Freigeben über

Filtern von eingehendem Internet- oder Intranetdatenverkehr mit Azure Firewall-DNAT im Azure-Portal

Sie können azure Firewall Destination Network Address Translation (DNAT) so konfigurieren, dass eingehender Internetdatenverkehr in Ihre Subnetze oder den Intranetdatenverkehr zwischen privaten Netzwerken übersetzt und gefiltert wird. Wenn Sie DNAT konfigurieren, ist die Aktion für die NAT-Regelsammlung auf DNAT festgelegt. Jede Regel in der NAT-Regelsammlung kann dann verwendet werden, um die öffentliche oder private IP-Adresse und den Port Ihrer Firewall in eine private IP-Adresse und einen Port zu übersetzen. Mit DNAT-Regeln wird implizit eine entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Aus Sicherheitsgründen wird empfohlen, eine bestimmte Quelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu ermöglichen und die Verwendung von Wildcards zu vermeiden. Weitere Informationen zur Logik für die Azure Firewall-Regelverarbeitung finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.

Hinweis

In diesem Artikel werden für die Verwaltung der Firewall klassische Firewallregeln verwendet. Die bevorzugte Methode ist die Verwendung einer Firewallrichtlinie. Informationen zum Abschließen dieses Verfahrens mithilfe der Firewallrichtlinie finden Sie im Lernprogramm: Filtern eingehender Internetdatenverkehr mit Azure Firewall Policy DNAT mithilfe des Azure-Portals.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

  1. Melden Sie sich beim Azure-Portal an.
  2. Klicken Sie auf der Startseite des Azure-Portals auf Ressourcengruppen und dann auf Erstellen.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie unter Ressourcengruppe die Zeichenfolge RG-DNAT-Test ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Einrichten der Netzwerkumgebung

In diesem Artikel erstellen Sie zwei mittels Peering verknüpfte VNets:

  • VN-Hub – die Firewall befindet sich in diesem virtuellen Netzwerk.
  • VN-Spoke – der Workloadserver befindet sich in diesem virtuellen Netzwerk.

Erstellen Sie zuerst die VNETs, und führen Sie anschließend das Peering dafür durch.

Erstellen des virtuellen Hubnetzwerks

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  5. Geben Sie unter Name den Namen VN-Hub ein.
  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.
  9. Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.
  10. Wählen Sie unter Subnetze die Option Standard aus.
  11. Wählen Sie unter Subnetzvorlage die Vorlage Azure Firewall aus.

Die Firewall befindet sich in diesem Subnetz, und der Subnetzname muss AzureFirewallSubnet sein.

Hinweis

Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  1. Wählen Sie Speichern aus.
  2. Klicken Sie auf Überprüfen + erstellen.
  3. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Spoke-Netzwerks

  1. Wählen Sie auf der Startseite des Azure-Portals Alle Dienste aus.
  2. Klicken Sie unter Netzwerk auf Virtuelle Netzwerke.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  5. Geben Sie unter Name den Namen VN-Spoke ein.
  6. Wählen Sie für Region dieselbe Region aus, die Sie zuvor bereits verwendet haben.
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Registerkarte Sicherheit die Option Weiter aus.
  9. Bearbeiten Sie unter IPv4-Adressraum die Standardeinstellung, und geben Sie 192.168.0.0/16 ein.
  10. Wählen Sie unter Subnetze die Option Standard aus.
  11. Geben Sie für den SubnetznamenSN-Workload ein.
  12. Geben Sie unter Startadresse den Wert 192.168.1.0 ein.
  13. Wählen Sie unter Subnetzgröße die Option /24 aus.
  14. Wählen Sie Speichern aus.
  15. Klicken Sie auf Überprüfen + erstellen.
  16. Klicken Sie auf Erstellen.

Verknüpfen der VNETs per Peering

Führen Sie nun das Peering für die beiden VNETs durch.

