Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall bietet eine SNAT-Funktionalität für sämtlichen ausgehenden Datenverkehr an öffentliche IP-Adressen. Azure Firewall bietet standardmäßig kein SNAT mit Netzwerkregeln, wenn die Ziel-IP-Adresse ein privater IP-Adressbereich gemäß IANA RFC 1918 oder ein geteilter Adressraum gemäß IANA RFC 6598 ist. Für Anwendungsregeln wird unabhängig von der Ziel-IP-Adresse immer SNAT mithilfe eines transparenten Proxys angewendet.
Dieses Standardverhalten eignet sich, wenn der Datenverkehr direkt an das Internet weitergeleitet wird. Es gibt jedoch Szenarien, in denen Sie möglicherweise das Standardmäßige SNAT-Verhalten außer Kraft setzen müssen:
- Wenn Sie das erzwungene Tunneling aktiviert haben, wird der internetgebundene Datenverkehr an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet gesendet, um die Quelle von Ihrer lokalen Firewall auszublenden.
- Wenn Ihre Organisation registrierte IP-Adressbereiche außerhalb von IANA RFC 1918 oder IANA RFC 6598 für private Netzwerke verwendet, führt Azure Firewall SNAT für den Datenverkehr zu einer der privaten IP-Adressen der Firewall im AzureFirewallSubnet durch. Sie können Azure Firewall so konfigurieren, dass Ihr öffentlicher IP-Adressbereich nicht per SNAT weitergeleitet wird. Geben Sie z. B. eine einzelne IP-Adresse als
x.x.x.x
oder einen Bereich von IP-Adressen alsx.x.x.x/24
.
Sie können das SNAT-Verhalten von Azure Firewall auf folgende Weise ändern:
- Wenn Sie Azure Firewall so konfigurieren möchten, dass Datenverkehr, der von Netzwerkregeln verarbeitet wird, niemals mit SNAT weitergeleitet wird, unabhängig von der Ziel-IP-Adresse, verwenden Sie 0.0.0.0/0 als Ihren privaten IP-Adressbereich. Mit dieser Konfiguration kann Azure Firewall den Datenverkehr nicht direkt an das Internet weiterleiten.
- Verwenden Sie 255.255.255.255.255/255/32 als privaten IP-Adressbereich, um die Firewall so zu konfigurieren, dass der von Netzwerkregeln verarbeitete SNAT-Datenverkehr unabhängig von der Zieladresse immer verarbeitet wird.
- Azure Firewall kann so konfiguriert werden, dass es registrierte und private Bereiche stündlich automatisch lernt und die gelernten Routen für SNAT verwendet. Für diese Vorschaufunktion muss Azure Route Server im selben virtuellen Netzwerk wie die Azure-Firewall bereitgestellt werden.
Wichtig
- Die private Adressbereichskonfiguration gilt nur für Netzwerkregeln. Für Anwendungsregeln wird immer SNAT verwendet.
- Wenn Sie Ihre eigenen privaten IP-Adressbereiche angeben und die Standardmäßigen IANA RFC 1918-Adressbereiche beibehalten möchten, stellen Sie sicher, dass Ihre benutzerdefinierte Liste weiterhin den IANA RFC 1918-Bereich enthält.
Sie können die privaten SNAT-IP-Adressen mithilfe der folgenden Methoden konfigurieren. Verwenden Sie die für Ihre Konfiguration geeignete Methode. Firewalls, die einer Firewallrichtlinie zugeordnet sind, müssen den Bereich in der Richtlinie angeben und dürfen nicht AdditionalProperties
verwenden.
Methode | Verwenden klassischer Regeln | Verwenden der Firewallrichtlinie |
---|---|---|
Azure-Portal | Unterstützt | Unterstützt |
Azure PowerShell | Konfigurieren PrivateRange |
Derzeit nicht unterstützt |
Azure-Befehlszeilenschnittstelle | Derzeit nicht unterstützt | |
ARM-Vorlage | Konfigurieren von AdditionalProperties in der Firewalleigenschaft |
Konfigurieren von snat/privateRanges in der Firewallrichtlinie |
Konfigurieren von privaten SNAT-IP-Adressbereichen – Azure PowerShell
Klassische Regeln
Sie können mithilfe von Azure PowerShell private IP-Adressbereiche für die Firewall angeben.
