Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O recurso de captura de pacotes do Firewall do Azure permite capturar e analisar o tráfego de rede para solução de problemas. Este artigo mostra como configurar filtros, capturar o tráfego e analisar resultados.
Pré-requisitos
- Uma assinatura do Azure. Se você não tiver um, crie uma conta gratuita .
- Um Firewall do Azure com a NIC de Gerenciamento habilitada. Consulte Implantar e configurar o Firewall do Azure e a política.
- A NIC de gerenciamento é habilitada por padrão em implantações básicas de SKU e WAN Virtual.
- Para SKUs Padrão ou Premium em uma rede virtual, consulte a NIC de gerenciamento do Firewall do Azure para habilitá-la.
Criar uma conta de armazenamento
Crie uma conta de armazenamento e obtenha uma URL SAS para um contêiner em que os pacotes capturados são armazenados.
Configurar a conta de armazenamento
No portal do Azure, selecione Criar um recurso, pesquise contas de armazenamento e selecione Criar.
Na guia Noções básicas, insira as informações necessárias para sua conta de armazenamento.
Na guia Avançado , em Segurança, selecione Permitir habilitar o acesso anônimo em contêineres individuais. Deixe todas as outras configurações padrão.
Criar um contêiner
Depois de criar a conta de armazenamento, vá para o recurso e selecione Contêineres no Armazenamento de Dados.
Selecione + Contêiner e forneça um nome para o novo contêiner.
Para o nível de acesso anônimo, selecione Contêiner (acesso de leitura anônimo para contêineres e blobs).
Gerar uma URL SAS
Depois de criar o contêiner, selecione ... (reticências) ao lado dele e selecione Gerar SAS.
Na página Gerar SAS , em Permissões, desmarque a permissão de leitura e selecione Gravar.
Selecione Gerar token SAS e URL e copie a URL de SAS gerada.
Importante
A captura de pacotes falhará se a URL SAS da conta de armazenamento não estiver configurada corretamente. Siga todas as etapas com precisão:
- Habilitar o acesso anônimo em contêineres individuais
- Definir o nível de acesso anônimo como Contêiner
- Conceda permissão somente para Gravação e desmarque Leitura.
Erros comuns de configuração:
- Permissão de gravação ausente na URL SAS
- Acesso no nível do contêiner não habilitado
- URL SAS apontando para armazenamento de blobs em vez de para um contêiner
Configurar e executar uma captura de pacote
Configure e inicie uma captura de pacote no firewall.
Captura de pacote de acesso
- Acesse o firewall no portal do Azure.
- Em Ajuda, selecione Captura de Pacote.
Definir configurações de captura
Na página Captura de Pacotes, defina as seguintes configurações:
- Nome da captura de pacote: insira um nome exclusivo para seus arquivos de captura.
- URL SAS de saída: cole a URL SAS do contêiner de armazenamento que você criou.
Dica
Use nomes de arquivo exclusivos para cada captura para preservar os resultados anteriores. A execução de várias capturas com o mesmo nome de arquivo para a mesma URL SAS substitui os arquivos existentes.
Defina os parâmetros básicos de captura:
- Número máximo de pacotes: insira um valor entre 100 e 90.000 pacotes.
- Limite de tempo (segundos): insira um valor entre 30 e 1.800 segundos.
- Protocolo: selecione o protocolo a ser capturado: Qualquer, TCP, UDP ou ICMP.
- Sinalizadores TCP: se você selecionou tcp ou qualquer protocolo, escolha quais tipos de pacote capturar: FIN, SYN, RST, PSH, ACK ou URG.
Observação
Especifique uma contagem máxima de pacotes e um limite de tempo. A captura é interrompida quando o primeiro limite é atingido.
Definir filtros de captura
Na seção Filtragem , especifique quais pacotes capturar:
- Endereços IP de origem ou sub-redes
- Endereços IP de destino ou sub-redes
- Portas de destino
Observação
- Pelo menos um filtro é necessário.
- A captura de pacotes registra o tráfego bidirecional que corresponde a cada filtro.
- Use listas separadas por vírgulas para vários valores (por exemplo, 192.168.1.1, 192.168.2.1 ou 192.168.1.0/24).
- Para capturar pacotes de entrada e saída ao usar SNAT, conectar-se à Internet ou processar regras de aplicativo, inclua o
AzureFirewallSubnetespaço de endereço no campo de origem.
Iniciar a captura
Na seção Status , selecione Atualizar status para verificar se nenhuma captura de pacote está em execução no momento.
- Se o firewall estiver pronto, o status mostrará Nenhuma captura de pacote em andamento. Você pode iniciar uma nova captura de pacote.
- Se uma captura de pacotes já estiver em andamento, selecione Parar captura de pacote e atualize o status para confirmar que ele foi interrompido antes de iniciar uma nova captura.
Selecione Iniciar captura de pacotes para começar a capturar pacotes com as configurações definidas.
Observação
O Azure relata uma operação de captura de pacotes com êxito quando as capturas são obtidas de pelo menos metade das instâncias de computação subjacentes do firewall. O portal não exibe quais instâncias forneceram capturas, portanto, a mensagem de status é o principal indicador de sucesso.
