Dela via

Självstudie: Distribuera privat IP-DNAT för Azure Firewall för överlappande och icke-utfällbara nätverk

Med privat IP-DNAT för Azure Firewall (målnätverksadressöversättning) kan du översätta och filtrera inkommande trafik med hjälp av brandväggens privata IP-adress i stället för dess offentliga IP-adress. Den här funktionen är användbar för scenarier med överlappande nätverk eller icke-utbar nätverksåtkomst där traditionell offentlig IP-DNAT inte är lämplig.

Privat IP-DNAT hanterar två viktiga scenarier:

  • Överlappande nätverk: När flera nätverk delar samma IP-adressutrymme
  • Icke-dirigerbara nätverk: När du behöver komma åt resurser via nätverk som inte är direkt dirigerbara

I den här tutorialen lär du dig följande:

  • Förstå privata IP DNAT-användningsfall
  • Distribuera Azure Firewall med privat IP DNAT-funktion
  • Konfigurera DNAT-regler för överlappande nätverksscenarier
  • Konfigurera DNAT-regler för icke-dirigerbar nätverksåtkomst
  • Testa funktionalitet för privat IP-DNAT
  • Verifiera trafikflöde och regelbearbetning

Förutsättningar

Viktigt!

Privat IP-DNAT är endast tillgängligt i Azure Firewall Standard- och Premium-SKU:er. Basic SKU stöder inte den här funktionen.

Scenarioöversikt

Den här självstudien visar de två vanliga privata IP DNAT-scenarierna:

Scenario 1: Överlappade nätverk

Du har flera virtuella nätverk som använder samma IP-adressutrymme (till exempel 10.0.0.0/16) och behöver komma åt resurser i dessa nätverk utan IP-konflikter.

Scenario 2: Icke-utbar nätverksåtkomst

Du måste ge åtkomst till resurser i nätverk som inte kan dirigeras direkt från källan, till exempel åtkomst till lokala resurser via Azure Firewall.

Distribuera miljön

Använd den angivna ARM-mallen för att skapa testmiljön med alla nödvändiga komponenter.

Ladda ned distributionsmallen

  1. Ladda ned ARM-mallen från GitHub-lagringsplatsen för Azure Network Security.

  2. Spara filen på den lokala datorn PrivateIpDnatArmTemplateV2.json.

Distribuera med Hjälp av Azure-portalen

  1. Logga in på Azure-portalen.

  2. Välj Skapa en resurs>Mallsdistribution (distribuera med anpassade mallar).

  3. Välj alternativet för att skapa din egen mall i redigeringsprogrammet.

  4. Ta bort det befintliga innehållet och klistra in innehållet i den nedladdade ARM-mallen.

  5. Välj Spara.

  6. Tillhandahåll följande information:

    • Prenumeration: Välj din Azure-prenumeration
    • Resursgrupp: Skapa en ny resursgrupp eller välj en befintlig
    • Region: Välj önskad Azure-region
    • Plats: Den här parametern fylls i automatiskt baserat på den valda regionen

  7. Granska mallparametrarna och ändra efter behov.

  8. Välj Granska + skapa och sedan Skapa för att distribuera mallen.

Driftsättningen skapar följande resurser:

  • Virtuella nätverk för överlappande och icke-utfällbara scenarier
  • Azure Firewall med privat IP DNAT-konfiguration
  • Virtuella datorer för att testa anslutningen
  • Nätverkssäkerhetsgrupper och routningstabeller
  • Alla nödvändiga nätverkskomponenter

Anmärkning

ARM-mallen innehåller förkonfigurerade DNAT-regler för testning av båda scenarierna. Du kan undersöka dessa regler efter distributionen eller ändra dem efter behov för dina specifika krav.

Verifiera privata IP DNAT-regler

När distributionen är klar kontrollerar du att DNAT-reglerna har skapats korrekt för båda scenarierna.

Verifiera regler för överlappande nätverk

  1. I Azure-portalen går du till din Azure Firewall-resurs (azfw-hub-vnet-1).

  2. Under Inställningar väljer du Brandväggsprincip.

  3. Välj brandväggsprincipen (fp-azfw-hub-vnet-1).

  4. Under Inställningar väljer du Regelsamlingsgrupper.

  5. Välj DefaultDnatRuleCollectionGroup för att visa de förkonfigurerade reglerna.

Du bör se följande DNAT-regler:

  • ToVM2-Http: Översätter 10.10.0.4:8010.10.2.4:80 (åtkomst till brandväggen hub-vnet-2 från spoke-vnet-1)
  • ToVM2-Rdp: Översätter 10.10.0.4:5338810.10.2.4:3389 (RDP-åtkomst)
  • ToVM3-Http: Översätter 10.10.0.4:8080172.16.0.4:80 (åtkomst till branch-vnet-1 från spoke-vnet-1)
  • ToVM3-Rdp: Översätter 10.10.0.4:53389172.16.0.4:3389 (RDP-åtkomst)

