Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall DNAT (Destination Network Address Translation)-Regeln werden verwendet, um eingehenden Datenverkehr zu filtern und umzuleiten. Sie ermöglichen es Ihnen, die öffentlich zugängliche Ziel-IP-Adresse und den Port des eingehenden Datenverkehrs in eine private IP-Adresse und einen Port in Ihrem Netzwerk zu übersetzen. Dies ist nützlich, wenn Sie einen Dienst verfügbar machen möchten, der auf einer privaten IP (z. B. einem Webserver oder SSH-Endpunkt) im Internet oder in einem anderen Netzwerk ausgeführt wird.
Eine DNAT-Regel gibt Folgendes an:
- Quelle: Die Quell-IP-Adresse oder IP-Gruppe, aus der der Datenverkehr stammt.
- Ziel: Die Ziel-IP-Adresse der Azure Firewall-Instanz.
- Protokoll: Das für den Datenverkehr verwendete Protokoll (TCP oder UDP).
- Zielport: Der Port der Azure Firewall-Instanz, die den Datenverkehr empfängt.
- Übersetzte Adresse: Die private IP-Adresse oder der FQDN, an die der Datenverkehr weitergeleitet werden soll.
- Übersetzter Port: Der Port auf der übersetzten Adresse, an die der Datenverkehr weitergeleitet werden soll.
Wenn ein Paket mit der DNAT-Regel übereinstimmt, ändert Azure Firewall die Ziel-IP-Adresse und den Port des Pakets entsprechend der Regel, bevor sie an den angegebenen Back-End-Server weitergeleitet wird.
Azure Firewall unterstützt die FQDN-Filterung in DNAT-Regeln, sodass Sie einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) als Ziel für die Übersetzung anstelle einer statischen IP-Adresse angeben können. Dies ermöglicht dynamische Back-End-Konfigurationen und vereinfacht die Verwaltung in Szenarien, in denen sich die IP-Adresse des Back-End-Servers häufig ändern kann.
Voraussetzungen
- Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Eine Azure Firewall-Instanz.
- Eine Azure Firewall-Richtlinie.
Erstellen einer DNAT-Regel
Navigieren Sie im Azure-Portal zu Ihrer Azure Firewall-Instanz.
Wählen Sie im linken Bereich "Regeln" aus.
Wählen Sie DNAT-Regeln aus.
Wählen Sie + DNAT-Regelsammlung hinzufügen aus.
Geben Sie im Bereich "Regelsammlung hinzufügen " die folgenden Informationen an:
- Name: Geben Sie einen Namen für die DNAT-Regelsammlung ein.
- Priorität: Geben Sie eine Priorität für die Regelauflistung an. Niedrigere Zahlen deuten auf eine höhere Priorität hin. Der Bereich beträgt 100-65000.
- Aktion: Zielnetzwerkadressenübersetzung (DNAT) (Standard).
- Regelsammlungsgruppe: Dies ist der Name der Regelsammlungsgruppe, die die DNAT-Regelsammlung enthält. Sie können eine Standardgruppe oder eine zuvor erstellte Gruppe auswählen.
-
Regeln:
- Name: Geben Sie einen Namen für die DNAT-Regel ein.
- Quelltyp: Wählen Sie IP-Adresse oder IP-Gruppe aus.
- Quelle: Geben Sie die Quell-IP-Adresse ein, oder wählen Sie eine IP-Gruppe aus.
- Protokoll: Wählen Sie das Protokoll (TCP oder UDP) aus.
- Zielports: Geben Sie den Zielport oder den Portbereich ein (z. B. einzelner Port 80, Portbereich 80-100 oder mehrere Ports 80.443).
- Ziel (Firewall-IP-Adresse): Geben Sie die Ziel-IP-Adresse der Azure Firewall-Instanz ein.
- Übersetzter Typ: Wählen Sie IP-Adresse oder FQDN aus.
- Übersetzte Adresse oder FQDN: Geben Sie die übersetzte IP-Adresse oder den FQDN ein.
- Übersetzter Port: Geben Sie den übersetzten Port ein.
Wiederholen Sie Schritt 5 für zusätzliche Regeln nach Bedarf.
Wählen Sie "Hinzufügen" aus, um die DNAT-Regelsammlung zu erstellen.