Hinweis
Die Firewalleigenschaft PrivateRange
wird für Firewalls ignoriert, die einer Firewallrichtlinie zugeordnet sind. Sie müssen die Eigenschaft SNAT
in firewallPolicies
verwenden, wie unter Konfigurieren von privaten SNAT-IP-Adressbereichen – ARM-Vorlagebeschrieben.
Neue Firewall
Verwenden Sie für eine neue Firewall mit klassischen Regeln das folgende Azure PowerShell-Cmdlet:
$azFw = @{
Name = '<fw-name>'
ResourceGroupName = '<resourcegroup-name>'
Location = '<location>'
VirtualNetworkName = '<vnet-name>'
PublicIpName = '<public-ip-name>'
PrivateRange = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
}
New-AzFirewall @azFw
Hinweis
- Für die Bereitstellung der Azure Firewall mit
New-AzFirewall
ist ein vorhandenes virtuelles Netzwerk und eine öffentliche IP-Adresse erforderlich. Einen vollständigen Bereitstellungsleitfaden finden Sie unter Bereitstellen und Konfigurieren von Azure Firewall mithilfe von Azure PowerShell. IANAPrivateRanges
wird auf die aktuellen Standardeinstellungen von Azure Firewall erweitert, während die anderen Bereiche hinzugefügt werden. Damit dieIANAPrivateRanges
Standardeinstellung in Ihrer Spezifikation für private Bereiche beibehalten wird, muss sie in IhrerPrivateRange
Spezifikation verbleiben, wie im Beispiel gezeigt.
Weitere Informationen finden Sie unter New-AzFirewall.
Vorhandene Firewall
Zum Konfigurieren einer vorhandenen Firewall mit klassischen Regeln verwenden Sie die folgenden Azure PowerShell-Cmdlets:
$azfw = Get-AzFirewall -Name '<fw-name>' -ResourceGroupName '<resourcegroup-name>'
$azfw.PrivateRange = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
Set-AzFirewall -AzureFirewall $azfw
Konfigurieren von privaten SNAT-IP-Adressbereichen – Azure-Befehlszeilenschnittstelle
Klassische Regeln
Sie können mithilfe der Azure CLI private IP-Adressbereiche für die Firewall mit klassischen Regeln angeben.
Neue Firewall
Verwenden Sie für eine neue Firewall mit klassischen Regeln den folgenden Azure CLI-Befehl:
az network firewall create \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges
Hinweis
- Für die Bereitstellung von Azure Firewall mit dem Azure CLI-Befehl
az network firewall create
sind zusätzliche Konfigurationsschritte erforderlich, um öffentliche IP-Adressen und IP-Konfigurationen zu erstellen. Einen vollständigen Bereitstellungsleitfaden finden Sie unter Bereitstellen und Konfigurieren von Azure Firewall mit der Azure-Befehlszeilenschnittstelle. IANAPrivateRanges
wird auf die aktuellen Standardeinstellungen von Azure Firewall erweitert, während die anderen Bereiche hinzugefügt werden. Damit dieIANAPrivateRanges
Standardeinstellung in Ihrer Spezifikation für private Bereiche beibehalten wird, muss sie in Ihrerprivate-ranges
Spezifikation verbleiben, wie im Beispiel gezeigt.
