Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem Paketerfassungsfeature von Azure Firewall können Sie Netzwerkdatenverkehr für die Problembehandlung erfassen und analysieren. In diesem Artikel erfahren Sie, wie Sie Filter konfigurieren, Datenverkehr erfassen und Ergebnisse analysieren.
Voraussetzungen
- Ein Azure-Abonnement. Wenn Sie kein Konto haben, erstellen Sie ein kostenloses Konto.
- Eine Azure-Firewall mit aktivierter Verwaltungs-NIC. Siehe Bereitstellen und Konfigurieren von Azure Firewall und Richtlinie.
- Die Verwaltungs-NIC ist standardmäßig für einfache SKU- und virtuelle WAN-Bereitstellungen aktiviert.
- Informationen zum Aktivieren von Standard- oder Premium-SKU in einem virtuellen Netzwerk finden Sie unter Azure Firewall Management NIC.
Speicherkonto erstellen
Erstellen Sie ein Speicherkonto, und rufen Sie eine SAS-URL für einen Container ab, in dem die erfassten Pakete gespeichert sind.
Einrichten des Speicherkontos
Wählen Sie im Azure-Portal die Option "Ressource erstellen", suchen Sie nach Speicherkonten, und wählen Sie " Erstellen" aus.
Geben Sie auf der Registerkarte " Grundlagen " die erforderlichen Informationen für Ihr Speicherkonto ein.
Wählen Sie auf der Registerkarte "Erweitert " unter "Sicherheit" die Option "Anonymen Zugriff auf einzelne Container zulassen" aus. Übernehmen Sie alle anderen Standardeinstellungen.
Einen Container erstellen
Nachdem Sie das Speicherkonto erstellt haben, wechseln Sie zur Ressource, und wählen Sie "Container " unter "Datenspeicher" aus.
Wählen Sie +Container aus, und geben Sie einen Namen für den neuen Container an.
Wählen Sie für die Stufe "Anonymer Zugriff" die Option "Container" (anonymer Lesezugriff für Container und Blobs) aus.
Generieren einer SAS-URL
Nachdem Sie den Container erstellt haben, wählen Sie die ... (Auslassungspunkte) daneben und dann SAS generieren aus.
Deaktivieren Sie auf der Seite "SAS generieren " unter "Berechtigungen" die Berechtigung " Lesen ", und wählen Sie "Schreiben" aus.
Wählen Sie "SAS-Token und URL generieren" aus , und kopieren Sie die generierte SAS-URL.
Von Bedeutung
Fehler bei der Paketerfassung, wenn die SAS-URL des Speicherkontos nicht ordnungsgemäß konfiguriert ist. Führen Sie alle Schritte genau aus:
- Anonymen Zugriff auf einzelne Container aktivieren
- Festlegen der Anonymen Zugriffsebene auf Container
- Nur Schreibberechtigung erteilen und Lesen entfernen
Häufige Konfigurationsfehler:
- Fehlende Schreibberechtigungen für die SAS-URL
- Zugriff auf Containerebene nicht aktiviert
- SAS-URL, die auf BLOB-Speicher verweist, anstelle eines Containers
Konfigurieren und Ausführen einer Paketerfassung
Konfigurieren und starten Sie eine Paketerfassung in Ihrer Firewall.
Zugriff auf Paketaufzeichnung
- Wechseln Sie im Azure-Portal zu Ihrer Firewall.
- Wählen Sie unter "Hilfe" die Option "Paketerfassung" aus.
Konfigurieren von Aufnahmeeinstellungen
Konfigurieren Sie auf der Seite "Paketerfassung" die folgenden Einstellungen:
- Paketerfassungsname: Geben Sie einen eindeutigen Namen für Ihre Aufnahmedateien ein.
- Ausgabe SAS-URL: Fügen Sie die SAS-URL des erstellten Speichercontainers ein.
Tipp
Verwenden Sie eindeutige Dateinamen für jede Aufzeichnung, um vorherige Ergebnisse beizubehalten. Wenn Mehrere Aufzeichnungen mit demselben Dateinamen mit derselben SAS-URL ausgeführt werden, werden vorhandene Dateien überschrieben.
Legen Sie die grundlegenden Aufnahmeparameter fest:
- Maximale Anzahl von Paketen: Geben Sie einen Wert zwischen 100 und 90.000 Paketen ein.
- Zeitlimit (Sekunden): Geben Sie einen Wert zwischen 30 und 1.800 Sekunden ein.
