Partilhar via

Tutorial: Implantar DNAT IP privado do Firewall do Azure para redes sobrepostas e não roteáveis

O DNAT (Tradução de Endereço de Rede de Destino) privado do Firewall do Azure permite traduzir e filtrar o tráfego de entrada usando o endereço IP privado do firewall em vez de seu endereço IP público. Esse recurso é útil para cenários que envolvem redes sobrepostas ou acesso à rede não roteável onde o DNAT IP público tradicional não é adequado.

O DNAT IP privado aborda dois cenários principais:

  • Redes sobrepostas: quando várias redes compartilham o mesmo espaço de endereço IP
  • Redes não roteáveis: quando você precisa acessar recursos por meio de redes que não são diretamente roteáveis

Neste tutorial, aprenderás como:

  • Compreender os casos de uso de DNAT para IPs privados
  • Implantar o Firewall do Azure com o recurso DNAT IP privado
  • Configurar regras DNAT para cenários de rede sobrepostos
  • Configurar regras DNAT para acesso à rede não roteável
  • Testar a funcionalidade de DNAT de IP privado
  • Validar o fluxo de tráfego e o processamento de regras

Pré-requisitos

Importante

O DNAT de IP privado está disponível apenas nas SKUs Standard e Premium do Firewall do Azure. O Basic SKU não suporta esse recurso.

Descrição geral do cenário

Este tutorial demonstra dois cenários comuns de DNAT IP privado:

Cenário 1: Redes sobrepostas

Você tem várias redes virtuais que usam o mesmo espaço de endereço IP (por exemplo, 10.0.0.0/16) e precisam acessar recursos nessas redes sem conflitos de IP.

Cenário 2: Acesso à rede não roteável

Você precisa fornecer acesso a recursos em redes que não são diretamente roteáveis da origem, como acessar recursos locais por meio do Firewall do Azure.

Implantar o ambiente

Use o modelo ARM fornecido para criar o ambiente de teste com todos os componentes necessários.

Baixe o modelo de implantação

  1. Baixe o modelo ARM do repositório GitHub do Azure Network Security.

  2. Salve o PrivateIpDnatArmTemplateV2.json arquivo em sua máquina local.

Implantar usando o portal do Azure

  1. Inicie sessão no portal Azure.

  2. Selecione Criar um recurso>Implantação de modelo (implantar usando modelos personalizados).

  3. Selecione Crie o seu próprio modelo no editor.

  4. Exclua o conteúdo existente e cole o conteúdo do modelo ARM baixado.

  5. Selecione Guardar.

  6. Forneça as seguintes informações:

    • Assinatura: selecione sua assinatura do Azure
    • Grupo de recursos: crie um novo grupo de recursos ou selecione um existente
    • Região: selecione sua região preferida do Azure
    • Localização: este parâmetro é preenchido automaticamente com base na região selecionada

  7. Revise os parâmetros do modelo e modifique conforme necessário.

  8. Selecione Rever + criar e, em seguida, Criar para implementar o modelo.

A implantação cria os seguintes recursos:

  • Redes virtuais para cenários sobrepostos e não roteáveis
  • Firewall do Azure com configuração DNAT IP privada
  • Máquinas virtuais para testar a conectividade
  • Grupos de segurança de rede e tabelas de rotas
  • Todos os componentes de rede necessários

Observação

O modelo ARM inclui regras DNAT pré-configuradas para testar ambos os cenários. Você pode examinar essas regras após a implantação ou modificá-las conforme necessário para seus requisitos específicos.

Verificar regras de DNAT para IP privado

Após a conclusão da implantação, verifique se as regras DNAT foram criadas corretamente para ambos os cenários.

Verificar regras para redes sobrepostas

  1. No portal do Azure, navegue até o recurso do Firewall do Azure (azfw-hub-vnet-1).

  2. Em Configurações, selecione Política de firewall.

  3. Selecione a política de firewall (fp-azfw-hub-vnet-1).

  4. Em Configurações, selecione Grupos de coleta de regras.

  5. Selecione DefaultDnatRuleCollectionGroup para visualizar as regras pré-configuradas.

Você deve ver as seguintes regras DNAT:

  • ToVM2-Http: Traduz10.10.0.4:8010.10.2.4:80 (acede ao firewall do hub-vnet-2 a partir do spoke-vnet-1)
  • ToVM2-Rdp: Traduz 10.10.0.4:5338810.10.2.4:3389 (acesso RDP)
  • ToVM3-Http: Traduz 10.10.0.4:8080172.16.0.4:80 (acesso a branch-vnet-1 desde spoke-vnet-1)
  • ToVM3-Rdp: Traduz 10.10.0.4:53389172.16.0.4:3389 (acesso RDP)