Überwachen und Überprüfen von DNAT-Regeln
Nachdem Sie DNAT-Regeln erstellt haben, können Sie sie mithilfe des AZFWNatRule-Protokolls überwachen und fehlerbeheben. Dieses Protokoll bietet detaillierte Einblicke in die DNAT-Regeln, die auf eingehenden Datenverkehr angewendet werden, einschließlich:
- Zeitstempel: Die genaue Uhrzeit des Datenverkehrsflusses.
- Protokoll: Das für die Kommunikation verwendete Protokoll (z. B. TCP oder UDP).
- Quell-IP und -Port: Informationen zur ursprünglichen Datenverkehrsquelle.
- Ziel-IP und -Port: Die ursprünglichen Zieldetails vor der Übersetzung.
- Übersetzte IP und Port: Die aufgelöste IP-Adresse (bei Verwendung von FQDN) und der Zielport nach der Übersetzung.
Beachten Sie Folgendes, wenn Sie das AZFWNatRule-Protokoll analysieren:
- Übersetztes Feld: Bei DNAT-Regeln mit FQDN-Filterung zeigen die Protokolle die aufgelöste IP-Adresse im übersetzten Feld anstelle des FQDN an.
- Private DNS-Zonen: Nur in virtuellen Netzwerken (VNets) unterstützt. Dieses Feature ist für virtuelle WAN-SKUs nicht verfügbar.
- Mehrere IPs in der DNS-Auflösung: Wenn ein FQDN in mehrere IP-Adressen innerhalb einer privaten DNS-Zone oder über einen benutzerdefinierten DNS-Server aufgelöst wird, wählt der DNS-Proxy der Azure Firewall die erste IP-Adresse aus der Liste aus. Dieses Verhalten ist beabsichtigt.
-
FQDN-Auflösungsfehler:
- Wenn eine Azure Firewall einen FQDN nicht auflösen kann, stimmt die DNAT-Regel nicht überein, sodass der Datenverkehr nicht verarbeitet wird.
- Diese Fehler werden in AZFWInternalFQDNResolutionFailure-Protokollen nur protokolliert, wenn DER DNS-Proxy aktiviert ist.
- Ohne aktivierten DNS-Proxy werden Lösungsfehler nicht protokolliert.
Wichtige Überlegungen
Die folgenden Überlegungen sind bei der Verwendung von DNAT-Regeln mit FQDN-Filterung wichtig:
- Private DNS-Zonen: Nur innerhalb des virtuellen Netzwerks und nicht mit Azure Virtual WAN unterstützt.
- Mehrere IP-Adressen in DNS-Auflösung: Der DNS-Proxy der Azure Firewall wählt immer die erste IP-Adresse aus der aufgelösten Liste (private DNS-Zone oder benutzerdefinierter DNS-Server) aus. Dies entspricht dem erwarteten Verhalten.
Die Analyse dieser Protokolle kann dazu beitragen, Konnektivitätsprobleme zu diagnostizieren und sicherzustellen, dass datenverkehr ordnungsgemäß an das beabsichtigte Back-End weitergeleitet wird.
Private IP DNAT-Szenarien
Für erweiterte Szenarien mit überlappenden Netzwerken oder nicht routingfähigem Netzwerkzugriff können Sie die private IP-DNAT-Funktion von Azure Firewall verwenden. Dieses Feature ermöglicht Folgendes:
- Behandeln überlappender Netzwerkszenarien, in denen mehrere Netzwerke den gleichen IP-Adressraum gemeinsam nutzen
- Bereitstellen des Zugriffs auf Ressourcen in nicht routingfähigen Netzwerken
- Verwenden Sie die private IP-Adresse der Firewall für DNAT anstelle öffentlicher IP-Adressen.
Informationen zum Konfigurieren privater IP-DNAT für diese Szenarien finden Sie unter Deploy Azure Firewall private IP DNAT für überlappende und nicht routbare Netzwerke.
Hinweis
Private IP DNAT ist nur in Azure Firewall Standard und Premium SKUs verfügbar. Diese Funktion wird von der Standard-SKU nicht unterstützt.
Nächste Schritte
- Erfahren Sie, wie Sie Azure Firewall-Protokolle und Metriken mithilfe von Azure Monitor überwachen.
- Bereitstellen privater IP-DNAT von Azure Firewall für überlappende und nicht routingfähige Netzwerke