  1. Klicken Sie auf das virtuelle Netzwerk VN-Hub.
  2. Klicken Sie unter Einstellungen auf Peerings.
  3. Wählen Sie Hinzufügen.
  4. Geben Sie unter This virtual network (Dieses virtuelle Netzwerk) für Peering link name (Name des Peeringlinks) Peer-HubSpoke ein.
  5. Geben Sie unter Virtuelles Remotenetzwerk für Peering link name (Name des Peeringlinks) Peer-SpokeHub ein.
  6. Wählen Sie VN-Spoke für das virtuelle Netzwerk aus.
  7. Übernehmen Sie alle anderen Standardwerte, und klicken Sie auf Hinzufügen.

Erstellen eines virtuellen Computers

Erstellen Sie einen virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz SN-Workload an.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressource erstellen aus.
  2. Wählen Sie unter Beliebte Marketplace-Produkte die Option Windows Server 2019 Datacenter aus.

Grundlagen

  1. Wählen Sie unter Abonnement Ihr Abonnement aus.
  2. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.
  3. Geben Sie unter Name des virtuellen ComputersSrv-Workload ein.
  4. Wählen Sie unter Region denselben Standort aus wie zuvor.
  5. Geben Sie einen Benutzernamen und ein Kennwort ein.
  6. Wählen Sie Weiter: Datenträger aus.

Datenträger

  1. Wählen Sie Weiter: Netzwerk aus.

Netzwerk

  1. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.
  2. Wählen Sie unter Subnetz die Option SN-Workload.
  3. Wählen Sie unter Öffentliche IP die Option Keine aus.
  4. Klicken Sie unter Öffentliche Eingangsports auf Keine.
  5. Lassen Sie die restlichen Standardeinstellungen unverändert, und klicken Sie auf Weiter: Verwaltung.

Verwaltung

  1. Wählen Sie Weiter: Überwachung aus.

Überwachung

  1. Wählen Sie für VerwaltungDeaktivieren aus.
  2. Klicken Sie auf Überprüfen + erstellen.

Überprüfen + erstellen

Überprüfen Sie die Zusammenfassung, und klicken Sie auf Erstellen. Dieser Vorgang dauert einige Minuten.

Notieren Sie sich nach Abschluss der Bereitstellung die private IP-Adresse des virtuellen Computers. Sie benötigen diese IP-Adresse später beim Konfigurieren der Firewall. Wählen Sie den Namen des virtuellen Computers aus, wechseln Sie zu "Übersicht", und notieren Sie sich unter "Netzwerk" die private IP-Adresse.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eins der folgenden Ereignisse auftritt:

  • Der VM wird eine öffentliche IP-Adresse zugewiesen.
  • Die VM wird im Back-End-Pool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
  • Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellt werden, haben keinen standardmäßigen ausgehenden Zugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Bereitstellen der Firewall

  1. Wählen Sie auf der Startseite des Portals Ressource erstellen aus.

  2. Suchen Sie nach Firewall, und wählen Sie dann Firewall aus.

  3. Klicken Sie auf Erstellen.

  4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

    Einstellung Wert
    Subscription <Ihr Abonnement>
    Ressourcengruppe Wählen Sie RG-DNAT-Test aus.
    Name FW-DNAT-Test
    Region Wählen Sie denselben zuvor verwendeten Ort aus
    Firewall-SKU Norm
    Firewallverwaltung Use Firewall rules (classic) to manage this firewall (Firewallregeln (klassisch) zum Verwalten dieser Firewall verwenden)
    Virtuelles Netzwerk auswählen Vorhandene verwenden: VN-Hub
    Öffentliche IP-Adresse Neuen Namen hinzufügen: fw-pip

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Überprüfen + erstellen.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann "Erstellen" aus, um die Firewall bereitzustellen.

    Dieser Vorgang dauert einige Minuten.

  7. Wechseln Sie nach Abschluss der Bereitstellung zur Ressourcengruppe "RG-DNAT-Test" , und wählen Sie die FW-DNAT-Testfirewall aus.