Vorhandene Firewall
Verwenden Sie den folgenden Azure CLI-Befehl, um eine vorhandene Firewall mit klassischen Regeln zu konfigurieren:
az network firewall update \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges
Konfigurieren von privaten SNAT-IP-Adressbereichen – ARM-Vorlage
Klassische Regeln
Um SNAT während der ARM-Vorlagenbereitstellung zu konfigurieren, fügen Sie der additionalProperties
Eigenschaft Folgendes hinzu:
"additionalProperties": {
"Network.SNAT.PrivateRanges": "IANAPrivateRanges, IPRange1, IPRange2"
},
Firewallrichtlinie
Azure Firewalls, die einer Firewallrichtlinie zugeordnet sind, unterstützen private SNAT-Bereiche seit API Version 2020-11-01. Sie können eine Vorlage verwenden, um den privaten SNAT-Bereich in der Firewallrichtlinie zu aktualisieren. Im folgenden Beispiel wird die Firewall so konfiguriert, dass der Netzwerkdatenverkehr immer über SNAT geleitet wird.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2020-11-01",
"name": "[parameters('firewallPolicies_DatabasePolicy_name')]",
"location": "eastus",
"properties": {
"sku": {
"tier": "Standard"
},
"snat": {
"privateRanges": "[255.255.255.255/32]"
}
}
}
Konfigurieren von privaten SNAT-IP-Adressbereichen – Azure-Portal
Klassische Regeln
Sie können mithilfe des Azure-Portals private IP-Adressbereiche für die Firewall angeben.
Wählen Sie Ihre Ressourcengruppe und dann Ihre Firewall aus.
Wählen Sie auf der Seite Übersicht die Option Private IP-Bereiche aus und dann den Standardwert IANA RFC 1918.
Die Seite Präfixe privater IP-Adressen bearbeiten wird geöffnet:
Standardmäßig ist IANAPrivateRanges konfiguriert.
Bearbeiten Sie die privaten IP-Adressbereiche für Ihre Umgebung, und wählen Sie dann Speichern aus.
Firewallrichtlinie
- Wählen Sie Ihre Ressourcengruppe und dann Ihre Firewallrichtlinie aus.
- Wählen Sie Private IP-Adressbereiche (SNAT) in der Spalte Einstellungen aus.
- Wählen Sie unter SNAT durchführen die Bedingungen für die Durchführung von SNAT in Ihrer Umgebung aus, um die SNAT-Konfiguration anzupassen.
- Wählen Sie Anwenden aus.
Automatisches Erlernen von SNAT-Routen (Vorschau)
Sie können Azure Firewall so konfigurieren, dass alle 30 Minuten sowohl registrierte als auch private Bereiche automatisch erlernt werden. Diese erlernten Adressbereiche werden als netzintern betrachtet, sodass auf Datenverkehr zu Zielen in den erlernten Bereichen keine SNAT angewendet wird. Für automatisches Lernen von SNAT-Bereichen muss Azure Route Server im selben virtuellen Netzwerk wie die Azure-Firewall bereitgestellt werden. Die Firewall muss dem Azure Route-Server zugeordnet und so konfiguriert werden, dass sie SNAT-Bereiche in der Azure-Firewall-Richtlinie automatisch erlernt. Sie können derzeit eine ARM-Vorlage, Azure PowerShell oder das Azure-Portal verwenden, um autolearn SNAT-Routen zu konfigurieren.
Hinweis
SNAT-Routen für automatisches Lernen sind nur für virtuelle Netzwerkbereitstellungen (hub virtual network) verfügbar. Bei VWAN-Bereitstellungen (geschützter virtueller Hub) sind sie nicht verfügbar. Weitere Informationen zu Azure Firewall-Architekturoptionen finden Sie unter Welche Optionen bietet die Azure Firewall Manager-Architektur?.
Konfigurieren mithilfe einer ARM-Vorlage
Sie können den folgenden JSON-Code verwenden, um autolearn zu konfigurieren. Azure Firewall muss einem Azure Route Server zugeordnet sein.
