Azure Firewall 实现DNAT

首先还是围绕着我们的架构图来说，这次要实现的是通过FW来做SNAT和DNAT，假设我们有web服务器在FW所在的VNET或者peering连接的VNET，我们希望能通过FW进行流量控制，这样就需要做DNAT实现了，如果我们在VNET中的web服务器想通过FW来访问internet，这就需要SNAT来实现，这些都可以通过配置来实现，下边就来说说怎么玩

VNET的创建就不讲了，先来看怎么建Firewall, firewall创建很简单，可以直接在Portal手动创建，要注意的是，FW需要VNET中有一个名为AzureFirewallSubnet的子网，所以需要先手工创建好subnet

创建子网

有了子网之后就可以正常创建FW了

之后FW就创建好了

FW创建好了以后，并不会直接生效，我们需要配置一些规则来让网络流量经过FW，首先来看入站的流量如何经过FW，想要入站流量经过FW，我们需要做DNAT实现，在FW里可以直接配置NAT规则

同region的peering VNET有web服务器一台，可以通过公网访问

我们的目标是要让访问web服务器的流量先经过FW，再到web服务器，我们来看下这个DNAT怎么实现，首先直接在规则里添加NAT规则

这里需要注意下配置的原则

Destination address: 防火墙的公网IP

Translated address: web服务器的内网IP

Translated port: web服务器的端口

配置完成后，可以直接访问防火墙的地址，就能直接访问到web服务器了