Partilhar via

Como configurar e monitorar regras DNAT do Firewall do Azure para gerenciamento seguro de tráfego

As regras DNAT (Tradução de Endereço de Rede de Destino) do Firewall do Azure são usadas para filtrar e excluir o tráfego de entrada. Eles permitem que você traduza o endereço IP de destino voltado para o público e a porta do tráfego de entrada para um endereço IP privado e uma porta dentro da sua rede. Isso é útil quando você deseja expor um serviço em execução em um IP privado (como um servidor Web ou ponto de extremidade SSH) para a Internet ou outra rede.

Uma regra DNAT especifica:

  • Fonte: O endereço IP de origem ou grupo IP do qual o tráfego se origina.
  • Destino: O endereço IP de destino da instância do Firewall do Azure.
  • Protocolo: O protocolo usado para o tráfego (TCP ou UDP).
  • Porta de destino: a porta na instância do Firewall do Azure que recebe o tráfego.
  • Endereço traduzido: O endereço IP privado ou FQDN para o qual o tráfego deve ser roteado.
  • Porta traduzida: a porta no endereço traduzido para a qual o tráfego deve ser direcionado.

Quando um pacote corresponde à regra DNAT, o Firewall do Azure modifica o endereço IP e a porta de destino do pacote de acordo com a regra antes de encaminhá-lo para o servidor back-end especificado.

O Firewall do Azure dá suporte à filtragem FQDN em regras DNAT, permitindo que você especifique um nome de domínio totalmente qualificado (FQDN) como destino para tradução em vez de um endereço IP estático. Isso permite configurações dinâmicas de back-end e simplifica o gerenciamento em cenários em que o endereço IP do servidor back-end pode ser alterado com frequência.

Pré-requisitos

  • Uma assinatura do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
  • Uma instância do Firewall do Azure.
  • Uma política de Firewall do Azure.

Criar uma regra DNAT

  1. No portal do Azure, navegue até sua instância do Firewall do Azure.

  2. No painel esquerdo, selecione Regras.

  3. Selecione Regras DNAT.

  4. Selecione + Adicionar coleção de regras DNAT.

  5. No painel Adicionar uma coleção de regras , forneça as seguintes informações:

    • Nome: insira um nome para a coleção de regras DNAT.
    • Prioridade: especifique uma prioridade para a coleção de regras. Números mais baixos indicam maior prioridade. O intervalo é de 100-65000.
    • Ação: Tradução de endereços de rede de destino (DNAT) (padrão).
    • Grupo de coleta de regras: este é o nome do grupo de coleta de regras que contém a coleção de regras DNAT. Você pode selecionar um grupo padrão ou um criado anteriormente.
    • Regras:
      • Nome: insira um nome para a regra DNAT.
      • Tipo de origem: Selecione Endereço IP ou Grupo IP.
      • Fonte: insira o endereço IP de origem ou selecione um grupo de IP.
      • Protocolo: Selecione o protocolo (TCP ou UDP).
      • Portas de destino: insira a porta de destino ou o intervalo de portas (por exemplo: porta única 80, intervalo de portas 80-100 ou várias portas 80.443).
      • Destino (endereço IP do firewall): insira o endereço IP de destino da instância do Firewall do Azure.
      • Tipo traduzido: Selecione Endereço IP ou FQDN.
      • Endereço traduzido ou FQDN: insira o endereço IP ou FQDN traduzido.
      • Porta traduzida: insira a porta traduzida.

  6. Repita a etapa 5 para obter regras extras, conforme necessário.

  7. Selecione Adicionar para criar a coleção de regras DNAT.

Monitorar e validar regras DNAT

Depois de criar regras DNAT, você pode monitorá-las e solucioná-las usando o log AZFWNatRule . Este log fornece informações detalhadas sobre as regras DNAT aplicadas ao tráfego de entrada, incluindo:

  • Carimbo de data/hora: a hora exata em que o fluxo de tráfego ocorreu.
  • Protocolo: O protocolo usado para comunicação (por exemplo, TCP ou UDP).
  • IP e porta de origem: informações sobre a origem do tráfego de origem.
  • IP e porta de destino: os detalhes do destino original antes da tradução.
  • IP e porta traduzidos: o endereço IP resolvido (se estiver usando FQDN) e a porta de destino após a tradução.

É importante observar o seguinte ao analisar o log AZFWNatRule :

  • Campo traduzido: Para regras DNAT usando filtragem FQDN, os logs exibem o endereço IP resolvido no campo traduzido em vez do FQDN.
  • Zonas DNS privadas: suportadas apenas em redes virtuais (VNets). Esse recurso não está disponível para SKUs WAN virtuais.
  • Vários IPs na resolução DNS: Se um FQDN for resolvido para vários endereços IP numa zona DNS privada ou servidores DNS personalizados, o proxy DNS do Azure Firewall seleciona o primeiro endereço IP da lista. Este comportamento é intencional.
  • Falhas de resolução do FQDN:
    • Se o Firewall do Azure não puder resolver um FQDN, a regra DNAT não corresponderá, portanto, o tráfego não será processado.
    • Essas falhas são registradas nos logs AZFWInternalFQDNResolutionFailure somente se o proxy DNS estiver habilitado.
    • Sem o proxy DNS habilitado, as falhas de resolução não são registradas.

Principais considerações

As seguintes considerações são importantes ao usar regras DNAT com filtragem FQDN:

  • Zonas DNS privadas: suportadas apenas na rede virtual e não com a WAN Virtual do Azure.
  • Vários IPs na resolução DNS: o proxy DNS do Firewall do Azure sempre seleciona o primeiro endereço IP da lista resolvida (zona DNS privada ou servidor DNS personalizado). Este é um comportamento esperado.

A análise desses logs pode ajudar a diagnosticar problemas de conectividade e garantir que o tráfego seja roteado corretamente para o back-end pretendido.

Cenários de DNAT IP privado

Para cenários avançados que envolvem redes sobrepostas ou acesso à rede não roteável, você pode usar o recurso DNAT IP privado do Firewall do Azure. Esta funcionalidade permite-lhe:

  • Lidar com cenários de rede sobrepostos em que várias redes compartilham o mesmo espaço de endereço IP
  • Fornecer acesso a recursos em redes não roteáveis
  • Use o endereço IP privado do firewall para DNAT em vez de endereços IP públicos

Para saber como configurar o DNAT IP privado para esses cenários, consulte Implantar DNAT IP privado do Firewall do Azure para redes sobrepostas e não roteáveis.

Observação

O DNAT de IP privado está disponível apenas nas SKUs Standard e Premium do Firewall do Azure. O Basic SKU não suporta esse recurso.

Próximos passos

  • Last updated on