautheit mit Azure-Netzwerkkonzepten
  • Grundlegendes zur Logik für die Verarbeitung von Azure Firewall-Regeln

Von Bedeutung

Private IP DNAT ist nur in Azure Firewall Standard und Premium SKUs verfügbar. Diese Funktion wird von der Standard-SKU nicht unterstützt.

Beschreibung des Szenarios

In diesem Lernprogramm werden zwei allgemeine private IP DNAT-Szenarien veranschaulicht:

Szenario 1: Überlappende Netzwerke

Sie verfügen über mehrere virtuelle Netzwerke, die denselben IP-Adressraum (z. B. 10.0.0.0/16) verwenden und ohne IP-Konflikte auf Ressourcen zugreifen müssen.

Szenario 2: Nicht routingfähiger Netzwerkzugriff

Sie müssen Zugriff auf Ressourcen in Netzwerken bereitstellen, die nicht direkt von der Quelle routingfähig sind, z. B. den Zugriff auf lokale Ressourcen über die Azure Firewall.

Bereitstellen der Umgebung

Verwenden Sie die bereitgestellte ARM-Vorlage, um die Testumgebung mit allen erforderlichen Komponenten zu erstellen.

Herunterladen der Bereitstellungsvorlage

  1. Laden Sie die ARM-Vorlage aus dem GitHub-Repository für Azure Network Security herunter.

  2. Speichern Sie die PrivateIpDnatArmTemplateV2.json Datei auf Ihrem lokalen Computer.

Bereitstellen mithilfe des Azure-Portals

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Ressource erstellen>Vorlagenbereitstellung (bereitstellen mit benutzerdefinierten Vorlagen) aus.

  3. Wählen Sie Eigene Vorlage im Editor erstellen.

  4. Löschen Sie den vorhandenen Inhalt, und fügen Sie den Inhalt der heruntergeladenen ARM-Vorlage ein.

  5. Wählen Sie Speichern aus.

  6. Geben Sie die folgenden Informationen an:

    • Abonnement: Wählen Sie Ihr Azure-Abonnement aus.
    • Ressourcengruppe: Erstellen einer neuen Ressourcengruppe oder Auswählen einer vorhandenen Ressourcengruppe
    • Region: Wählen Sie Ihre bevorzugte Azure-Region aus
    • Ort: Dieser Parameter wird basierend auf der ausgewählten Region automatisch ausgefüllt.

  7. Überprüfen Sie die Vorlagenparameter, und ändern Sie sie nach Bedarf.

  8. Wählen Sie Überprüfen + erstellen und danach Erstellen aus, um die Vorlage bereitzustellen.

Die Bereitstellung erstellt die folgenden Ressourcen:

  • Virtuelle Netzwerke für überlappende und nicht routingfähige Szenarien
  • Azure Firewall mit privater IP DNAT-Konfiguration
  • Virtuelle Computer zum Testen der Konnektivität
  • Netzwerksicherheitsgruppen und Routentabellen
  • Alle erforderlichen Netzwerkkomponenten

Hinweis

Die ARM-Vorlage enthält vorkonfigurierte DNAT-Regeln zum Testen beider Szenarien. Sie können diese Regeln nach der Bereitstellung überprüfen oder nach Bedarf für Ihre spezifischen Anforderungen ändern.

Überprüfen privater IP-DNAT-Regeln

Überprüfen Sie nach Abschluss der Bereitstellung, ob die DNAT-Regeln für beide Szenarien ordnungsgemäß erstellt wurden.

Überprüfen von Regeln für überlappende Netzwerke

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Firewall-Ressource (azfw-hub-vnet-1).

  2. Wählen Sie unter "Einstellungen" die Option "Firewallrichtlinie" aus.

  3. Wählen Sie die Firewallrichtlinie (fp-azfw-hub-vnet-1).

  4. Wählen Sie unter "Einstellungen" die Option "Regelsammlungsgruppen" aus.

  5. Wählen Sie diese Option DefaultDnatRuleCollectionGroup aus, um die vorkonfigurierten Regeln anzuzeigen.

Die folgenden DNAT-Regeln sollten angezeigt werden:

  • ToVM2-Http: Übersetzt 10.10.0.4:8010.10.2.4:80 (access hub-vnet-2 firewall from spoke-vnet-1)
  • ToVM2-Rdp: Übersetzt 10.10.0.4:5338810.10.2.4:3389 (RDP-Zugriff)
  • ToVM3-Http: Übersetzt 10.10.0.4:8080172.16.0.4:80 (access branch-vnet-1 von spoke-vnet-1)
  • ToVM3-Rdp: Übersetzt 10.10.0.4:53389172.16.0.4:3389 (RDP-Zugriff)

Überprüfen von Regeln für nicht routingfähige Netzwerke

  1. Navigieren Sie zur zweiten Azure Firewall-Ressource (azfw-hub-vnet-2).

  2. Wählen Sie unter "Einstellungen" die Option "Firewallrichtlinie" aus.

  3. Wählen Sie die Firewallrichtlinie (fp-azfw-hub-vnet-2).

  4. Wählen Sie unter "Einstellungen" die Option "Regelsammlungsgruppen" aus.

  5. Wählen Sie diese Option DefaultDnatRuleCollectionGroup aus, um die Regeln für das zweite Szenario anzuzeigen.

Die folgenden DNAT-Regeln sollten angezeigt werden:

  • ToVM2-Http: Übersetzt 10.10.2.4:80192.168.0.4:80 (Zugriff auf spoke-vnet-2 aus dem hub-vnet-1-Firewall-Subnetz)
  • ToVM2-Rdp: Übersetzt 10.10.2.4:3389192.168.0.4:3389 (RDP-Zugriff auf Spoke-vnet-2)

Diese Regeln veranschaulichen das überlappende Netzwerkszenario, in dem beide Speichennetzwerke den gleichen IP-Raum verwenden (192.168.0.0/24).

