Azure Firewall SNAT privát IP-címtartományok

Az Azure Firewall SNAT-képességet biztosít a nyilvános IP-címek felé irányuló összes kimenő forgalomhoz. Az Azure Firewall alapértelmezés szerint nem használja az SNAT-t hálózati szabályokkal, ha a cél IP-cím az IANA RFC 1918-ra vagy az IANA RFC6598-ra eső megosztott címtartományban van. Az alkalmazásszabályok mindig transzparens proxyn keresztül használják az SNAT-t, függetlenül a cél IP-címétől.

Ez az alapértelmezett viselkedés akkor megfelelő, ha a forgalmat közvetlenül az internetre irányítja. Vannak azonban olyan helyzetek, amikor felül kell bírálnia az alapértelmezett SNAT-viselkedést:

• Ha engedélyezi a kényszerített bújtatást, az Azure Firewall az AzureFirewallSubnetben az internethez kötött forgalmat a tűzfal egyik privát IP-címére irányítja, elrejtve a forrást a helyszíni tűzfalról.
• Ha a szervezet az IANA RFC 1918-on vagy az IANA RFC 6598-on kívüli regisztrált IP-címtartományokat használ magánhálózatokhoz, az Azure Firewall a forgalmat a tűzfal egyik privát IP-címére SNAT-olja az AzureFirewallSubnet alhálózatban. Az Azure Firewall konfigurálható úgy, hogy ne SNAT-t állítsunk be a nyilvános IP-címtartományba. Adjon meg például egy egyéni IP-címet x.x.x.x vagy egy IP-címtartományt.x.x.x.x/24

Az Azure Firewall SNAT viselkedését a következő módokon módosíthatja:

• Ha úgy szeretné konfigurálni az Azure Firewallt, hogy a hálózati szabályok által feldolgozott SNAT-forgalmat a cél IP-címtől függetlenül soha ne dolgozza fel, használja a 0.0.0.0/0-t magánhálózati IP-címtartományként. Ezzel a konfigurációval az Azure Firewall nem tudja közvetlenül az internetre irányítani a forgalmat.
• Ha úgy szeretné konfigurálni a tűzfalat, hogy mindig a hálózati szabályok által feldolgozott SNAT-forgalmat használja a célcímtől függetlenül, használja a 255.255.255.255/32-et magánhálózati IP-címtartományként.
• Az Azure Firewall konfigurálható úgy, hogy óránként automatikusan elsajátítsa a regisztrált és a privát tartományokat, és használja az SNAT tanult útvonalait. Ehhez az előzetes verziójú funkcióhoz az Azure Route Server ugyanazon a virtuális hálózaton van üzembe helyezve, mint az Azure Firewall.

Fontos

• A privát címtartomány konfigurációja csak a hálózati szabályokra vonatkozik. Az alkalmazásszabályok mindig SNAT-t használnak.
• Ha saját privát IP-címtartományokat szeretne megadni, és megtartja az alapértelmezett IANA RFC 1918 címtartományokat, győződjön meg róla, hogy az egyéni listája továbbra is tartalmazza a IANA RFC 1918 tartományt.

Az SNAT privát IP-címeit az alábbi módszerekkel konfigurálhatja. Használja a konfigurációnak megfelelő módszert. A tűzfalszabályzathoz társított tűzfalaknak meg kell adniuk a házirend tartományát, és nem kell használniuk AdditionalProperties.

Metódus	Klasszikus szabályok használata	Tűzfalszabályzat használata
Azure Portal	támogatott	támogatott
Azure PowerShell	konfigurál PrivateRange	jelenleg nem támogatott
Azure CLI	konfigurál --private-ranges	jelenleg nem támogatott
ARM-sablon	konfigurálja AdditionalProperties a tűzfal tulajdonságában	konfigurálja snat/privateRanges tűzfalszabályzatban

SNAT privát IP-címtartományok konfigurálása – Azure PowerShell

Klasszikus szabályok

Az Azure PowerShell használatával privát IP-címtartományokat adhat meg a tűzfalhoz.

Feljegyzés

A tűzfal tulajdonsága PrivateRange figyelmen kívül marad a tűzfalszabályzathoz társított tűzfalak esetében. A tulajdonságot az SNAT SNAT privát IP-címtartományainak konfigurálása – ARM-sablonban leírtak szerint firewallPolicies.

Új tűzfal

Klasszikus szabályokat használó új tűzfal esetén használja a következő Azure PowerShell-parancsmagot:

$azFw = @{
   Name               = '<fw-name>'
   ResourceGroupName  = '<resourcegroup-name>'
   Location           = '<location>'
   VirtualNetworkName = '<vnet-name>'
   PublicIpName       = '<public-ip-name>'
   PrivateRange       = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
}

New-AzFirewall @azFw

Feljegyzés

• Az Azure Firewall üzembe New-AzFirewall helyezéséhez meglévő virtuális hálózatra és nyilvános IP-címre van szükség. A teljes üzembe helyezési útmutatóért tekintse meg az Azure Firewall üzembe helyezését és konfigurálását az Azure PowerShell használatával.
• IANAPrivateRanges az Azure Firewallon az aktuális alapértelmezett értékre bővül, míg a többi tartomány hozzá lesz adva. Az alapértelmezett érték megőrzéséhez a magántartomány-specifikációban, a példában látható módon, a IANAPrivateRanges elemnek benne kell maradnia a PrivateRange specifikációban.

