Delen via

Zelfstudie: Binnenkomend internetverkeer filteren met Azure Firewall policy DNAT met behulp van Azure Portal

U kunt Azure Firewall Policy Destination Network Address Translation (DNAT) configureren om inkomend internetverkeer naar uw subnetten te vertalen en filteren. Wanneer u DNAT configureert, wordt de regelverzamelingsactie ingesteld op DNAT. Elke regel in de NAT-regelverzameling kan vervolgens worden gebruikt om het openbare IP-adres en de poort van uw firewall te vertalen naar een privé-IP-adres en -poort. Met DNAT-regels wordt impliciet een overeenkomende netwerkregel toegevoegd om het vertaalde verkeer toe te staan. Om veiligheidsredenen is het raadzaam om een specifieke bron toe te voegen om DNAT-toegang tot het netwerk toe te staan en jokertekens te voorkomen. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.

Deze handleiding laat zien hoe u een webserver publiceert met behulp van DNAT.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en beleid implementeren
  • Een standaardroute maken
  • Een webserver implementeren en configureren
  • Een DNAT-regel configureren om de webserver te publiceren
  • De firewall testen

Vereiste voorwaarden

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een brongroep maken

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer op de startpagina van Azure Portal Resourcegroepen en vervolgens Toevoegen.
  3. Selecteer uw abonnement bij Abonnement.
  4. Bij Resourcegroepnaam typt u RG-DNAT-Test.
  5. Selecteer een regio voor Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Kies Beoordelen + creëren.
  7. Selecteer Aanmaken.

De netwerkomgeving instellen

In deze handleiding maakt u twee VNets die met elkaar gekoppeld zijn als peers.

  • VN-Hub: de firewall bevindt zich in dit VNet.
  • VN-Spoke: de workloadserver bevindt zich in dit VNet.

Maak eerst de VNets en peer ze.

Een hub-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Onder Netwerken selecteert u Virtuele netwerken.

  3. Selecteer Toevoegen.

  4. Selecteer resourcegroep en kies RG-DNAT-Test.

  5. Bij Naam typt u VN-Hub.

  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.

  7. Selecteer Volgende: IP-adressen.

  8. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  9. Onder Subnetnaam selecteert u standaard.

  10. Bewerk de naam van het subnet en typ AzureFirewallSubnet.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

    Notitie

    De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  11. Voor subnetadresbereik typt u 10.0.1.0/26.

  12. Selecteer Opslaan.

  13. Kies Beoordelen + creëren.

  14. Selecteer Aanmaken.

Een spoke-VNet maken

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.
  2. Onder Netwerken selecteert u Virtuele netwerken.
  3. Selecteer Toevoegen.
  4. Selecteer resourcegroep en kies RG-DNAT-Test.
  5. Bij Naam typt u VN-Spoke.
  6. Selecteer voor Regio dezelfde regio die u eerder hebt gebruikt.
  7. Selecteer Volgende: IP-adressen.
  8. Bewerk voor IPv4-adresruimte de standaardinstelling en typ 192.168.0.0/16.
  9. Selecteer Subnet toevoegen.
  10. Voor de naam van het subnet typt u SN-Workload.
  11. Typ 192.168.1.0/24 bij Subnetadresbereik.
  12. Selecteer Toevoegen.
  13. Kies Beoordelen + creëren.
  14. Selecteer Aanmaken.

VNets peeren

Nu gaat u de twee VNets onderling koppelen.

  1. Selecteer het virtuele netwerk VN-Hub.
  2. Selecteer onder Instellingen de optie Peerings.
  3. Selecteer Toevoegen.
  4. Onder dit virtuele netwerk typ voor de naam van de peeringkoppelingPeer-HubSpoke.
  5. Typ Peer-SpokeHub voor Peering linknaam onder Extern virtueel netwerk.
  6. Selecteer VN-Spoke voor het virtuele netwerk.
  7. Accepteer alle andere standaardwaarden en selecteer Vervolgens Toevoegen.

Maak een virtuele machine

Maak een virtuele machine met de naam 'workload' en plaats deze in het subnet SN-Workload.

  1. Selecteer Een resource maken in het menu van Azure Portal.
  2. Selecteer onder PopulairUbuntu Server 22.04 LTS.

Basisinstellingen

  1. Selecteer uw abonnement bij Abonnement.
  2. Selecteer resourcegroep en kies RG-DNAT-Test.
  3. Typ Srv-Workload voor Identiteit van virtuele machine.
  4. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  5. Voor Image selecteert u Ubuntu Server 22.04 LTS - x64 Gen2.
  6. Kies voor Grootte de optie Standard_B2s.
  7. Selecteer voor verificatietypede openbare SSH-sleutel.
  8. Bij Gebruikersnaamtypt u azureuser.
  9. Selecteer voor de SSH openbare sleutelbron de optie Nieuw sleutelpaar genereren.
  10. Voor de naam van het sleutelpaar typt u Srv-Workload_key.
  11. Selecteer Geen in openbare binnenkomende poorten.
  12. Selecteer Volgende: Schijven.

schijven

  • Selecteer Volgende: Netwerken.

Netwerken

  1. Bij Virtueel netwerk selecteert u VN-Spoke.
  2. Bij Subnet selecteert u SN-Workload.
  3. Selecteer Geen voor Openbaar IP.
  4. Bij Openbare binnenkomende poorten selecteert u Geen.
  5. Laat de overige standaardinstellingen staan en selecteer Volgende: Beheer.

Beheer

  • Selecteer Volgende: Monitoring.

Toezicht

  1. Selecteer Uitschakelen voor Opstartdiagnose.
  2. Selecteer Beoordelen en Creëren.

Beoordelen en maken

Controleer de samenvatting en selecteer Aanmaken.

  • Selecteer in het dialoogvenster Nieuw sleutelpaar genereren de optie Persoonlijke sleutel downloaden en resource maken. Sla het sleutelbestand op als Srv-Workload_key.pem.

Als de implementatie is voltooid, ziet u het privé IP-adres voor de virtuele machine. Noteer dit voor later gebruik, wanneer u de firewall gaat configureren. Selecteer de naam van de virtuele machine en selecteer onder Instellingen de optie Netwerken om het privé-IP-adres te vinden.

Webserver installeren

Gebruik de opdrachtfunctie Uitvoeren in Azure Portal om een webserver op de virtuele machine te installeren.

  1. Navigeer naar de virtuele Srv-Workload-machine in Azure Portal.

  2. Selecteer onder Bewerkingende opdracht Uitvoeren.

  3. Selecteer RunShellScript.

  4. Plak het volgende script in het Run Command Script venster:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<h1>Azure Firewall DNAT Demo - $(hostname)</h1>" | sudo tee /var/www/html/index.html

  5. Selecteer Voeruit.

  6. Wacht totdat het script is voltooid. De uitvoer moet een geslaagde installatie van Nginx weergeven.

De firewall en het beleid implementeren

  1. Selecteer op de startpagina van de portal Een resource maken.

  2. Zoek naar firewall en selecteer vervolgens Firewall.

  3. Selecteer Aanmaken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Configuratie Waarde
    Abonnement <uw abonnement>
    Resourcegroep RG-DNAT-Test selecteren
    Naam FW-DNAT-test
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Nieuwe toevoegen:
    fw-dnat-pol
    uw geselecteerde regio
    Een virtueel netwerk kiezen Bestaande gebruiken: VN-Hub
    Openbaar IP-adres Voeg nieuwe, naam toe: fw-pip.

  5. Schakel het selectievakje naast Firewall Management NIC inschakelen uit.

  6. Accepteer de andere standaardwaarden en selecteer Vervolgens Beoordelen en maken.

  7. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het implementeren duurt een paar minuten.

  8. Nadat de implementatie is voltooid, gaat u naar de resourcegroep RG-DNAT-Test en selecteert u de firewall FW-DNAT-test.

