Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A funcionalidade de captura de pacotes do Azure Firewall permite-lhe captar e analisar o tráfego de rede para resolução de problemas. Este artigo mostra-lhe como configurar filtros, captar tráfego e analisar resultados.
Pré-requisitos
- Uma assinatura do Azure. Se não tiver uma, crie uma conta gratuita.
- Um firewall Azure com a NIC de Gestão ativada. Consulte Implementar e configurar Azure Firewall e política.
- A NIC de gestão está ativada por defeito nas implementações Basic SKU e Virtual WAN.
- Para SKU Standard ou Premium numa rede virtual, consulte Azure Firewall Management NIC para o ativar.
Criar uma conta de armazenamento
Crie uma conta de armazenamento e obtenha uma URL SAS para um contêiner onde os pacotes capturados são armazenados.
Configurar a conta de armazenamento
No portal do Azure, selecione Criar um recurso, procure contas de armazenamento e selecione Criar.
Na guia Noções básicas , insira as informações necessárias para sua conta de armazenamento.
Na guia Avançado , em Segurança, selecione Permitir a habilitação do acesso anônimo em contêineres individuais. Mantenha as outras configurações padrão.
Criar um contêiner
Depois de criar a conta de armazenamento, vá para o recurso e selecione Contêineres em Armazenamento de dados.
Selecione + Contêiner e forneça um nome para o novo contêiner.
Em Nível de acesso anônimo, selecione Contêiner (acesso de leitura anônimo para contêineres e blobs).
Gerar o URL SAS
Depois de criar o contêiner, selecione ... (reticências) ao lado dele e selecione Gerar SAS.
Na página Gerar SAS , em Permissões, desmarque a permissão de Leitura e selecione Gravar.
Selecione Gerar token e URL SAS e copie a URL SAS gerada.
Importante
A captura de pacotes falhará se o URL SAS da conta de armazenamento não estiver configurado corretamente. Siga todos os passos com precisão:
- Habilitar acesso anônimo em contêineres individuais
- Definir nível de acesso anônimo como Contêiner
- Conceder apenas permissão de Gravação e remover permissão de Leitura
Erros comuns de configuração:
- Permissões de gravação ausentes na URL SAS
- Acesso no nível do contêiner não habilitado
- URL SAS apontando para armazenamento de blobs em vez de um contentor
Configurar e executar uma captura de pacotes
Configure e inicie uma captura de pacotes no firewall.
Aceder à captura de pacotes
- Vá até ao firewall no portal do Azure.
- Em Ajuda, selecione Captura de pacotes.
Definir configurações de captura
Na página Captura de Pacotes, defina as seguintes configurações:
- Nome da captura de pacote: insira um nome exclusivo para seus arquivos de captura.
- URL SAS de saída: cole a URL SAS do contêiner de armazenamento que você criou.
Sugestão
Use nomes de arquivo exclusivos para cada captura para preservar os resultados anteriores. A execução de várias capturas com o mesmo nome de ficheiro para a mesma URL SAS sobrescreve os ficheiros existentes.
Defina os parâmetros básicos de captura:
- Número máximo de pacotes: insira um valor entre 100 e 90.000 pacotes.
- Limite de tempo (segundos): insira um valor entre 30 e 1.800 segundos.
- Protocolo: Selecione o protocolo a ser capturado: Qualquer, TCP,UDP ou ICMP.
- Sinalizadores TCP: Se você selecionou TCP ou Qualquer protocolo, escolha quais tipos de pacote capturar: FIN,SYN,RST, PSH,ACK ou URG.
Observação
Especifique uma contagem máxima de pacotes e um limite de tempo. A captura é interrompida quando o primeiro limite é alcançado.
Definir filtros de captura
Na seção Filtragem , especifique quais pacotes capturar:
- Endereços IP de origem ou sub-redes
- Endereços IP ou sub-redes de destino
- Portas de destino
Observação
- É necessário pelo menos um filtro.
- A captura de pacotes registra o tráfego bidirecional que corresponde a cada filtro.
- Use listas separadas por vírgulas para vários valores (por exemplo, 192.168.1.1, 192.168.2.1 ou 192.168.1.0/24).
- Para capturar pacotes de entrada e saída ao usar o SNAT, conectar-se à Internet ou processar regras de aplicativo, inclua o
AzureFirewallSubnetespaço de endereço no campo de origem.
Iniciar a captura
Na seção Status , selecione Atualizar status para verificar se nenhuma captura de pacote está em execução no momento.
- Se o firewall estiver pronto, o status mostrará Nenhuma captura de pacote em andamento. Você pode iniciar uma nova captura de pacote.
- Se uma captura de pacote já estiver em andamento, selecione Parar captura de pacotes e atualize o status para confirmar que ela foi interrompida antes de iniciar uma nova captura.
Selecione Iniciar captura de pacotes para começar a capturar pacotes com as configurações definidas.
Observação
O Azure relata uma operação de captura de pacotes como bem-sucedida quando as capturas são obtidas de pelo menos metade das instâncias de computação subjacentes do firewall. O portal não exibe quais instâncias forneceram capturas, portanto, a mensagem de status é o principal indicador de sucesso.