További információ: New-AzFirewall.

Meglévő tűzfal

A klasszikus szabályokat használó meglévő tűzfal konfigurálásához használja a következő Azure PowerShell-parancsmagokat:

$azfw = Get-AzFirewall -Name '<fw-name>' -ResourceGroupName '<resourcegroup-name>'
$azfw.PrivateRange = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
Set-AzFirewall -AzureFirewall $azfw

SNAT privát IP-címtartományok konfigurálása – Azure CLI

Klasszikus szabályok

Az Azure CLI használatával klasszikus szabályokkal adhat meg privát IP-címtartományokat a tűzfalhoz.

Új tűzfal

Klasszikus szabályokat használó új tűzfal esetén használja a következő Azure CLI-parancsot:

az network firewall create \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

Feljegyzés

• Az Azure Firewall Azure CLI-paranccsal az network firewall create történő üzembe helyezéséhez további konfigurációs lépésekre van szükség a nyilvános IP-címek és AZ IP-konfiguráció létrehozásához. A teljes üzembe helyezési útmutatóért tekintse meg az Azure Firewall üzembe helyezését és konfigurálását az Azure CLI használatával.
• Az Azure Firewall kibővíti IANAPrivateRanges a meglévő alapértelmezett beállításokkal, és hozzáadja a többi tartományt is. Ha meg szeretné tartani az IANAPrivateRanges alapértelmezett értéket a privát tartomány specifikációjában, vegye fel a private-ranges specifikációba a példában látható módon.

Meglévő tűzfal

A klasszikus szabályokat használó meglévő tűzfal konfigurálásához használja a következő Azure CLI-parancsot:

az network firewall update \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

SNAT privát IP-címtartományok konfigurálása – ARM-sablon

Klasszikus szabályok

Ha az ARM-sablon üzembe helyezése során szeretné konfigurálni az SNAT-t, adja hozzá a következő kódot a additionalProperties tulajdonsághoz:

"additionalProperties": {
   "Network.SNAT.PrivateRanges": "IANAPrivateRanges, IPRange1, IPRange2"
},

Tűzfalszabályzat

A tűzfalszabályzathoz társított Azure-tűzfalak támogatják az SNAT privát tartományait az API 2020-11-01-es verziója óta. Sablon használatával frissítheti az SNAT privát tartományát a tűzfalszabályzaton. Az alábbi minta úgy konfigurálja a tűzfalat, hogy a hálózati forgalom mindig SNAT-olt legyen:

{
   "type": "Microsoft.Network/firewallPolicies",
   "apiVersion": "2020-11-01",
   "name": "[parameters('firewallPolicies_DatabasePolicy_name')]",
   "location": "eastus",
   "properties": {
      "sku": {
         "tier": "Standard"
      },
      "snat": {
         "privateRanges": "[255.255.255.255/32]"
      }
   }
}

SNAT privát IP-címtartományok konfigurálása – Azure Portal

Klasszikus szabályok

Az Azure Portal használatával adja meg a tűzfal magánhálózati IP-címtartományait.

1. Válassza ki az erőforráscsoportot, majd válassza ki a tűzfalat.

2. Az Áttekintés panel privát IP-tartományai területen válassza ki az alapértelmezett IANA RFC 1918 értéket.

   Megnyílik a Magánhálózati IP-előtagok szerkesztése lap:

3. Alapértelmezés szerint az IANAPrivateRanges konfigurálva van.

4. Szerkessze a környezet privát IP-címtartományait, majd válassza a Mentés lehetőséget.

Tűzfalszabályzat

1. Válassza ki az erőforráscsoportot, majd válassza ki a tűzfalszabályzatot.
2. Válassza ki a Privát IP-címtartományokat (SNAT) a Beállítások oszlopban.
3. Az SNAT-konfiguráció testreszabásához válassza ki a környezet SNAT-jának végrehajtásához szükséges feltételeket az SNAT végrehajtása területen.
4. Válassza az Alkalmazás lehetőséget.

SNAT-útvonalak automatikus elsajátítása (előzetes verzió)

Az Azure Firewallt úgy konfigurálhatja, hogy 30 percenként automatikusan betanulja a regisztrált és a privát tartományokat is. Ezek a tanult címtartományok a hálózaton belül vannak, így a tanult tartományok célhelyei felé történő forgalom nincs SNAT-olva. Az automatikusan elsajátított SNAT-tartományokhoz az Azure Route Servert ugyanabban a virtuális hálózaton kell üzembe helyezni, mint az Azure Firewall. A tűzfalat társítani kell az Azure Route Serverhez, és úgy kell konfigurálni, hogy automatikusan tanulja az SNAT-tartományokat az Azure Firewall Policy-ben. Jelenleg ARM-sablont, Azure PowerShellt vagy Azure Portalt használhat az automatikus SNAT-útvonalak konfigurálásához.

