Udostępnij przez

Rozwiązywanie problemów z usługą Azure Firewall przy użyciu funkcji przechwytywania pakietów

Funkcja przechwytywania pakietów usługi Azure Firewall umożliwia przechwytywanie i analizowanie ruchu sieciowego na potrzeby rozwiązywania problemów. W tym artykule przedstawiono sposób konfigurowania filtrów, przechwytywania ruchu i analizowania wyników.

Wymagania wstępne

Utwórz konto przechowywania

Utwórz konto magazynu i uzyskaj adres URL sygnatury dostępu współdzielonego dla kontenera, w którym są przechowywane przechwycone pakiety.

Konfigurowanie konta magazynu

  1. W portalu Azure wybierz Utwórz zasób, wyszukaj Konta magazynowe i wybierz Utwórz.

  2. Na karcie Podstawy wprowadź wymagane informacje dotyczące konta magazynu.

  3. Na karcie Zaawansowane w obszarze Zabezpieczenia wybierz pozycję Zezwalaj na włączanie dostępu anonimowego w poszczególnych kontenerach. Zachowaj inne ustawienia domyślne.

    Zrzut ekranu przedstawiający kartę Zaawansowane konto magazynu z sekcją Zabezpieczenia z opcją Zezwalaj na dostęp anonimowy dla poszczególnych kontenerów.

Tworzenie kontenera

  1. Po utworzeniu konta magazynu przejdź do zasobu i wybierz pozycję Kontenery w obszarze Magazyn danych.

  2. Wybierz pozycję + Kontener i podaj nazwę nowego kontenera.

  3. Dla Poziom dostępu anonimowego wybierz pozycję Kontener (anonimowy dostęp do odczytu dla kontenerów i blobów).

    Zrzut ekranu przedstawiający okno dialogowe Nowy kontener z ustawionym poziomem dostępu anonimowego na Kontener (anonimowy dostęp do odczytu dla kontenerów i obiektów blob).

Generowanie URL SAS

  1. Po utworzeniu kontenera wybierz ... (wielokropek) obok niego, a następnie wybierz Generuj SAS.

  2. Na stronie Generowanie sygnatury dostępu współdzielonego w obszarze Uprawnienia odznacz uprawnienie Odczyt i wybierz Zapis.

    Zrzut ekranu strony Generowanie sygnatury dostępu współdzielonego pokazujący sekcję Uprawnienia z wybranym uprawnieniem do zapisu i odznaczonym uprawnieniem do odczytu.

  3. Wybierz pozycję Generuj token SAS i adres URL i skopiuj wygenerowany adres URL SAS.

Ważne

Przechwytywanie pakietów kończy się niepowodzeniem, jeśli adres URL sygnatury dostępu współdzielonego konta magazynu nie jest poprawnie skonfigurowany. Dokładnie wykonaj wszystkie kroki:

  • Włączanie dostępu anonimowego w poszczególnych kontenerach
  • Ustawianie poziomu dostępu anonimowego na kontener
  • Udziel tylko uprawnień do zapisu i usuń odczyt

Typowe błędy konfiguracji:

  • Brak uprawnień do zapisu na adresie URL SAS
  • Nie włączono dostępu na poziomie kontenera
  • Adres URL SAS wskazujący na magazyn obiektów blob zamiast na kontener

Konfigurowanie i uruchamianie przechwytywania pakietów

Skonfiguruj i uruchom przechwytywanie pakietów w zaporze sieciowej.

Dostęp do przechwytywania pakietów

  1. Przejdź do twojej zapory w Azure Portal.
  2. W obszarze Pomoc wybierz pozycję Przechwytywanie pakietów.

Konfigurowanie ustawień przechwytywania

  1. Na stronie Przechwytywanie pakietów skonfiguruj następujące ustawienia:

    • Nazwa przechwytywania pakietów: wprowadź unikatową nazwę plików przechwytywania.
    • Wyjściowy adres URL SAS: Wklej adres URL sygnatury dostępu współdzielonego kontenera przechowywania, który utworzono.

    Wskazówka

    Użyj unikatowych nazw plików dla każdego przechwytywania, aby zachować poprzednie wyniki. Wykonywanie wielu przechwyceń o tej samej nazwie pliku do tego samego adresu URL SAS zastępuje istniejące pliki.

  2. Ustaw podstawowe parametry przechwytywania:

    • Maksymalna liczba pakietów: wprowadź wartość z zakresu od 100 do 90 000 pakietów.
    • Limit czasu (sekundy): wprowadź wartość z zakresu od 30 do 1800 sekund.
    • Protokół: wybierz protokół do przechwycenia: Dowolny, TCP, UDP lub ICMP.
    • Flagi TCP: w przypadku wybrania protokołu TCP lub dowolnego protokołu wybierz typy pakietów do przechwycenia: FIN, SYN, RST, PSH, ACK lub URG.

