Az Azure Firewall DNST-szabályainak beállítása és monitorozása a biztonságos forgalomkezeléshez

Az Azure Firewall DNST (célhálózati címfordítás) szabályai a bejövő forgalom szűrésére és letiltására szolgálnak. Lehetővé teszik a nyilvános elérésű cél IP-cím és a bejövő forgalom portjának lefordítását egy privát IP-címre és portra a hálózaton belül. Ez akkor hasznos, ha privát IP-címen (például webkiszolgálón vagy SSH-végponton) futó szolgáltatást szeretne elérhetővé tenni az interneten vagy egy másik hálózaton.

A DNAT-szabály a következőket határozza meg:

  • Forrás: A forrás IP-címe vagy IP-csoportja, ahonnan a forgalom származik.
  • Cél: Az Azure Firewall-példány cél IP-címe.
  • Protokoll: A forgalomhoz használt protokoll (TCP vagy UDP).
  • Célport: A forgalmat fogadó Azure Firewall-példány portja.
  • Lefordított cím: Az a magánhálózati IP-cím vagy teljes tartománynév, amelyhez a forgalmat irányítani kell.
  • Lefordított port: A lefordított cím azon portja, amelyre a forgalmat irányítani kell.

Ha egy csomag megfelel a DNAT-szabálynak, az Azure Firewall módosítja a csomag cél IP-címét és portját a szabálynak megfelelően, mielőtt továbbítanák azt a megadott háttérkiszolgálóra.

Az Azure Firewall támogatja az FQDN-szűrést a DNAT-szabályokban, így statikus IP-cím helyett egy teljes tartománynevet (FQDN) adhat meg fordítási célként. Ez dinamikus háttérkonfigurációkat tesz lehetővé, és leegyszerűsíti a felügyeletet olyan esetekben, amikor a háttérkiszolgáló IP-címe gyakran változhat.

Előfeltételek

  • Egy Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
  • Egy Azure Firewall-példány.
  • Azure Firewall-szabályzat.

DNST-szabály létrehozása

  1. Az Azure Portalon keresse meg az Azure Firewall-példányt.

  2. A bal oldali panelen válassza Szabályoklehetőséget.

  3. Válassza ki a DNAT-szabályokat.

  4. Válassza a + DNAT-szabálygyűjtemény hozzáadása lehetőséget.

  5. A Szabálygyűjtemény hozzáadása panelen adja meg a következő információkat:

    • Név: Adja meg a DNST-szabálygyűjtemény nevét.
    • Prioritás: Adja meg a szabálygyűjtemény prioritását. Az alacsonyabb számok magasabb prioritást jeleznek. Az értéktartomány 100-65000.
    • Művelet: Célhálózati címfordítás (DNAT) (alapértelmezett).
    • Szabálygyűjteményi csoport: Ez annak a szabálycsoportnak a neve, amely a DNST-szabálygyűjteményt tartalmazza. Kiválaszthat egy alapértelmezett csoportot vagy egy korábban létrehozott csoportot.
    • Szabályok:
      • Név: Adja meg a DNST-szabály nevét.
      • Forrás típusa: Válassza ki az IP-címet vagy az IP-csoportot.
      • Forrás: Adja meg a forrás IP-címét, vagy válasszon ki egy IP-csoportot.
      • Protokoll: Válassza ki a protokollt (TCP vagy UDP).
      • Célportok: Adja meg a célportot vagy a porttartományt (például: egy port 80, porttartomány: 80–100, vagy több port 80 443).
      • Cél (tűzfal IP-címe): Adja meg az Azure Firewall-példány cél IP-címét.
      • Lefordított típus: Válassza ki az IP-címet vagy az FQDN-t.
      • Lefordított cím vagy teljes tartománynév: Adja meg a lefordított IP-címet vagy teljes tartománynevet.
      • Lefordított port: Adja meg a lefordított portot.