Analisar a captura de pacotes
Depois que a captura de pacotes for concluída, o status exibirá a captura de pacote concluída com êxito. Pronto para iniciar uma nova captura de pacote.
Baixar e examinar os arquivos de captura
Vá para o contêiner de armazenamento no portal do Azure.
Os arquivos de captura são salvos na pasta raiz do contêiner. Você vê vários
pcaparquivos — um para cada instância de máquina virtual no back-end do firewall.Baixe os
pcaparquivos.
Analise os arquivos usando uma ferramenta de análise de pacotes, como o Wireshark.
Entender os padrões de fluxo de pacotes
Cada captura de pacote contém pares de pacotes de entrada e saída. Para cada pacote que o firewall processa, você vê um par correspondente na captura. A tabela a seguir descreve quatro padrões comuns de fluxo de pacotes:
| Scenario | Pacote de entrada | Pacote de saída |
|---|---|---|
| Rede virtual para rede virtual (sem SNAT) Rede virtual para local (sem SNAT) |
Fonte: Cliente Destino: Servidor |
Fonte: Cliente Destino: Servidor Os cabeçalhos de camada 2 diferem, mas a Camada 3 e acima permanecem idênticas. |
| [Rede virtual para rede virtual (com SNAT) Rede virtual para local físico (com SNAT) Rede virtual para a Internet |
Fonte: Cliente Destino: Servidor |
Origem: Firewall Destino: Servidor Alterações de IP de origem da camada 3 devido ao SNAT. A camada 4 e acima permanecem inalteradas. |
| Fluxos de regra de aplicativo | Fonte: Cliente Destino: Servidor |
Origem: Firewall Destino: Servidor As camadas 4 e superiores diferem porque o firewall atua como proxy da conexão, iniciando uma nova sessão com o destino. Use chaves HTTP ou TLS para corresponder a pacotes de entrada e saída. A camada 7 permanece a mesma. |
| Fluxos de DNAT | Fonte: Cliente Destino: IP público do firewall |
Origem: Firewall Destino: IP privado DNATed O IP de destino da camada 3 difere do pacote de entrada devido ao DNAT, enquanto a Camada 4 permanece a mesma. |
Para obter instruções detalhadas sobre esses cenários, consulte Usando a captura de pacotes para solucionar problemas de fluxos do Firewall do Azure.
Perguntas frequentes
Posso capturar o tráfego em todas as portas definindo a porta de destino como 0?
Você deve especificar pelo menos uma porta de destino em cada filtro. Não há suporte para a captura de tráfego em todas as portas.
Posso usar intervalos de endereços IP em um filtro?
Os filtros dão suporte a endereços IP individuais ou sub-redes, mas não a intervalos de endereços IP. Se você precisar capturar um intervalo, use uma sub-rede que abrange esses endereços. Limite seus filtros a no máximo cinco endereços IP ou sub-redes.
Posso deixar os pacotes máximos ou o limite de tempo em branco para capturar todo o tráfego?
Os dois valores são obrigatórios. Defina-os como os valores máximos permitidos, se necessário. A captura é interrompida automaticamente quando qualquer limite é atingido.
Posso interromper manualmente uma captura de pacote em execução?
Sim, selecione o botão Parar captura de pacotes para encerrar a captura antes de atingir os limites configurados.
A captura de pacotes dá suporte a capturas contínuas ou cíclicas?
Não há suporte para capturas de pacotes cíclicas (contínuas). Se você precisar de uma captura estendida ou repetida para solução de problemas, abra uma solicitação de suporte do Azure. O Suporte da Microsoft pode executar capturas mais longas em seu nome.
Posso definir o destino como 0.0.0.0/0 para capturar todo o tráfego?
A captura de pacotes foi projetada para solucionar problemas de fluxos específicos. Definir o destino como 0.0.0.0/0 resulta em capturas vazias e não captura todo o tráfego.
Posso usar um FQDN em um filtro em vez de endereços IP?
Os filtros não dão suporte a FQDNs. No entanto, você pode usar o DNS para resolver o FQDN para endereços IP e adicionar esses endereços IP ao filtro.
Deixar sinalizadores TCP desmarcados é o mesmo que selecionar todos os sinalizadores?
Quando nenhum sinalizador TCP é selecionado (o padrão), todos os tipos de pacote são capturados. Selecione sinalizadores específicos somente quando quiser capturar tipos de pacote específicos.
Posso capturar pacotes ICMP, TCP e UDP simultaneamente?
Sim, selecione Qualquer como o protocolo para capturar todos os tipos de pacote. O campo de protocolo foi projetado para filtrar protocolos específicos quando necessário.
Como saber se a captura de pacotes foi bem-sucedida?
O Azure relata êxito quando as capturas são obtidas de pelo menos metade das instâncias de computação subjacentes. Arquivos de captura vazios indicam que a operação foi bem-sucedida, mas nenhum tráfego correspondente aos filtros foi encontrado. Amplie seus filtros e execute a captura novamente.