    Uwaga / Notatka

    Określ zarówno maksymalną liczbę pakietów, jak i limit czasu. Przechwytywanie zatrzymuje się po osiągnięciu pierwszego limitu.

Definiowanie filtrów przechwytywania

  1. W sekcji Filtrowanie określ pakiety do przechwycenia:

    • Źródłowe adresy IP lub podsieci
    • Docelowe adresy IP lub podsieci
    • Porty docelowe

    Uwaga / Notatka

    • Wymagany jest co najmniej jeden filtr.
    • Przechwytywanie pakietów rejestruje dwukierunkowy ruch zgodny z każdym filtrem.
    • Użyj list rozdzielonych przecinkami dla wielu wartości (na przykład 192.168.1.1, 192.168.2.1 lub 192.168.1.0/24).
    • Aby przechwycić zarówno pakiety przychodzące, jak i wychodzące podczas korzystania z protokołu SNAT, nawiązywania połączenia z Internetem lub przetwarzania reguł aplikacji, uwzględnij AzureFirewallSubnet przestrzeń adresową w polu źródłowym.

Uruchamianie przechwytywania

  1. W sekcji Stan wybierz pozycję Odśwież stan , aby sprawdzić, czy przechwytywanie pakietów nie jest obecnie uruchomione.

    Zrzut ekranu przedstawiający sekcję Stan z przyciskiem Odśwież stan.

    • Jeśli zapora jest gotowa, status pokazuje Brak przechwytywania pakietów w toku. Możesz uruchomić nowe przechwytywanie pakietów.

    Zrzut ekranu przedstawiający interfejs przechwytywania pakietów z przyciskiem Rozpocznij przechwytywanie pakietów.

    • Jeśli przechwytywanie pakietów jest już w toku, wybierz pozycję Zatrzymaj przechwytywanie pakietów, a następnie odśwież stan, aby potwierdzić zatrzymanie go przed rozpoczęciem nowego przechwytywania.

    Zrzut ekranu przedstawiający interfejs przechwytywania pakietów z przyciskiem Zatrzymaj przechwytywanie pakietów.

  2. Wybierz pozycję Rozpocznij przechwytywanie pakietów , aby rozpocząć przechwytywanie pakietów przy użyciu skonfigurowanych ustawień.

    Uwaga / Notatka

    Platforma Azure zgłasza operację przechwytywania pakietów jako pomyślną, gdy przechwytywanie jest uzyskiwane z co najmniej połowy bazowych wystąpień obliczeniowych zapory. W portalu nie wyświetla się, które wystąpienia dostarczyły przechwyty, więc komunikat o stanie jest podstawowym wskaźnikiem powodzenia.

Analizowanie przechwytywania pakietów

Po zakończeniu przechwytywania pakietu stan wyświetla Przechwytywanie pakietów zostało ukończone pomyślnie. Gotowe do rozpoczęcia nowego przechwytywania pakietów.

Zrzut ekranu przedstawiający stan przechwytywania pakietów z komunikatem ukończenia: przechwytywanie pakietów zostało ukończone pomyślnie.

Pobierz i przeanalizuj pliki przechwytywania

  1. Przejdź do kontenera magazynowego w portalu Azure.

    Zrzut ekranu przedstawiający stronę kontenerów z kontenerem przechwytywania pakietów na koncie usługi Azure Storage.

    Pliki przechwytywania są zapisywane w folderze głównym kontenera. Zobaczysz wiele plików pcap — po jednym dla każdego wystąpienia maszyny wirtualnej w backendzie zapory.

  2. pcap Pobierz pliki.

  3. Przeanalizuj pliki przy użyciu narzędzia do analizy pakietów, takiego jak Wireshark.

Omówienie wzorców przepływu pakietów

Każde przechwytywanie pakietów zawiera pary pakietów przychodzących i wychodzących. Dla każdego pakietu, który przetwarza zapora, w zapisie przechwytywania widoczna jest odpowiednia para. W poniższej tabeli opisano cztery typowe wzorce przepływu pakietów:

Scenario Pakiet przychodzący Pakiet wychodzący
Sieć wirtualna do sieci wirtualnej (bez protokołu SNAT)
Sieć wirtualna do środowiska lokalnego (bez protokołu SNAT)		 Źródło: Klient
Miejsce docelowe: serwer		 Źródło: Klient
Miejsce docelowe: serwer

Nagłówki warstwy 2 różnią się, ale warstwa 3 i nowsze pozostają identyczne.
[Sieć wirtualna do sieci wirtualnej (z protokołem SNAT)
Sieć wirtualna do środowiska lokalnego (z protokołem SNAT)
Sieć wirtualna do Internetu		 Źródło: Klient
Miejsce docelowe: serwer		 Źródło: Zapora
Miejsce docelowe: serwer

Zmiany źródłowego adresu IP warstwy 3 z powodu protokołu SNAT. Warstwa 4 i wyższe pozostają niezmienione.
Przepływy reguł aplikacji Źródło: Klient
Miejsce docelowe: serwer		 Źródło: Zapora
Miejsce docelowe: serwer

Warstwy 4 i wyższe różnią się tym, że zapora sieciowa pełni rolę pośrednika w połączeniach, ustanawiając nową sesję do miejsca docelowego.

