Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Aturan DNAT Azure Firewall (Terjemahan Alamat Jaringan Tujuan) digunakan untuk memfilter dan merutekan lalu lintas masuk. Mereka memungkinkan Anda untuk menerjemahkan alamat IP tujuan yang menghadap publik dan port lalu lintas masuk ke alamat IP privat dan port dalam jaringan Anda. Ini berguna ketika Anda ingin mengekspos layanan yang berjalan pada IP privat (seperti server web atau titik akhir SSH) ke internet atau jaringan lain.
Aturan DNAT menentukan:
- Sumber: Alamat IP sumber atau grup IP tempat lalu lintas berasal.
- Tujuan: Alamat IP tujuan instans Azure Firewall.
- Protokol: Protokol yang digunakan untuk lalu lintas (TCP atau UDP).
- Port tujuan: Port pada instans Azure Firewall yang menerima lalu lintas.
- Alamat yang diterjemahkan: Alamat IP privat atau FQDN tempat lalu lintas harus dirutekan.
- Port yang diterjemahkan: Port pada alamat terjemahan tempat lalu lintas harus diarahkan.
Ketika paket cocok dengan aturan DNAT, Azure Firewall memodifikasi alamat IP tujuan paket dan port sesuai dengan aturan sebelum meneruskannya ke server backend yang ditentukan.
Azure Firewall mendukung pemfilteran FQDN dalam aturan DNAT, memungkinkan Anda menentukan nama domain yang sepenuhnya memenuhi syarat (FQDN) sebagai target untuk terjemahan alih-alih alamat IP statis. Ini memungkinkan konfigurasi backend dinamis dan menyederhanakan manajemen dalam skenario di mana alamat IP server backend dapat sering berubah.
Prasyarat
- Sebuah langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
- Instans Azure Firewall.
- Kebijakan Azure Firewall.
Membuat aturan DNAT
Di portal Microsoft Azure, navigasikan ke instans Azure Firewall Anda.
Di panel kiri, pilih aturan .
Pilih aturan DNAT.
Pilih + Tambahkan kumpulan aturan DNAT.
Di panel Tambahkan kumpulan aturan , berikan informasi berikut ini:
- Nama: Masukkan nama untuk kumpulan aturan DNAT.
- Prioritas: Tentukan prioritas untuk kumpulan aturan. Angka yang lebih rendah menunjukkan prioritas yang lebih tinggi. Rentangnya adalah 100-65000.
- Tindakan: Penerjemahan Alamat Jaringan Tujuan (DNAT) (default).
- Grup kumpulan aturan: Ini adalah nama grup kumpulan aturan yang berisi kumpulan aturan DNAT. Anda dapat memilih grup default atau grup yang Anda buat sebelumnya.
-
Aturan:
- Nama: Masukkan nama untuk aturan DNAT.
- Jenis sumber: Pilih Alamat IP atau Grup IP.
- Sumber: Masukkan alamat IP sumber atau pilih grup IP.
- Protokol: Pilih protokol (TCP atau UDP).
- Port Tujuan: Masukkan port tujuan atau rentang port (Misalnya: port tunggal 80, rentang port 80-100, atau beberapa port 80.443).
- Tujuan (Alamat IP Firewall): Masukkan alamat IP tujuan instans Azure Firewall.
- Jenis yang diterjemahkan: Pilih Alamat IP atau FQDN.
- Alamat yang diterjemahkan atau FQDN: Masukkan alamat IP atau FQDN yang diterjemahkan.
- Port yang diterjemahkan: Masukkan port yang diterjemahkan.
Ulangi langkah 5 untuk aturan tambahan sesuai kebutuhan.
Pilih Tambahkan untuk membuat kumpulan aturan DNAT.
Memantau dan memvalidasi aturan DNAT
Setelah membuat aturan DNAT, Anda dapat memantau dan memecahkan masalahnya menggunakan log AZFWNatRule . Log ini memberikan wawasan terperinci tentang aturan DNAT yang diterapkan pada lalu lintas masuk, termasuk:
- Tanda waktu: Waktu yang tepat terjadi arus lalu lintas.
- Protokol: Protokol yang digunakan untuk komunikasi (Misalnya, TCP atau UDP).
- IP sumber dan port: Informasi tentang sumber lalu lintas asal.
- IP dan port tujuan: Detail tujuan asli sebelum terjemahan.
- IP dan port yang diterjemahkan: Alamat IP yang dipecahkan (jika menggunakan FQDN) dan port yang dituju setelah diterjemahkan.
Penting untuk dicatat hal berikut saat Anda menganalisis log AZFWNatRule :
- Bidang yang diterjemahkan: Untuk aturan DNAT menggunakan pemfilteran FQDN, log menampilkan alamat IP yang diselesaikan di bidang yang diterjemahkan, bukan FQDN.
- Zona DNS privat: Hanya didukung dalam jaringan virtual (VNet). Fitur ini tidak tersedia untuk SKU WAN virtual.
- Beberapa IP dalam pemecahan nama DNS: Jika FQDN dipecahkan menjadi beberapa alamat IP di zona DNS privat atau server DNS kustom, proksi DNS Azure Firewall akan memilih alamat IP pertama dari daftar. Perilaku ini dirancang.
-
Kegagalan resolusi FQDN:
- Jika Azure Firewall tidak dapat mengatasi FQDN, aturan DNAT tidak cocok, sehingga lalu lintas tidak diproses.
- Kegagalan ini dicatat dalam log AZFWInternalFQDNResolutionFailure hanya jika proksi DNS diaktifkan.
- Tanpa proksi DNS diaktifkan, kegagalan resolusi tidak dicatat.
Pertimbangan utama
Pertimbangan berikut penting saat menggunakan aturan DNAT dengan pemfilteran FQDN:
- Zona DNS privat: Hanya didukung dalam jaringan virtual dan bukan dengan Azure Virtual WAN.
- Berbagai alamat IP dalam resolusi DNS: Proksi DNS Azure Firewall selalu memilih alamat IP pertama dari daftar hasil resolusi (zona DNS pribadi atau server DNS kustom). Ini adalah perilaku yang diprediksi.
Menganalisis log ini dapat membantu mendiagnosis masalah konektivitas dan memastikan lalu lintas dirutekan dengan benar ke backend yang dimaksudkan.
Skenario DNAT IP privat
Untuk skenario tingkat lanjut yang melibatkan jaringan yang tumpang tindih atau akses jaringan yang tidak dapat dirutekan, Anda dapat menggunakan kemampuan DNAT IP privat Azure Firewall. Fitur ini memungkinkan Anda untuk:
- Menangani skenario jaringan yang tumpang tindih di mana beberapa jaringan berbagi ruang alamat IP yang sama
- Menyediakan akses ke sumber daya di jaringan yang tidak dapat dirutekan
- Gunakan alamat IP privat firewall untuk DNAT alih-alih alamat IP publik
Untuk mempelajari cara mengonfigurasi DNAT IP privat untuk skenario ini, lihat Menyebarkan DNAT IP privat Azure Firewall untuk jaringan yang tumpang tindih dan tidak dapat dirutekan.
Nota
DNAT IP privat hanya tersedia di Azure Firewall Standard dan SKU Premium. SKU Dasar tidak mendukung fitur ini.
Langkah selanjutnya
- Pelajari cara memantau log dan metrik Azure Firewall menggunakan Azure Monitor.
- Menerapkan DNAT IP privat Azure Firewall untuk jaringan yang tumpang tindih dan tidak dapat dirutekan