Verifiera regler för icke-routbara nätverk

  1. Gå till den andra Azure Firewall-resursen (azfw-hub-vnet-2).

  2. Under Inställningar väljer du Brandväggsprincip.

  3. Välj brandväggsprincipen (fp-azfw-hub-vnet-2).

  4. Under Inställningar väljer du Regelsamlingsgrupper.

  5. Välj DefaultDnatRuleCollectionGroup för att visa reglerna för det andra scenariot.

Du bör se följande DNAT-regler:

  • ToVM2-Http: Översätter 10.10.2.4:80192.168.0.4:80 (åtkomst till spoke-vnet-2 från brandväggsundernätet hub-vnet-1)
  • ToVM2-Rdp: Översätter 10.10.2.4:3389192.168.0.4:3389 (RDP-åtkomst till spoke-vnet-2)

Dessa regler visar det överlappande nätverksscenariot där båda spoke-nätverken använder samma IP-adressutrymme (192.168.0.0/24).

Konfigurera virtuella datorer

Slutför konfigurationen av den virtuella datorn genom att köra de angivna PowerShell-skripten.

Konfigurera virtuell dator i scenario 1 (överlappat nätverk)

  1. Anslut till den virtuella datorn win-vm-2 med Hjälp av Azure Bastion eller RDP.

  2. Öppna PowerShell som administratör.

  3. Ladda ned och kör konfigurationsskriptet:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

Konfigurera VM i scenario 2 (ickevägbart nätverk)

  1. Anslut till den virtuella datorn win-vm-3 med Hjälp av Azure Bastion eller RDP.

  2. Öppna PowerShell som administratör.

  3. Ladda ned och kör konfigurationsskriptet:

    # Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

Testa funktionalitet för privat IP-DNAT

Kontrollera att den privata IP DNAT-konfigurationen fungerar korrekt för båda scenarierna.

Testa överlappande nätverksscenario

  1. Från en klientdator i källnätverket försöker du ansluta till den privata IP-adressen för Azure Firewall med hjälp av den konfigurerade porten.

  2. Kontrollera att anslutningen har översatts till den virtuella måldatorn i det överlappande nätverket.

  3. Kontrollera Azure Firewall-loggarna för att bekräfta regelträffar och lyckad översättning.

Testa ett icke-routbart nätverksscenario

  1. Anslut till den privata IP-adressen för Azure Firewall från lämpligt källnätverk.

  2. Kontrollera åtkomsten till resurser i det icke-utfällbara nätverket via brandväggen.

  3. Övervaka brandväggsloggarna för att säkerställa korrekt regelbearbetning och trafikflöde.

Övervaka och felsöka

För att övervaka prestanda hos privata IP DNAT använder du diagnostikloggar och metrik för Azure Firewall.

Aktivera diagnostikloggning

  1. I Azure-portalen navigerar du till din Azure Firewall-resurs.

  2. Välj Diagnostikinställningar>+ Lägg till diagnostikinställning.

  3. Konfigurera loggning för:

    • Regellogg för Azure Firewall-program
    • Nätverksregellogg för Azure Firewall
    • NAT-regellogg för Azure Firewall

  4. Välj önskat mål (Log Analytics-arbetsyta, lagringskonto eller händelsehubbar).

Viktiga mått att övervaka

Övervaka dessa mått för att säkerställa optimala prestanda:

  • Bearbetade data: Total mängd data som bearbetas av brandväggen
  • Antal nätverksregler: Antal nätverksregler som matchas
  • Träffantal för NAT-regler: Antal DNAT-regler som träffats
  • Dataflöde: Prestanda för brandväggsdataflöde

Metodtips

Följ dessa metodtips när du implementerar privat IP DNAT:

  • Regelordning: För att säkerställa korrekt bearbetningsordning, placera mer specifika regler med lägre prioritetsnummer
  • Källspecifikation: Använd specifika käll-IP-intervall i stället för jokertecken för bättre säkerhet
  • Nätverkssegmentering: Implementera korrekt nätverkssegmentering för att isolera överlappande nätverk
  • Övervakning: För att identifiera prestandaproblem övervakar du regelbundet brandväggsloggar och mått
  • Testning: För att säkerställa tillförlitligheten i produktionen bör du noggrant testa alla DNAT-regler innan du implementerar

Rensa resurser

När du inte längre behöver testmiljön tar du bort resursgruppen för att ta bort alla resurser som skapats i den här självstudien.

  1. I Azure Portal går du till resursgruppen.

  2. Välj Ta bort resursgrupp.

  3. Ange resursgruppens namn för att bekräfta borttagningen.

  4. Välj Ta bort för att ta bort alla resurser.

Nästa steg

I den här självstudien har du lärt dig hur du distribuerar och konfigurerar privat IP-DNAT i Azure Firewall för överlappande och icke-utfällbara nätverksscenarier. Du distribuerade testmiljön, konfigurerade DNAT-regler och verifierade funktioner.

Om du vill veta mer om DNAT-funktioner i Azure Firewall: