Azure tűzfal kezelési NIC

Megjegyzés

Ezt a funkciót korábban kényszerített bújtatásnak nevezték. Eredetileg csak a kényszerített tunnelinghez volt szükség felügyeleti hálózati felületre. Egyes közelgő tűzfalfunkciókhoz azonban felügyeleti hálózati adapterre is szükség lesz, ezért leválasztották a kényszerített bújtatásról.

Az Azure Firewall Management hálózati adapter elválasztja a tűzfalkezelési forgalmat az ügyfélforgalomtól. A kényszerített bújtatás és egyéb felügyeleti funkciók támogatásához létre kell hoznia egy Azure Firewall-tűzfalat, amelyen engedélyezve van a tűzfalkezelési hálózati adapter, vagy engedélyeznie kell azt egy meglévő Azure Firewallon a szolgáltatás megszakadásának elkerülése érdekében.

Mi történik a felügyeleti hálózati adapter engedélyezésekor?

Ha engedélyezi a felügyeleti hálózati adaptert, a tűzfal a felügyeleti forgalmat az AzureFirewallManagementSubneten (minimális alhálózati méret /26) irányítja át a társított nyilvános IP-címmel. Ezt a nyilvános IP-címet rendeli hozzá a tűzfalhoz a forgalom kezeléséhez. Az AzureFirewallManagementSubnet tartalmazza a tűzfal üzemeltetési céljaihoz szükséges összes forgalmat.

Alapértelmezés szerint a szolgáltatás egy rendszer által biztosított útvonaltáblát társít a felügyeleti alhálózathoz. Az alhálózaton csak az internetre irányuló alapértelmezett útvonal engedélyezett, és az átjáróútvonalak propagálását le kell tiltani. Kerülje az ügyfélútvonal-táblák társítását a Felügyeleti alhálózathoz, mivel ez a konfiguráció szolgáltatáskimaradásokat okozhat. Ha társít egy útvonaltáblát, győződjön meg arról, hogy az alapértelmezett internetes útvonallal rendelkezik a szolgáltatáskimaradások elkerülése érdekében.

Képernyőkép a tűzfalkezelési hálózati adapter konfigurációjáról.

A meglévő tűzfalakon a felügyeleti hálózati interfész kártya engedélyezése

A standard és a prémium szintű tűzfalverziók esetében manuálisan kell engedélyeznie a tűzfalfelügyeleti hálózati adaptert a létrehozási folyamat során, ahogyan az korábban is látható. Azonban az összes alapszintű tűzfalverzió és biztonságos központi tűzfal mindig rendelkezik engedélyezett felügyeleti hálózati kártyával.

Meglévő tűzfal esetén le kell állítania a tűzfalat, majd újra kell indítania a tűzfalkezelő hálózati adapterrel, amely engedélyezve van a kényszerített bújtatás támogatásához. A tűzfal leállításával vagy elindításával engedélyezheti a tűzfalfelügyelet hálózati adapterét anélkül, hogy törölnie kellene egy meglévő tűzfalat, és újra üzembe kellene helyeznie egy újat. A megszakítások elkerülése érdekében mindig indítsa el vagy állítsa le a tűzfalat a karbantartási órákban, beleértve a tűzfalfelügyelet hálózati adapter engedélyezésének megkísérlését is.

  1. Hozza létre a AzureFirewallManagementSubnet az Azure portálon, és használja a megfelelő IP-címtartományt a virtuális hálózathoz.

    Képernyőkép az AzureFirewallManagementSubnet alhálózati konfigurációjáról.

  2. Hozza létre az új felügyeleti nyilvános IP-címet ugyanazokkal a tulajdonságokkal, mint a meglévő tűzfal nyilvános IP-címe: termékváltozat, szint és hely.

    Képernyőkép a nyilvános IP-cím létrehozásáról.

  3. Állítsa le a tűzfalat.