{
"type": "Microsoft.Network/firewallPolicies",
"apiVersion": "2022-11-01",
"name": "[parameters('firewallPolicies_DatabasePolicy_name')]",
"location": "eastus",
"properties": {
"sku": {
"tier": "Standard"
},
"snat": {
"autoLearnPrivateRanges": "Enabled"
}
}
}
Verwenden Sie den folgenden JSON-Code, um einen Azure Route Server zuzuordnen:
{
"type": "Microsoft.Network/azureFirewalls",
"apiVersion": "2022-11-01",
"name": "[parameters('azureFirewalls_testFW_name')]",
"location": "eastus",
"properties": {
"sku": {
"name": "AZFW_VNet",
"tier": "Standard"
},
"threatIntelMode": "Alert",
"additionalProperties": {
"Network.RouteServerInfo.RouteServerID": "[parameters('virtualHubs_TestRouteServer_externalid')]"
}
}
}
Konfigurieren mit Azure PowerShell
Erstellen Sie eine neue Firewall mit einer RouteServerId.
# specify RouteServerId Uri $routeServerId="/subscriptions/your_sub/resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS" # Create AzureFirewall $azureFirewall = New-AzFirewall -Name $azureFirewallName -ResourceGroupName ` $rgname -Location $location -RouteServerId $routeServerId # Get firewall and confirm if RouteServerId is included on the response under additional properties (Network.RouteServerInfo.RouteServerID) Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
Aktualisieren einer vorhandenen Firewall mit RouteServerId
# specify RouteServerId Uri $routeServerId="/subscriptions/your_sub/resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS" # Get firewall $azFirewall = Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname # Update the response with RouteServerId and do firewall SET $azFirewall.RouteServerId = $routeServerId Set-AzFirewall -AzureFirewall $azFirewall # Do firewall Get and confirm if routeServerId is updated Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
Erstellen einer neuen Firewallrichtlinie mit bereitgestelltem SNAT-Parameter
# If AutoLearnPrivateRange parameter is provided, auto learn will be enabled, if not it will be disabled $snat = New-AzFirewallPolicySnat -PrivateRange $privateRange -AutoLearnPrivateRange # Create AzureFirewallPolicy (with SNAT) $azureFirewallPolicy = New-AzFirewallPolicy -Name $azureFirewallPolicyName ` -ResourceGroupName $rgname -Location $location -Snat $snat # Get AzureFirewallPolicy and verify Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname
Aktualisieren einer vorhandenen Firewallrichtlinie mit SNAT
$snat = New-AzFirewallPolicySnat -PrivateRange $privateRange2 # Set AzureFirewallPolicy $azureFirewallPolicy.Snat = $snat Set-AzFirewallPolicy -InputObject $azureFirewallPolicy # Do Get and Verify Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname
Abrufen von erlernten Firewallpräfixen
Get-AzFirewallLearnedIpPrefix -Name $azureFirewallName -ResourceGroupName $rgname
Konfigurieren über das Azure-Portal
Führen Sie die folgenden Schritte aus, um autolearn SNAT-Routen (Vorschau) mithilfe des Azure-Portals zu konfigurieren:
Subnetz hinzufügen:
- Fügen Sie ihrem vorhandenen virtuellen Firewallnetzwerk ein Subnetz namens RouteServerSubnet hinzu.
- Stellen Sie sicher, dass die Subnetzgröße mindestens /27 ist.
Bereitstellen eines Routenservers:
- Stellen Sie einen Route Server im virtuellen Netzwerk der vorhandenen Firewall bereit.
- Ausführliche Schritte finden Sie in der Schnellstartanleitung: Erstellen und Konfigurieren des Routenservers mithilfe des Azure-Portals.
Zuordnen des Routenservers:
- Fügen Sie auf der Seite mit den gelernten SNAT-IP-Präfixen (Vorschau) der Firewall den Routenserver hinzu.
Firewallrichtlinie ändern:
- Aktivieren Sie autolernende IP-Präfixe (Vorschau) im Abschnitt "Private IP Ranges (SNAT)" Ihrer Firewallrichtlinie.
Anzeigen gelernter Routen:
- Überprüfen Sie die gelernten Routen auf der Seite " Gelernte SNAT-IP-Präfixe (Vorschau) ".
Nächste Schritte
- Erfahren Sie mehr über die Azure Firewall-Tunnelerzwingung.