Feljegyzés

Az automatikusan elsajátított SNAT-útvonalak csak virtuális hálózati telepítések (központi virtuális hálózat) esetén érhetők el. A VWAN-üzemelő példányokon nem érhető el (biztonságos virtuális központ). További információ az Azure Firewall architektúrabeállításairól: Mik az Azure Firewall Manager architektúrabeállításai?

Konfigurálás ARM-sablonnal

Az autolearn konfigurálásához használja az alábbi JSON-t. Az Azure Firewallnak egy Azure Route Serverhez kell társítania.

{
   "type": "Microsoft.Network/firewallPolicies",
   "apiVersion": "2022-11-01",
   "name": "[parameters('firewallPolicies_DatabasePolicy_name')]",
   "location": "eastus",
   "properties": {
      "sku": {
         "tier": "Standard"
      },
      "snat": {
         "autoLearnPrivateRanges": "Enabled"
      }
   }
}

Azure Route Server társításához használja a következő JSON-t:

{
   "type": "Microsoft.Network/azureFirewalls",
   "apiVersion": "2022-11-01",
   "name": "[parameters('azureFirewalls_testFW_name')]",
   "location": "eastus",
   "properties": {
      "sku": {
         "name": "AZFW_VNet",
         "tier": "Standard"
      },
      "threatIntelMode": "Alert",
      "additionalProperties": {
         "Network.RouteServerInfo.RouteServerID": "[parameters('virtualHubs_TestRouteServer_externalid')]"
      }
   }
}

Konfigurálás az Azure PowerShell használatával

• Hozzon létre egy új tűzfalat RouteServerId azonosítóval.

  # specify RouteServerId Uri
  $routeServerId="/subscriptions/your_sub/resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS"
  
  # Create AzureFirewall
  $azureFirewall = New-AzFirewall -Name $azureFirewallName -ResourceGroupName `
    $rgname -Location $location -RouteServerId $routeServerId
  
  # Get firewall and confirm if RouteServerId is included on the response under additional properties (Network.RouteServerInfo.RouteServerID)
  Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
  

• Meglévő tűzfal frissítése a RouteServerId azonosítóval

  # specify RouteServerId Uri
  $routeServerId="/subscriptions/your_sub/resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS"
  
  # Get firewall
  $azFirewall = Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
  
  # Update the response with RouteServerId and do firewall SET
  $azFirewall.RouteServerId = $routeServerId
  Set-AzFirewall -AzureFirewall $azFirewall
  
  # Do firewall Get and confirm if routeServerId is updated
  Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
  

• Hozzon létre új tűzfalszabályzatot a megadott SNAT-paraméterrel.

  # If AutoLearnPrivateRange parameter is provided, auto learn will be enabled, if not it will be disabled
  $snat = New-AzFirewallPolicySnat -PrivateRange $privateRange -AutoLearnPrivateRange
  
  # Create AzureFirewallPolicy (with SNAT)
  $azureFirewallPolicy = New-AzFirewallPolicy -Name $azureFirewallPolicyName `
    -ResourceGroupName $rgname -Location $location -Snat $snat
  
  # Get AzureFirewallPolicy and verify
  Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname
  

• Meglévő tűzfalszabályzat frissítése az SNAT-vel

  $snat = New-AzFirewallPolicySnat -PrivateRange $privateRange2
  
  # Set AzureFirewallPolicy
  $azureFirewallPolicy.Snat = $snat
  Set-AzFirewallPolicy -InputObject $azureFirewallPolicy
  
  # Do Get and Verify
  Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname
  

• A tűzfal által tanult előtagok lekérése

  Get-AzFirewallLearnedIpPrefix -Name $azureFirewallName -ResourceGroupName $rgname
  

Konfigurálás az Azure Portal használatával

Ha az Azure Portalon szeretné konfigurálni az automatikus SNAT-útvonalakat (előzetes verzió), kövesse az alábbi lépéseket:

1. Alhálózat hozzáadása:

   • Adjon hozzá egy RouteServerSubnet nevű alhálózatot a meglévő tűzfal virtuális hálózatához.
   • Győződjön meg arról, hogy az alhálózat mérete legalább /27.

2. Útvonalkiszolgáló üzembe helyezése:

   • Útvonalkiszolgáló üzembe helyezése a meglévő tűzfal virtuális hálózatán.
   • Részletes lépésekért tekintse meg a rövid útmutatót: Route Server létrehozása és konfigurálása az Azure Portal használatával.

3. Az útvonalkiszolgáló társítása:

   • A tűzfal Tanult SNAT IP-előtagok (előzetes verzió) lapján adja hozzá az útvonalkiszolgálót.

4. Tűzfalszabályzat módosítása:

   • Engedélyezze az automatikusan megtanulható IP-előtagokat (előzetes verzió) a tűzfalszabályzat Privát IP-tartományok (SNAT) szakaszában.

5. Tanult útvonalak megtekintése:

   • Ellenőrizze a tanult útvonalakat a Learned SNAT IP-előtagok (előzetes verzió) panelen.

Következő lépések

• Ismerje meg az Azure Firewall kényszerített bújtatását.