Compartilhar via

Como configurar e monitorar regras de DNAT do Firewall do Azure para gerenciamento de tráfego seguro

As regras de DNAT do Firewall do Azure (Conversão de Endereços de Rede de Destino) são usadas para filtrar e rotear o tráfego de entrada. Eles permitem que você traduza o endereço IP de destino voltado para o público e a porta do tráfego de entrada para um endereço IP privado e uma porta em sua rede. Isso é útil quando você deseja expor um serviço em execução em um IP privado (como um servidor Web ou ponto de extremidade SSH) para a Internet ou outra rede.

Uma regra DNAT especifica:

  • Origem: o endereço IP de origem ou o grupo IP do qual o tráfego se origina.
  • Destino: o endereço IP de destino da instância do Firewall do Azure.
  • Protocolo: o protocolo usado para o tráfego (TCP ou UDP).
  • Porta de destino: a porta na instância do Firewall do Azure que recebe o tráfego.
  • Endereço traduzido: o endereço IP privado ou FQDN para o qual o tráfego deve ser roteado.
  • Porta traduzida: a porta no endereço traduzido para o qual o tráfego deve ser direcionado.

Quando um pacote corresponde à regra DNAT, o Firewall do Azure modifica o endereço IP de destino do pacote e a porta de acordo com a regra antes de encaminhá-lo para o servidor de back-end especificado.

O Firewall do Azure dá suporte à filtragem de FQDN em regras DNAT, permitindo que você especifique um FQDN (nome de domínio totalmente qualificado) como o destino para tradução em vez de um endereço IP estático. Isso permite configurações dinâmicas de back-end e simplifica o gerenciamento em cenários em que o endereço IP do servidor de back-end pode ser alterado com frequência.

Pré-requisitos

  • Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
  • Uma instância do Firewall do Azure.
  • Uma política de Firewall do Azure.

Criar uma regra DNAT

  1. No portal do Azure, navegue até a instância do Firewall do Azure.

  2. No painel esquerdo, selecione Regras.

  3. Selecione regras DNAT.

  4. Selecione + Adicionar coleção de regras DNAT.

  5. No painel Adicionar uma coleção de regras , forneça as seguintes informações:

    • Nome: insira um nome para a coleção de regras DNAT.
    • Prioridade: especifique uma prioridade para a coleção de regras. Números mais baixos indicam prioridade mais alta. O intervalo é 100-65000.
    • Ação: DNAT (Conversão de Endereços de Rede de Destino) (padrão).
    • Grupo de coleção de regras: esse é o nome do grupo de coleção de regras que contém a coleção de regras DNAT. Você pode selecionar um grupo padrão ou um criado anteriormente.
    • Regras:
      • Nome: insira um nome para a regra DNAT.
      • Tipo de origem: selecione Endereço IP ou Grupo IP.
      • Origem: insira o endereço IP de origem ou selecione um grupo de IP.
      • Protocolo: selecione o protocolo (TCP ou UDP).
      • Portas de destino: insira a porta de destino ou o intervalo de portas (por exemplo: porta única 80, intervalo de portas 80 a 100 ou várias portas 80.443).
      • Destino (endereço IP do firewall): insira o endereço IP de destino da instância do Firewall do Azure.
      • Tipo traduzido: Selecione Endereço IP ou FQDN.
      • Endereço traduzido ou FQDN: insira o endereço IP traduzido ou FQDN.
      • Porta traduzida: insira a porta traduzida.

  6. Repita a etapa 5 para regras extras, conforme necessário.

  7. Selecione Adicionar para criar a coleção de regras DNAT.

Monitorar e validar regras de DNAT

Depois de criar regras DNAT, você pode monitorá-las e solucioná-las usando o log do AZFWNatRule . Esse log fornece informações detalhadas sobre as regras DNAT aplicadas ao tráfego de entrada, incluindo:

  • Carimbo de data e hora: a hora exata em que o fluxo de tráfego ocorreu.
  • Protocolo: o protocolo usado para comunicação (por exemplo, TCP ou UDP).
  • IP de origem e porta: informações sobre a fonte de tráfego de origem.
  • IP e porta de destino: os detalhes de destino originais antes da tradução.
  • IP e porta traduzidos: o endereço IP resolvido (se estiver usando FQDN) e a porta de destino após a tradução.

É importante observar o seguinte ao analisar o log do AZFWNatRule :

  • Campo traduzido: para regras DNAT usando filtragem FQDN, os logs exibem o endereço IP resolvido no campo traduzido em vez do FQDN.
  • Zonas DNS privadas: com suporte apenas em redes virtuais (VNets). Esse recurso não está disponível para SKUs de WAN virtuais.
  • Vários IPs na resolução DNS: se um FQDN for resolvido para vários endereços IP em uma zona DNS privada ou servidores DNS personalizados, o proxy DNS do Firewall do Azure selecionará o primeiro endereço IP da lista. Esse comportamento é por design.
  • Falhas de resolução do FQDN:
    • Se o Firewall do Azure não conseguir resolver um FQDN, a regra DNAT não corresponderá, portanto, o tráfego não será processado.
    • Essas falhas são registradas nos logs do AZFWInternalFQDNResolutionFailure somente se o proxy DNS estiver habilitado.
    • Sem o proxy DNS habilitado, as falhas de resolução não são registradas.

Principais considerações

As seguintes considerações são importantes ao usar regras DNAT com filtragem FQDN:

  • Zonas DNS privadas: com suporte apenas na rede virtual e não com a WAN Virtual do Azure.
  • Vários IPs na resolução DNS: o proxy DNS do Firewall do Azure sempre seleciona o primeiro endereço IP na lista resolvida (zona DNS privada ou servidor DNS personalizado). Este é um comportamento esperado.

A análise desses logs pode ajudar a diagnosticar problemas de conectividade e garantir que o tráfego seja roteado corretamente para o back-end pretendido.

Cenários de DNAT de IP privado

Para cenários avançados que envolvem redes sobrepostas ou acesso à rede não roteável, você pode usar a funcionalidade de DNAT de IP privado do Firewall do Azure. Este recurso permite:

  • Lidar com cenários de rede sobrepostos em que várias redes compartilham o mesmo espaço de endereço IP
  • Fornecer acesso a recursos em redes não roteáveis
  • Usar o endereço IP privado do firewall para DNAT em vez de endereços IP públicos

Para saber como configurar o DNAT de IP privado para esses cenários, consulte Implantar o DNAT de IP privado do Firewall do Azure para redes sobrepostas e não roteáveis.

Observação

O DNAT de IP privado está disponível apenas em SKUs Standard e Premium do Firewall do Azure. O SKU Básico não dá suporte a esse recurso.

Próximas etapas

  • Last updated on