  9. Noteer de privé- en openbare IP-adressen van de firewall. U gebruikt deze later wanneer u de standaardroute en NAT-regel maakt.

Een standaardroute maken

Voor het subnet SN-Workload configureert u dat de standaardroute voor uitgaand verkeer via de firewall loopt.

Belangrijk

U hoeft geen expliciete route terug te configureren naar de firewall op het doelsubnet. Azure Firewall is een stateful service en verwerkt de pakketten en sessies automatisch. Als u deze route maakt, maakt u een asymmetrische routeringsomgeving die de stateful sessielogica onderbreekt en resulteert in verwijderde pakketten en verbindingen.

  1. Selecteer op de startpagina van Azure Portal de optie Alle services.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Toevoegen.

  4. Selecteer uw abonnement bij Abonnement.

  5. Selecteer resourcegroep en kies RG-DNAT-Test.

  6. Bij Regio selecteert u dezelfde regio die u eerder hebt gebruikt.

  7. Bij Naam typt u RT-FW-route.

  8. Kies Beoordelen + creëren.

  9. Selecteer Aanmaken.

  10. Klik op Ga naar bron.

  11. Selecteer Subnetten en vervolgens Koppelen.

  12. Bij Virtueel netwerk selecteert u VN-Spoke.

  13. Bij Subnet selecteert u SN-Workload.

  14. Kies OK.

  15. Selecteer Routes en vervolgens Toevoegen.

  16. Bij Routenaam typt u fw-dg.

  17. Bij Adresvoorvoegsel typt u 0.0.0.0/0.

  18. Selecteer voor Volgend hoptype de optie Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  19. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  20. Kies OK.

Een DNAT-regel configureren

Met deze regel kan binnenkomend HTTP-verkeer van internet de webserver bereiken via de firewall.

  1. Open de resourcegroep RG-DNAT-Test en selecteer het firewallbeleid fw-dnat-pol .
  2. Selecteer onder Instellingen DNAT-regels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Bij Naam typt u webtoegang.
  5. Bij Prioriteit typt u 200.
  6. Selecteer DefaultDnatRuleCollectionGroup voor regelverzamelingsgroep.
  7. Typ http-dnat onder Regels voor Naam.
  8. Selecteer IP-adres bij Brontype.
  9. Typ voor Bron* om verkeer van elke bron toe te staan.
  10. Bij Protocol selecteert u TCP.
  11. Typ bij Doelpoorten80.
  12. Bij Doeltype selecteert u IP-adres.
  13. Typ voor Bestemming het openbare IP-adres van de firewall.
  14. Voor vertaald adres typt u het privé-IP-adres van Srv-Workload .
  15. Voor vertaalde poorttypt u 80.
  16. Selecteer Toevoegen.

De firewall testen

Test nu de DNAT-regel om te controleren of de webserver toegankelijk is via de firewall.

  1. Open een webbrowser.
  2. Navigeer naar http://<firewall-public-ip> (gebruik het openbare IP-adres van de firewall dat u eerder hebt genoteerd).
  3. Je zou de webpagina moeten zien die wordt weergegeven: Azure Firewall DNAT Demo - Srv-Workload

De DNAT-regel vertaalt de binnenkomende HTTP-aanvraag op het openbare IP-adres van de firewall naar het privé-IP-adres van de webserver. Dit laat zien hoe Azure Firewall DNAT kan worden gebruikt om webtoepassingen te publiceren en tegelijkertijd de back-endservers in een privésubnet te bewaren.

De hulpbronnen opschonen

U kunt de firewall-resources behouden voor de volgende zelfstudie. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep RG-DNAT-Test om alle aan de firewall gerelateerde resources te verwijderen.

Volgende stappen

Zie voor geavanceerde DNAT-scenario's met overlappende netwerken of niet-routeerbare netwerktoegang:

Privé-IP-DNAT van Azure Firewall implementeren voor overlappende en niet-routeerbare netwerken

  • Last updated on