Einrichten virtueller Computer

Schließen Sie die VM-Konfiguration ab, indem Sie die bereitgestellten PowerShell-Skripts ausführen.

Konfigurieren des virtuellen Computers in Szenario 1 (überlappendes Netzwerk)

  1. Stellen Sie eine Verbindung mit dem virtuellen Computer win-vm-2 mithilfe von Azure Bastion oder RDP her.

  2. Öffnen Sie PowerShell als Administrator.

  3. Laden Sie das Konfigurationsskript herunter, und führen Sie es aus:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

Konfigurieren des virtuellen Computers in Szenario 2 (nicht routingfähiges Netzwerk)

  1. Stellen Sie eine Verbindung mit dem virtuellen Computer win-vm-3 mithilfe von Azure Bastion oder RDP her.

  2. Öffnen Sie PowerShell als Administrator.

  3. Laden Sie das Konfigurationsskript herunter, und führen Sie es aus:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

Testen privater IP DNAT-Funktionen

Stellen Sie sicher, dass die private IP DNAT-Konfiguration für beide Szenarien ordnungsgemäß funktioniert.

Test eines überlappenden Netzwerkszenarios

  1. Versuchen Sie von einem Clientcomputer im Quellnetzwerk, mithilfe des konfigurierten Ports eine Verbindung mit der privaten IP-Adresse der Azure Firewall herzustellen.

  2. Stellen Sie sicher, dass die Verbindung erfolgreich in den virtuellen Zielcomputer im überlappenden Netzwerk übersetzt wurde.

  3. Überprüfen Sie die Azure Firewall-Protokolle, um Regeltreffer und erfolgreiche Übersetzungen zu bestätigen.

Testen eines nicht routingfähigen Netzwerkszenarios

  1. Stellen Sie aus dem entsprechenden Quellnetzwerk eine Verbindung mit der privaten IP-Adresse der Azure Firewall her.

  2. Überprüfen Sie den Zugriff auf Ressourcen im nicht routingfähigen Netzwerk über die Firewall.

  3. Um die ordnungsgemäße Regelverarbeitung und den Datenverkehr sicherzustellen, überwachen Sie die Firewallprotokolle.

Überwachen und Probleme beheben

Verwenden Sie Azure Firewall-Diagnoseprotokolle und Metriken, um die Leistung privater IP-DNAT zu überwachen.

Diagnoseprotokollierung aktivieren

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Firewall-Ressource.

  2. Wählen Sie "Diagnoseeinstellungen>" und "Diagnoseeinstellung hinzufügen" aus.

  3. Konfigurieren Sie die Protokollierung für:

    • Azure Firewall-Anwendungsregelprotokoll
    • Azure Firewall-Netzwerkregelprotokoll
    • Azure Firewall NAT-Regelprotokoll

  4. Wählen Sie Ihr bevorzugtes Ziel aus (Log Analytics-Arbeitsbereich, Speicherkonto oder Event Hubs).

Wichtige Metriken, die überwacht werden sollen

Überwachen Sie die folgenden Metriken, um eine optimale Leistung sicherzustellen:

  • Verarbeitete Daten: Gesamtmenge der von der Firewall verarbeiteten Daten
  • Anzahl der Netzwerkregeltreffer: Anzahl der übereinstimmungen der Netzwerkregeln
  • Anzahl der NAT-Regeltreffer: Anzahl der übereinstimmenden DNAT-Regeln
  • Durchsatz: Firewall-Durchsatzleistung

Bewährte Methoden

Befolgen Sie bei der Implementierung privater IP-DNAT die folgenden bewährten Methoden:

  • Regelreihenfolge: Um eine korrekte Verarbeitungsreihenfolge sicherzustellen, platzieren Sie spezifischere Regeln mit niedrigerer Prioritätsnummern
  • Quellspezifikation: Verwenden Sie bestimmte Quell-IP-Bereiche anstelle von Wildcards, um eine bessere Sicherheit zu gewährleisten.
  • Netzwerksegmentierung: Um überlappende Netzwerke zu isolieren, implementieren Sie die richtige Netzwerksegmentierung.
  • Überwachung: Um Leistungsprobleme zu identifizieren, überwachen Sie regelmäßig Firewallprotokolle und Metriken
  • Tests: Um die Zuverlässigkeit in der Produktion zu gewährleisten, testen Sie alle DNAT-Regeln sorgfältig vor der Implementierung

Bereinigen von Ressourcen

Wenn Sie die Testumgebung nicht mehr benötigen, löschen Sie die Ressourcengruppe, um alle in diesem Lernprogramm erstellten Ressourcen zu entfernen.

  1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe.

  2. Wählen Sie die Option Ressourcengruppe löschen.

  3. Geben Sie den Namen der Ressourcengruppe ein, um den Löschvorgang zu bestätigen.

  4. Wählen Sie "Löschen" aus, um alle Ressourcen zu entfernen.

Nächste Schritte

In diesem Lernprogramm haben Sie erfahren, wie Sie private IP-DNAT von Azure Firewall für überlappende und nicht routingfähige Netzwerkszenarien bereitstellen und konfigurieren. Sie haben die Testumgebung bereitgestellt, DNAT-Regeln konfiguriert und überprüft.

Weitere Informationen zu Azure Firewall DNAT-Funktionen:

  • Last updated on