Użyj kluczy HTTP lub TLS, aby dopasować pakiety przychodzące i wychodzące. Warstwa 7 pozostaje taka sama.
Przepływy DNAT Źródło: Klient
Miejsce docelowe: Publiczny adres IP zapory sieciowej		 Źródło: Zapora
Miejsce docelowe: prywatny adres IP DNATed

Docelowy adres IP warstwy 3 różni się od pakietu przychodzącego ze względu na DNAT, podczas gdy warstwa 4 pozostaje taka sama.

Aby uzyskać szczegółowe instrukcje dotyczące tych scenariuszy, zobacz Używanie funkcji przechwytywania pakietów do rozwiązywania problemów z przepływami usługi Azure Firewall.

Najczęściej zadawane pytania

Czy mogę przechwytywać ruch na wszystkich portach, ustawiając port docelowy na 0?

Należy określić co najmniej jeden port docelowy w każdym filtrze. Przechwytywanie ruchu na wszystkich portach nie jest obsługiwane.

Czy mogę używać zakresów adresów IP w filtrze?

Filtry obsługują poszczególne adresy IP lub podsieci, ale nie zakresy adresów IP. Jeśli chcesz przechwycić zakres, użyj podsieci, która obejmuje te adresy. Ogranicz filtry do nie więcej niż pięciu adresów IP ani podsieci.

Czy mogę pozostawić limit maksymalnej liczby pakietów lub limit czasu pusty, aby przechwycić cały ruch?

Obie wartości są wymagane. Ustaw je na maksymalną dozwoloną wartość w razie potrzeby. Przechwytywanie jest zatrzymywane automatycznie po osiągnięciu dowolnego limitu.

Czy mogę ręcznie zatrzymać uruchomione przechwytywanie pakietów?

Tak, wybierz przycisk Zatrzymaj przechwytywanie pakietów , aby zakończyć przechwytywanie przed osiągnięciem skonfigurowanych limitów.

Czy przechwytywanie pakietów obsługuje przechwytywanie ciągłe lub cykliczne?

Przechwytywanie pakietów cyklicznych (ciągłych) nie jest obsługiwane. Jeśli potrzebujesz rozszerzonego lub powtarzającego się przechwytywania na potrzeby rozwiązywania problemów, otwórz wniosek o pomoc techniczną platformy Azure. Wsparcie techniczne Microsoft może przeprowadzić dłuższe rejestrowanie w Twoim imieniu.

Czy mogę ustawić lokalizację docelową na 0.0.0.0/0, aby przechwycić cały ruch?

Przechwytywanie pakietów jest przeznaczone do rozwiązywania problemów z określonymi przepływami. Ustawienie lokalizacji docelowej na 0.0.0.0/0 powoduje puste przechwytywanie i nie przechwytuje całego ruchu.

Czy mogę użyć nazwy FQDN w filtrze zamiast adresów IP?

Filtry nie obsługują FQDN. Można jednak użyć systemu DNS, aby rozwiązać FQDN na adresy IP i dodać te adresy IP do filtra.

Czy pozostawienie flag TCP niezaznaczonych jest tym samym, co zaznaczenie wszystkich flag?

Jeśli nie wybrano żadnych flag TCP (ustawienie domyślne), przechwytywane są wszystkie typy pakietów. Wybierz określone flagi tylko wtedy, gdy chcesz przechwycić określone typy pakietów.

Czy mogę jednocześnie przechwytywać pakiety ICMP, TCP i UDP?

Tak, wybierz pozycję Dowolne jako protokół, aby przechwycić wszystkie typy pakietów. Pole protokołu jest przeznaczone do filtrowania pod kątem określonych protokołów w razie potrzeby.

Jak sprawdzić, czy przechwytywanie pakietów zakończyło się pomyślnie?

Azure zgłasza powodzenie, gdy przechwytywanie następuje z co najmniej połowy podstawowych wystąpień obliczeniowych. Puste pliki przechwytywania wskazują, że operacja zakończyła się pomyślnie, ale nie znaleziono ruchu zgodnego z filtrami. Rozszerz filtry i ponownie uruchom przechwytywanie.

Dalsze kroki

  • Last updated on