Udostępnij przez

Jak skonfigurować i monitorować reguły DNAT usługi Azure Firewall na potrzeby bezpiecznego zarządzania ruchem

Reguły DNAT (Destination Network Address Translation) w Azure Firewall są używane do filtrowania i kierowania ruchu przychodzącego. Umożliwiają one tłumaczenie publicznego docelowego adresu IP i portu ruchu przychodzącego na prywatny adres IP i port w sieci. Jest to przydatne, gdy chcesz uwidocznić usługę działającą na prywatnym adresie IP (takim jak serwer internetowy lub punkt końcowy SSH) do Internetu lub innej sieci.

Reguła DNAT określa:

  • Źródło: źródłowy adres IP lub grupa adresów IP, z której pochodzi ruch.
  • Miejsce docelowe: docelowy adres IP wystąpienia usługi Azure Firewall.
  • Protokół: protokół używany dla ruchu (TCP lub UDP).
  • Port docelowy: Port w instancji Azure Firewall, który odbiera ruch.
  • Przetłumaczony adres: prywatny adres IP lub nazwa FQDN, do którego ma być kierowany ruch.
  • Przetłumaczony port: port na przetłumaczonym adresie, do którego ma być kierowany ruch.

Gdy pakiet jest zgodny z regułą DNAT, usługa Azure Firewall modyfikuje docelowy adres IP i port pakietu zgodnie z regułą przed przekazaniem go do określonego serwera zaplecza.

Usługa Azure Firewall obsługuje filtrowanie nazw FQDN w regułach DNAT, umożliwiając określenie w pełni kwalifikowanej nazwy domeny (FQDN) jako elementu docelowego tłumaczenia zamiast statycznego adresu IP. Umożliwia to dynamiczne konfiguracje zaplecza i upraszcza zarządzanie w scenariuszach, w których adres IP serwera zaplecza może się często zmieniać.

Wymagania wstępne

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Instancja Azure Firewall.
  • Zasady usługi Azure Firewall.

Utwórz regułę DNAT

  1. W Azure Portal przejdź do swojej instancji Azure Firewall.

  2. W lewej części wybierz Reguły .

  3. Wybierz Reguły DNAT.

  4. Wybierz + Dodaj kolekcję reguł DNAT.

  5. W okienku Dodawanie kolekcji reguł podaj następujące informacje:

    • Nazwa: wprowadź nazwę kolekcji reguł DNAT.
    • Priorytet: określ priorytet dla kolekcji reguł. Niższe liczby wskazują wyższy priorytet. Zakres wynosi 100-65000.
    • Akcja: Docelowa Translacja Adresu Sieciowego (DNAT) (ustawienie domyślne).
    • Grupa kolekcji reguł: jest to nazwa grupy kolekcji reguł, która zawiera kolekcję reguł DNAT. Możesz wybrać grupę domyślną lub utworzoną wcześniej.
    • Reguły:
      • Nazwa: wprowadź nazwę reguły DNAT.
      • Typ źródła: wybierz Adres IP lub Grupa adresów IP.
      • Źródło: wprowadź źródłowy adres IP lub wybierz grupę adresów IP.
      • Protokół: wybierz protokół (TCP lub UDP).
      • Porty docelowe: wprowadź docelowy port lub zakres portów (na przykład: pojedynczy port 80, zakres portów 80–100 lub wiele portów 80 443).
      • Miejsce docelowe (adres IP zapory sieciowej): wprowadź docelowy adres IP instancji Azure Firewall.
      • Typ przetłumaczony: wybierz pozycję Adres IP lub nazwa FQDN.
      • Przetłumaczony adres lub nazwa FQDN: wprowadź przetłumaczony adres IP lub nazwę FQDN.
      • Przetłumaczony port: wprowadź przetłumaczony port.