    Az Azure Firewall gyakori kérdéseinek segítségével állítsa le a tűzfalat:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

  4. Indítsa el a tűzfalat a felügyeleti nyilvános IP-címmel és alhálózattal.

    Egy tűzfal indítása egy nyilvános IP-címmel és egy kezelési nyilvános IP-címmel:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall

    Indítsa el a tűzfalat két nyilvános IP-címmel és egy felügyeleti nyilvános IP-címmel:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall

    Megjegyzés

    A tűzfalat és a nyilvános IP-címet vissza kell helyeznie az eredeti erőforráscsoportba és előfizetésbe. Ha leállítja vagy elindítja a tűzfalat, előfordulhat, hogy a privát IP-cím az alhálózaton belül másik IP-címre változik. Ez hatással lehet a korábban konfigurált útvonaltáblák kapcsolatára.

Amikor megtekinti a tűzfalat az Azure Portalon, megjelenik a hozzárendelt felügyeleti nyilvános IP-cím:

Képernyőkép a felügyeleti IP-címmel rendelkező tűzfalról.

Megjegyzés

Ha eltávolítja a tűzfal összes többi IP-címkonfigurációját, akkor a felügyeleti IP-cím konfigurációja is eltávolításra kerül, és a tűzfal felszabadul. A felügyeleti IP-cím konfigurációhoz rendelt nyilvános IP-címet nem távolíthatja el, de más nyilvános IP-címet rendelhet hozzá.

Új Azure Firewall üzembe helyezése felügyeleti hálózati adapterrel a kényszerített bújtatáshoz

Ha inkább egy új Azure Firewallt szeretne üzembe helyezni a stop/start metódus használata helyett, a konfiguráció részeként mindenképpen használjon felügyeleti alhálózatot és felügyeleti hálózati adaptert.

Fontos

  • Egyetlen tűzfal virtuális hálózatonként: Mivel két tűzfal nem létezhet ugyanazon a virtuális hálózaton belül, törölje a régi tűzfalat az új üzembe helyezés megkezdése előtt, ha ugyanazt a virtuális hálózatot szeretné újra felhasználni.
  • Alhálózat létrehozása előtt: Győződjön meg arról, hogy az AzureFirewallManagementSubnet előre létrejött, hogy elkerülje a meglévő virtuális hálózat használatakor felmerülő üzembe helyezési problémákat.

Előfeltételek

  • Hozza létre az AzureFirewallManagementSubnetet:
    • Alhálózat minimális mérete: /26
    • Példa: 10.0.1.0/26

Üzembe helyezési lépések

  1. Nyissa meg az Erőforrás létrehozása lehetőséget az Azure Portalon.
  2. Keressen tűzfalat , és válassza a Létrehozás opciót.
  3. Tűzfal létrehozásakor konfigurálja a következő beállításokat:
    • Előfizetés: Válassza ki az előfizetését.
    • Erőforráscsoport: Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
    • Név: Adja meg a tűzfal nevét.
    • Régió: Válassza ki a régióját.
    • Tűzfal termékváltozata: Válassza az Alapszintű, a Standard vagy a Premium lehetőséget.
    • Virtuális hálózat: Hozzon létre egy új virtuális hálózatot, vagy használjon egy meglévőt. Használja például a 10.0.0.0/16 címteret és az AzureFirewallSubnet 10.0.0.0/26 alhálózatát.
    • Nyilvános IP-cím: Új nyilvános IP-cím hozzáadása. Nevezze el például FW-PIP néven.
    • Tűzfalkezelési hálózati adapter engedélyezése: Válassza ezt a lehetőséget. Állítsa be az AzureFirewallManagementSubnet címtartományát (például 10.0.1.0/26), és hozzon létre egy nyilvános felügyeleti IP-címet (például Mgmt-PIP).
  4. Válassza a Véleményezés + Létrehozás lehetőséget a tűzfal érvényesítéséhez és üzembe helyezéséhez. Az üzembe helyezés néhány percet vesz igénybe.

Kapcsolódó tartalom

  • Last updated on