- Protokoll: Wählen Sie das zu erfassende Protokoll aus: Any, TCP, UDP oder ICMP.
- TCP-Flags: Wenn Sie TCP oder Any-Protokoll ausgewählt haben, wählen Sie aus, welche Pakettypen erfasst werden sollen: FIN, SYN, RST, PSH, ACK oder URG.
Hinweis
Geben Sie sowohl eine maximale Paketanzahl als auch ein Zeitlimit an. Die Erfassung wird beendet, wenn der erste Grenzwert erreicht wird.
Definieren von Aufnahmefiltern
Geben Sie im Abschnitt "Filterung " an, welche Pakete erfasst werden sollen:
- Quell-IP-Adressen oder Subnetze
- Ziel-IP-Adressen oder Subnetze
- Zielports
Hinweis
- Mindestens ein Filter ist erforderlich.
- Paketerfassung zeichnet bidirektionalen Datenverkehr auf, der jedem Filter entspricht.
- Verwenden Sie kommagetrennte Listen für mehrere Werte (z. B. 192.168.1.1, 192.168.2.1 oder 192.168.1.0/24).
- Um eingehende und ausgehende Pakete bei Verwendung von SNAT zu erfassen, eine Verbindung mit dem Internet herzustellen oder Anwendungsregeln zu verarbeiten, schließen Sie den
AzureFirewallSubnetAdressraum in das Quellfeld ein.
Starten der Aufzeichnung
Wählen Sie im Abschnitt "Status " die Option "Aktualisierungsstatus" aus, um zu überprüfen, ob zurzeit keine Paketerfassung ausgeführt wird.
- Wenn die Firewall bereit ist, wird im Status "Keine Paketerfassung ausgeführt" angezeigt. Sie können eine neue Paketerfassung starten.
- Wenn eine Paketerfassung bereits ausgeführt wird, wählen Sie "Paketerfassung beenden" aus, und aktualisieren Sie den Status, um zu bestätigen, dass sie beendet wurde, bevor Sie eine neue Erfassung starten.
Wählen Sie "Paketerfassung starten" aus, um mit der Erfassung von Paketen mit den konfigurierten Einstellungen zu beginnen.
Hinweis
Azure meldet einen Paketerfassungsvorgang als erfolgreich, wenn Aufzeichnungen aus mindestens der Hälfte der zugrunde liegenden Computeinstanzen der Firewall abgerufen werden. Das Portal zeigt nicht an, welche Instanzen die Aufnahmen bereitgestellt haben, sodass die Statusmeldung der Hauptindikator für den Erfolg ist.
Analysieren der Paketerfassung
Nach Abschluss der Paketerfassung zeigt der Status "Paketerfassung erfolgreich abgeschlossen" an. Bereit, um eine neue Paketerfassung zu starten.
Herunterladen und Untersuchen der Aufnahmedateien
Wechseln Sie zum Speichercontainer im Azure-Portal.
Die Aufnahmedateien werden im Stammordner des Containers gespeichert. Es werden mehrere
pcapDateien angezeigt – eine für jede Instanz des virtuellen Computers im Back-End der Firewall.Laden Sie die
pcapDateien herunter.
Analysieren Sie die Dateien mithilfe eines Paketanalysetools wie Wireshark.
Grundlegendes zu Paketflussmustern
Jede Paketerfassung enthält eingehende und ausgehende Paketpaare. Für jedes Paket, das die Firewall verarbeitet, wird ein entsprechendes Paar in der Erfassung angezeigt. In der folgenden Tabelle werden vier allgemeine Paketflussmuster beschrieben:
| Scenario | Eingehendes Paket | Ausgehendes Paket |
|---|---|---|
| Virtuelles Netzwerk zu virtuellem Netzwerk (ohne SNAT) Virtuelles Netzwerk zu lokaler Umgebung (ohne SNAT) |
Quelle: Client Ziel: Server |
Quelle: Client Ziel: Server Layer 2-Header unterscheiden sich, aber Layer 3 und höher bleiben identisch. |
| [Virtuelles Netzwerk zu virtuellem Netzwerk (mit SNAT) Virtuelles Netzwerk zu lokalem Netzwerk (mit SNAT) Virtuelles Netzwerk zum Internet |
Quelle: Client Ziel: Server |
Quelle: Firewall Ziel: Server Layer 3-Quell-IP-Änderungen aufgrund von SNAT. Ebene 4 und höher bleiben unverändert. |
| Anwendungsregelflüsse | Quelle: Client Ziel: Server |
Quelle: Firewall Ziel: Server Layer 4 und höher unterscheiden sich dadurch, dass die Firewall die Verbindung als Proxy behandelt und eine neue Sitzung zum Ziel aufbaut. Verwenden Sie HTTP- oder TLS-Schlüssel, um eingehende und ausgehende Pakete abzugleichen. Ebene 7 bleibt unverändert. |
| DNAT-Datenströme | Quelle: Client Ziel: Öffentliche IP-Adresse der Firewall |
Quelle: Firewall Ziel: DNATed private IP Layer 3-Ziel-IP unterscheidet sich vom eingehenden Paket aufgrund von DNAT, während Layer 4 unverändert bleibt. |
Ausführliche Anweisungen zu diesen Szenarien finden Sie unter Verwenden der Paketerfassung zur Problembehandlung bei Azure Firewall-Flüssen.