  6. Powtórz krok 5 dla dodatkowych reguł w razie potrzeby.

  7. Wybierz pozycję Dodaj , aby utworzyć kolekcję reguł DNAT.

Monitorowanie i weryfikowanie reguł DNAT

Po utworzeniu reguł DNAT można je monitorować i rozwiązywać problemy przy użyciu dziennika AZFWNatRule . Ten dziennik zawiera szczegółowe informacje na temat reguł DNAT stosowanych do ruchu przychodzącego, w tym:

  • Sygnatura czasowa: dokładny czas wystąpienia przepływu ruchu.
  • Protokół: protokół używany do komunikacji (na przykład TCP lub UDP).
  • Źródłowy adres IP i port: informacje o źródle ruchu źródłowego.
  • Docelowy adres IP i port: oryginalne szczegóły lokalizacji docelowej przed tłumaczeniem.
  • Przetłumaczony adres IP i port: rozpoznany adres IP (w przypadku używania nazwy FQDN) i port docelowy po translacji.

Podczas analizowania dziennika AZFWNatRule należy pamiętać o następujących kwestiach:

  • Pole translacji: w przypadku reguł DNAT korzystających z filtrowania FQDN, logi wyświetlają rozpoznany adres IP w polu translacji zamiast FQDN.
  • Prywatne strefy DNS: obsługiwane tylko w sieciach wirtualnych. Ta funkcja nie jest dostępna dla wirtualnych jednostek SKU sieci WAN.
  • Wiele adresów IP w rozpoznawaniu nazw DNS: jeśli nazwa FQDN jest rozpoznawana jako wiele adresów IP w prywatnej strefie DNS lub niestandardowych serwerach DNS, serwer proxy DNS usługi Azure Firewall wybiera pierwszy adres IP z listy. Jest to zamierzone działanie.
  • Błędy rozpoznawania nazw FQDN:
    • Jeśli usługa Azure Firewall nie może rozpoznać nazwy FQDN, reguła DNAT nie jest zgodna, więc ruch nie jest przetwarzany.
    • Te błędy są rejestrowane w dzienniku AZFWInternalFQDNResolutionFailure tylko wtedy, gdy serwer proxy DNS jest włączony.
    • Bez włączonego serwera proxy DNS błędy rozwiązywania nie są rejestrowane.

Kluczowe zagadnienia

Podczas używania reguł DNAT z filtrowaniem FQDN ważne są następujące zagadnienia:

  • Prywatne strefy DNS: obsługiwane tylko w sieci wirtualnej, a nie w usłudze Azure Virtual WAN.
  • Wiele adresów IP w rozwiązywaniu DNS: Proxy DNS Azure Firewall zawsze wybiera pierwszy adres IP z rozpoznanej listy (prywatnej strefy DNS lub niestandardowego serwera DNS). Jest to oczekiwane zachowanie.

Analizowanie tych dzienników może pomóc zdiagnozować problemy z łącznością i upewnić się, że ruch jest prawidłowo kierowany do zamierzonego zaplecza.

Przypadki użycia prywatnych adresów IP w translacji adresów docelowych (DNAT)

W przypadku zaawansowanych scenariuszy obejmujących nakładające się sieci lub dostęp sieciowy bez routingu można użyć funkcji DNAT prywatnego adresu IP usługi Azure Firewall. Ta funkcja umożliwia:

  • Obsługa nakładających się scenariuszy sieciowych, w których wiele sieci współużytkuje tę samą przestrzeń adresową IP
  • Zapewnianie dostępu do zasobów w sieciach niezwiązanych z routingem
  • Użyj prywatnego adresu IP zapory dla protokołu DNAT zamiast publicznych adresów IP

Aby dowiedzieć się, jak skonfigurować prywatne IP DNAT dla tych scenariuszy, zobacz Wdrażanie prywatnego IP DNAT usługi Azure Firewall dla nakładających się i niemaršrutowanych sieci.

Uwaga / Notatka

Prywatny adres IP DNAT jest dostępny tylko w jednostkach SKU usługi Azure Firewall w warstwie Standardowa i Premium. Podstawowa jednostka SKU nie obsługuje tej funkcji.

Dalsze kroki

  • Last updated on