  6. Szükség szerint ismételje meg az 5. lépést a további szabályokért.

  7. Válassza a Hozzáadás lehetőséget a DNST-szabálygyűjtemény létrehozásához.

DNST-szabályok monitorozása és ellenőrzése

Miután létrehozta a DNAT-szabályokat, az AZFWNatRule naplóval figyelheti és elháríthatja őket. Ez a napló részletesen bemutatja a bejövő forgalomra alkalmazott DNST-szabályokat, többek között a következőket:

  • Időbélyeg: A forgalom pontos időpontja.
  • Protokoll: A kommunikációhoz használt protokoll (például TCP vagy UDP).
  • Forrás IP-címe és portja: Információk a forrás forgalmi forrásáról.
  • Cél IP-címe és portja: Az eredeti céladatok a fordítás előtt.
  • Lefordított IP-cím és port: A feloldott IP-cím (ha teljes tartománynevet használ) és a célport a fordítás után.

Az AZFWNatRule-napló elemzésekor fontos megjegyezni a következőket:

  • Lefordított mező: Az FQDN-szűrést használó DNST-szabályok esetében a naplók a feloldott IP-címet a lefordított mezőben jelenítik meg a teljes tartománynév helyett.
  • Privát DNS-zónák: Csak virtuális hálózatokon (virtuális hálózatokon) támogatott. Ez a funkció nem érhető el a virtuális WAN termékváltozatokhoz.
  • Több IP-cím a DNS-felbontás során: Ha egy teljes tartománynév több IP-címet ad vissza egy privát DNS-zónában vagy egyéni DNS-kiszolgálókon, az Azure Firewall DNS-proxyja automatikusan kiválasztja az első IP-címet a listából. Ez a viselkedés terv szerint történik.
  • FQDN-feloldási hibák:
    • Ha az Azure Firewall nem tudja feloldani a teljes tartománynevet, a DNST-szabály nem egyezik, így a forgalom nem lesz feldolgozva.
    • Ezeket a hibákat a rendszer csak akkor naplózza az AZFWInternalFQDNResolutionFailure naplókban, ha engedélyezve van a DNS-proxy.
    • Ha nincs engedélyezve a DNS-proxy, a rendszer nem naplózza a feloldási hibákat.

Főbb szempontok

A DNST-szabályok FQDN-szűréssel történő használatakor az alábbi szempontok fontosak:

  • Privát DNS-zónák: Csak a virtuális hálózaton belül támogatott, az Azure Virtual WAN-ban nem.
  • Több IP-cím a DNS-feloldásban: Az Azure Firewall DNS-proxyja mindig kiválasztja az első IP-címet a feloldott listából (privát DNS-zóna vagy egyéni DNS-kiszolgáló). Ez az elvárt működés.

A naplók elemzése segíthet diagnosztizálni a csatlakozási problémákat, és meggyőződni arról, hogy a forgalom megfelelően van átirányítva a kívánt háttérrendszerhez.

Privát IP DNAT-forgatókönyvek

Az átfedésben lévő hálózatokat vagy nem irányítható hálózati hozzáférést tartalmazó speciális forgatókönyvek esetében használhatja az Azure Firewall privát IP DNAT-képességét. Ez a funkció a következőket teszi lehetővé:

  • Olyan átfedésben lévő hálózati forgatókönyvek kezelése, amelyekben több hálózat azonos IP-címtérrel rendelkezik
  • Hozzáférés biztosítása az erőforrásokhoz nem útválasztható hálózatokban
  • A tűzfal privát IP-címének használata a DNST-hez nyilvános IP-címek helyett

Ha szeretné megtudni, hogyan konfigurálhatja a privát IP-DNST-t ezekhez a forgatókönyvekhez, olvassa el az Azure Firewall privát IP-dnst üzembe helyezését átfedésben lévő és nem irányítható hálózatokon.

Megjegyzés:

A privát IP DNAT csak az Azure Firewall Standard és a Prémium termékváltozatokban érhető el. Az alapszintű termékváltozat nem támogatja ezt a funkciót.

Következő lépések

  • Last updated on