Häufig gestellte Fragen
Kann ich Datenverkehr für alle Ports erfassen, indem ich den Zielport auf 0 festlegt?
Sie müssen mindestens einen Zielport in jedem Filter angeben. Das Erfassen von Datenverkehr für alle Ports wird nicht unterstützt.
Kann ich IP-Adressbereiche in einem Filter verwenden?
Filter unterstützen einzelne IP-Adressen oder Subnetze, jedoch keine IP-Adressbereiche. Wenn Sie einen Bereich erfassen müssen, verwenden Sie ein Subnetz, das diese Adressen abdeckt. Beschränken Sie Ihre Filter auf maximal fünf IP-Adressen oder Subnetze.
Kann ich die maximalen Pakete oder zeitlimits leer lassen, um den gesamten Datenverkehr zu erfassen?
Beide Werte sind erforderlich. Legen Sie sie bei Bedarf auf die maximal zulässigen Werte fest. Die Erfassung wird automatisch beendet, wenn beide Grenzwerte erreicht werden.
Kann ich eine laufende Paketerfassung manuell beenden?
Ja, wählen Sie die Schaltfläche " Paketerfassung beenden " aus, um die Erfassung zu beenden, bevor sie die konfigurierten Grenzwerte erreicht.
Unterstützt die Paketerfassung fortlaufende oder zyklische Erfassungen?
Zyklische (fortlaufende) Paketerfassungen werden nicht unterstützt. Wenn Sie eine erweiterte oder wiederholte Erfassung für die Problembehandlung benötigen, öffnen Sie eine Azure-Supportanfrage. Der Microsoft-Support kann längere Aufzeichnungen in Ihrem Auftrag ausführen.
Kann ich das Ziel auf 0.0.0.0/0 festlegen, um den gesamten Datenverkehr zu erfassen?
Die Paketerfassung wurde für die Fehlerbehebung bestimmter Datenflüsse entwickelt. Das Festlegen des Ziels auf 0.0.0.0/0 führt zu leeren Aufzeichnungen und erfasst nicht den gesamten Datenverkehr.
Kann ich einen FQDN in einem Filter anstelle von IP-Adressen verwenden?
Filter unterstützen keine FQDNs. Sie können jedoch DNS verwenden, um den FQDN in IP-Adressen aufzulösen und diese IP-Adressen ihrem Filter hinzuzufügen.
Ist das Deaktivieren von TCP-Flags mit dem Auswählen aller Flags identisch?
Wenn keine TCP-Flags ausgewählt sind (Standard), werden alle Pakettypen erfasst. Wählen Sie bestimmte Flags nur aus, wenn Sie bestimmte Pakettypen erfassen möchten.
Kann ich ICMP-, TCP- und UDP-Pakete gleichzeitig erfassen?
Ja, wählen Sie "Beliebig " als Protokoll aus, um alle Pakettypen zu erfassen. Das Protokollfeld wurde entwickelt, um bei Bedarf nach bestimmten Protokollen zu filtern.
Wie kann ich feststellen, ob die Paketerfassung erfolgreich war?
Azure meldet Erfolg, wenn Aufzeichnungen aus mindestens der Hälfte der zugrunde liegenden Computeinstanzen abgerufen werden. Leere Erfassungsdateien deuten darauf hin, dass der Vorgang erfolgreich war, aber kein Datenverkehr gefunden wurde, der Ihren Filtern entsprach. Erweitern Sie Ihre Filter, und führen Sie die Aufzeichnung erneut aus.