Verificar regras para redes não roteáveis

  1. Navegue até o segundo recurso do Firewall do Azure (azfw-hub-vnet-2).

  2. Em Configurações, selecione Política de firewall.

  3. Selecione a política de firewall (fp-azfw-hub-vnet-2).

  4. Em Configurações, selecione Grupos de coleta de regras.

  5. Selecione DefaultDnatRuleCollectionGroup para ver as regras do segundo cenário.

Você deve ver as seguintes regras DNAT:

  • ToVM2-Http: Traduz10.10.2.4:80192.168.0.4:80 (acesso spoke-vnet-2 da sub-rede de firewall hub-vnet-1)
  • ToVM2-Rdp: Traduz 10.10.2.4:3389192.168.0.4:3389 (acesso RDP para spoke-vnet-2)

Essas regras demonstram o cenário de rede sobreposta em que ambas as redes spoke usam o mesmo espaço IP (192.168.0.0/24).

Configurar máquinas virtuais

Conclua a configuração da VM executando os scripts do PowerShell fornecidos.

Configurar VM no cenário 1 (rede sobreposta)

  1. Ligue-se à máquina virtual win-vm-2 usando Azure Bastion ou RDP.

  2. Abra o PowerShell como administrador.

  3. Faça o download e execute o script de configuração:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

Configurar VM no cenário 2 (rede não roteável)

  1. Ligue-se à máquina virtual win-vm-3 usando Azure Bastion ou RDP.

  2. Abra o PowerShell como administrador.

  3. Faça o download e execute o script de configuração:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

Testar a funcionalidade de DNAT de IP privado

Verifique se a configuração de DNAT IP privado funciona corretamente para ambos os cenários.

Cenário de teste de rede sobreposta

  1. Em uma máquina cliente na rede de origem, tente se conectar ao endereço IP privado do Firewall do Azure usando a porta configurada.

  2. Verifique se a conexão foi convertida com êxito para a VM de destino na rede sobreposta.

  3. Verifique os logs do Firewall do Azure para confirmar as ativações da regra e a tradução realizada com sucesso.

Testar cenário de rede não roteável

  1. Na rede de origem apropriada, conecte-se ao endereço IP privado do Firewall do Azure.

  2. Verifique o acesso a recursos na rede não roteável através do firewall.

  3. Para garantir o processamento adequado de regras e o fluxo de tráfego, monitore os logs do firewall.

Monitorar e solucionar problemas

Para monitorar o desempenho do DNAT IP privado, use os logs e métricas de diagnóstico do Firewall do Azure.

Ativar registo de diagnóstico

  1. No portal do Azure, navegue até o recurso do Firewall do Azure.

  2. Selecione Configurações de diagnóstico>+ Adicionar configuração de diagnóstico.

  3. Configure o registo para:

    • Log de Regras de Aplicação do Firewall do Azure
    • Registo de Regras de Rede do Firewall do Azure
    • Log de regras NAT do Firewall do Azure

  4. Escolha seu destino preferido (espaço de trabalho do Log Analytics, conta de armazenamento ou Hubs de Eventos).

Principais métricas a serem monitoradas

Para garantir o desempenho ideal, monitore estas métricas:

  • Dados processados: quantidade total de dados processados pelo firewall
  • Contagem de acertos de regras de rede: Número de regras de rede compatíveis
  • Contagem de acertos da regra NAT: Número de regras DNAT correspondentes
  • Taxa de transferência: desempenho da taxa de transferência do firewall

Melhores práticas

Siga estas práticas recomendadas ao implementar o DNAT de IP privado:

  • Ordenação de regras: para garantir a ordem de processamento correta, coloque regras mais específicas com números de prioridade mais baixos
  • Especificação de origem: use intervalos de IP de origem específicos em vez de curingas para melhor segurança
  • Segmentação de rede: para isolar redes sobrepostas, implementar segmentação de rede adequada
  • Monitoramento: para identificar problemas de desempenho, monitore regularmente os logs e métricas do firewall
  • Testes: Para garantir a confiabilidade na produção, teste minuciosamente todas as regras DNAT antes de implementar

Limpeza de recursos

Quando não precisar mais do ambiente de teste, exclua o grupo de recursos para remover todos os recursos criados neste tutorial.

  1. No portal do Azure, navegue até seu grupo de recursos.

  2. Selecione Eliminar grupo de recursos.

  3. Digite o nome do grupo de recursos para confirmar a exclusão.

  4. Selecione Excluir para remover todos os recursos.

Próximos passos

Neste tutorial, você aprendeu como implantar e configurar o DNAT IP privado do Firewall do Azure para cenários de rede sobrepostos e não roteáveis. Você implantou o ambiente de teste, configurou regras DNAT e validou a funcionalidade.

Para saber mais sobre os recursos DNAT do Firewall do Azure:

  • Last updated on