  8. Notieren Sie sich die private und öffentliche IP-Adresse der Firewall. Sie verwenden sie später beim Erstellen der Standardrouten- und NAT-Regel.

Erstellen einer Standardroute

Konfigurieren Sie für das SN-Workload-Subnetz die ausgehende Standardroute, um die Firewall zu durchlaufen.

Wichtig

Sie müssen keine explizite Route zurück zur Firewall im Zielsubnetz konfigurieren. Azure Firewall ist ein zustandsbehafteter Dienst und verarbeitet die Pakete und Sitzungen automatisch. Die Erstellung dieser Route würde zu einer asymmetrischen Routingumgebung führen, die die zustandsbehaftete Sitzungslogik unterbricht und verworfene Pakete und Verbindungen verursacht.

  1. Wählen Sie auf der Startseite des Azure-Portals Ressource erstellen aus.

  2. Suchen Sie nach Routingtabelle, und wählen Sie sie aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie unter Abonnement Ihr Abonnement aus.

  5. Wählen Sie für RessourcengruppeRG-DNAT-Test aus.

  6. Wählen Sie für "Region" die zuvor verwendete Region aus.

  7. Geben Sie unter Name den Namen RT-FWroute ein.

  8. Klicken Sie auf Überprüfen + erstellen.

  9. Klicken Sie auf Erstellen.

  10. Wählen Sie Zu Ressource wechseln aus.

  11. Klicken Sie auf Subnetze und dann auf Zuordnen.

  12. Klicken Sie unter Virtuelles Netzwerk auf VN-Spoke.

  13. Wählen Sie unter Subnetz die Option SN-Workload.

  14. Klicken Sie auf OK.

  15. Klicken Sie auf Routen und dann auf Hinzufügen.

  16. Geben Sie unter Routenname die Zeichenfolge FW-DG ein.

  17. Wählen Sie unter Zieltyp die Option IP-Adressen aus.

  18. Geben Sie 0.0.0.0/0 für Ziel-IP-Adressen/CIDR-Bereiche ein.

  19. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist ein verwalteter Dienst, aber die Auswahl der virtuellen Appliance funktioniert in dieser Situation.

  20. Geben Sie für die Adresse des nächsten Hops die private IP-Adresse der zuvor erwähnten Firewall ein.

  21. Wählen Sie Hinzufügen.

Konfigurieren einer NAT-Regel

  1. Öffnen Sie die Ressourcengruppe RG-DNAT-Test, und wählen Sie die Firewall FW-DNAT-test aus.
  2. Klicken Sie auf der Seite FW-DNAT-test unter Einstellungen auf Rules (classic) (Regeln (klassisch)).
  3. Klicken Sie auf NAT-Regelsammlung hinzufügen.
  4. Geben Sie unter Name den Namen RC-DNAT-01 ein.
  5. Geben Sie für Priorität den Wert 200 ein.
  6. Geben Sie unter Regeln für Name die Zeichenfolge RL-01 ein.
  7. Wählen Sie für Protokoll die Option TCP aus.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Geben Sie unter Quelle „*“ ein.
  10. Geben Sie für Zieladressen die öffentliche IP-Adresse der Firewall ein.
  11. Geben Sie unter Zielports den Wert 3389 ein.
  12. Geben Sie für übersetzte Adresse die private IP-Adresse des virtuellen Computers Srv-Workload ein.
  13. Geben Sie für Übersetzter Port den Wert 3389 ein.
  14. Wählen Sie Hinzufügen.

Dieser Vorgang dauert einige Minuten.

Testen der Firewall

  1. Verbinden Sie einen Remotedesktop mit der öffentlichen IP-Adresse der Firewall. Sie sollten mit dem virtuellen Computer Srv-Workload verbunden werden.
  2. Schließen Sie den Remotedesktop.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe RG-DNAT-Test löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Als Nächstes können Sie die Azure Firewall-Protokolle überwachen.

Tutorial: Überwachen von Azure Firewall-Protokollen