Analise a captura de pacotes
Após a conclusão da captura de pacotes, o status exibe a captura de pacotes concluída com êxito. Pronto para iniciar uma nova captura de pacote.
Baixe e examine os arquivos de captura
Vá para seu contêiner de armazenamento no portal do Azure.
Os arquivos de captura são salvos na pasta raiz do contêiner. Você vê vários
pcaparquivos, um para cada instância de máquina virtual no back-end do firewall.Descarregue os
pcapficheiros.
Analise os arquivos usando uma ferramenta de análise de pacotes, como o Wireshark.
Compreender os padrões de fluxo de pacotes
Cada captura de pacote contém pares de pacotes de entrada e saída. Para cada pacote que o firewall processa, você vê um par correspondente na captura. A tabela a seguir descreve quatro padrões comuns de fluxo de pacotes:
| Scenario | Pacote de entrada | Pacote de saída |
|---|---|---|
| Rede virtual para rede virtual (sem SNAT) Rede virtual para local (sem SNAT) |
Fonte: Cliente Destino: Servidor |
Fonte: Cliente Destino: Servidor Os cabeçalhos da camada 2 diferem, mas a camada 3 e superior permanecem idênticas. |
| [Rede virtual para rede virtual (com SNAT) Rede virtual para infraestrutura local (com SNAT) Rede virtual para Internet |
Fonte: Cliente Destino: Servidor |
Fonte: Firewall Destino: Servidor O IP de origem da camada 3 é alterado devido ao SNAT. A camada 4 e superior permanecem inalteradas. |
| Fluxos de regras de aplicação | Fonte: Cliente Destino: Servidor |
Fonte: Firewall Destino: Servidor As camadas 4 e superiores diferem porque o firewall atua como proxy na conexão, estabelecendo uma nova sessão com o destino. Use chaves HTTP ou TLS para corresponder aos pacotes de entrada e saída. A camada 7 permanece a mesma. |
| Fluxos DNAT | Fonte: Cliente Destino: IP público de firewall |
Fonte: Firewall Destino: IP privado DNATed O IP de destino da Camada 3 difere do pacote de entrada devido ao DNAT, enquanto a Camada 4 permanece a mesma. |
Para obter instruções detalhadas sobre esses cenários, consulte Usando a captura de pacotes para solucionar problemas de fluxos do Firewall do Azure.
Perguntas frequentes
Posso capturar o tráfego em todas as portas definindo a porta de destino como 0?
Você deve especificar pelo menos uma porta de destino em cada filtro. Não há suporte para a captura de tráfego em todas as portas.
Posso usar intervalos de endereços IP em um filtro?
Os filtros suportam endereços IP ou sub-redes individuais, mas não intervalos de endereços IP. Se você precisar capturar um intervalo, use uma sub-rede que cubra esses endereços. Limite seus filtros a não mais do que cinco endereços IP ou sub-redes.
Posso deixar o máximo de pacotes ou limite de tempo em branco para capturar todo o tráfego?
Ambos os valores são obrigatórios. Defina-os para os valores máximos permitidos, se necessário. A captura para automaticamente quando qualquer um dos limites é atingido.
Posso parar manualmente uma captura de pacote em execução?
Sim, selecione o botão Parar captura de pacotes para encerrar a captura antes que ela atinja os limites configurados.
A captura de pacotes suporta capturas contínuas ou cíclicas?
Não há suporte para capturas cíclicas (contínuas) de pacotes. Se você precisar de uma captura estendida ou repetida para solução de problemas, abra uma solicitação de suporte do Azure. O Suporte da Microsoft pode executar capturas mais longas em seu nome.
Posso definir o destino como 0.0.0.0/0 para capturar todo o tráfego?
A captura de pacotes foi projetada para solucionar problemas de fluxos específicos. Definir o destino como 0.0.0.0/0 resulta em capturas vazias e não captura todo o tráfego.
Posso usar um FQDN em um filtro em vez de endereços IP?
Os filtros não suportam FQDNs. No entanto, você pode usar o DNS para resolver o FQDN para endereços IP e adicionar esses endereços IP ao filtro.
Deixar sinalizadores TCP desmarcados é o mesmo que selecionar todos os sinalizadores?
Quando nenhum sinalizador TCP é selecionado (o padrão), todos os tipos de pacote são capturados. Selecione sinalizadores específicos somente quando quiser capturar tipos de pacotes específicos.
Posso capturar pacotes ICMP, TCP e UDP simultaneamente?
Sim, selecione Qualquer como o protocolo para capturar todos os tipos de pacotes. O campo de protocolo é projetado para filtrar protocolos específicos quando necessário.
Como posso saber se a captura de pacotes foi bem-sucedida?
O Azure relata o sucesso quando as capturas são obtidas de pelo menos metade das instâncias de computação subjacentes. Arquivos de captura vazios indicam que a operação foi bem-sucedida, mas nenhum tráfego correspondente aos seus filtros foi encontrado. Amplie seus filtros e execute a captura novamente.