Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan
Fitur ini sebelumnya disebut Penerowongan Paksa. Awalnya, antarmuka jaringan Manajemen hanya diperlukan untuk Penerowongan Paksa. Namun, fitur-fitur Firewall tertentu yang akan datang juga akan memerlukan antarmuka jaringan manajemen, sehingga sudah dipisahkan dari Penerowongan Paksa.
Antarmuka jaringan Azure Firewall Management memisahkan lalu lintas manajemen firewall dari lalu lintas pelanggan. Untuk mendukung penerowongan paksa dan fitur manajemen lainnya, Anda harus membuat Azure Firewall dengan antarmuka jaringan Manajemen Firewall diaktifkan, atau mengaktifkannya pada Azure Firewall yang ada untuk menghindari gangguan layanan.
Apa yang terjadi saat Anda mengaktifkan antarmuka jaringan Manajemen
Jika Anda mengaktifkan Management NIC, firewall merutekan lalu lintas manajemennya melalui AzureFirewallManagementSubnet (ukuran subnet minimum /26) dengan alamat IP publik terkait. Anda menetapkan alamat IP publik ini untuk firewall guna mengelola lalu lintas. AzureFirewallManagementSubnet mencakup semua lalu lintas yang diperlukan untuk tujuan operasional firewall.
Secara default, layanan ini mengaitkan tabel rute yang disediakan sistem ke subnet Manajemen. Satu-satunya rute yang diperbolehkan pada subnet ini adalah rute default ke Internet dan propagasi rute gateway harus dinonaktifkan. Hindari mengaitkan tabel rute pelanggan ke subnet Manajemen, karena konfigurasi ini dapat menyebabkan gangguan layanan. Jika Anda mengaitkan tabel rute, pastikan tabel tersebut memiliki rute default ke Internet untuk menghindari gangguan layanan.
Mengaktifkan NIC manajemen pada firewall yang ada
Untuk versi firewall Standar dan Premium, Anda harus mengaktifkan NIC Manajemen Firewall secara manual selama proses pembuatan seperti yang ditunjukkan sebelumnya. Namun, semua versi Firewall Dasar dan semua firewall Hub Aman selalu mengaktifkan NIC Manajemen.
Untuk firewall yang ada, Anda harus menghentikan firewall lalu memulai ulang dengan antarmuka jaringan Manajemen Firewall yang diaktifkan untuk mendukung penerowongan paksa. Anda dapat menggunakan menghentikan atau memulai firewall untuk mengaktifkan NIC Manajemen Firewall tanpa perlu menghapus firewall yang ada dan menyebarkan ulang yang baru. Selalu mulai atau hentikan firewall selama jam pemeliharaan untuk menghindari gangguan, termasuk saat mencoba mengaktifkan NIC Manajemen Firewall.
AzureFirewallManagementSubnetBuat di portal Microsoft Azure dan gunakan rentang alamat IP yang sesuai untuk jaringan virtual.
Buat alamat IP publik manajemen baru dengan properti yang sama dengan alamat IP publik firewall yang ada: SKU, tingkat, dan lokasi.
Hentikan firewall.
Gunakan informasi di Tanya Jawab Umum Azure Firewall untuk menghentikan firewall:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfwMulai firewall dengan alamat IP publik manajemen dan subnet.
Mulai firewall dengan satu alamat IP publik dan alamat IP publik manajemen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw | Set-AzFirewallMulai firewall dengan dua alamat IP publik dan alamat IP publik manajemen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip) $azfw | Set-AzFirewallCatatan
Anda harus mengalokasikan kembali firewall dan IP publik ke grup sumber daya serta langganan asli. Saat Anda menghentikan atau memulai firewall, alamat IP privat mungkin berubah ke alamat IP yang berbeda dalam subnet. Ini dapat memengaruhi konektivitas tabel rute yang dikonfigurasi sebelumnya.
Saat Anda melihat firewall di portal Microsoft Azure, Anda akan melihat alamat IP publik manajemen yang ditetapkan:
Catatan
Jika Anda menghapus semua konfigurasi alamat IP lain di firewall, Anda juga menghapus konfigurasi alamat IP manajemen, dan firewall dialokasikan ulang. Anda tidak dapat menghapus alamat IP publik yang ditetapkan ke konfigurasi alamat IP manajemen, tetapi Anda dapat menetapkan alamat IP publik yang berbeda.
Menyebarkan Azure Firewall baru dengan antarmuka jaringan manajemen untuk penerowongan paksa
Jika Anda lebih suka menyebarkan Azure Firewall baru alih-alih menggunakan metode stop/start, pastikan untuk menyertakan subnet manajemen dan NIC manajemen sebagai bagian dari konfigurasi Anda.
Penting
- Firewall tunggal per jaringan virtual: Karena dua firewall tidak dapat ada dalam jaringan virtual yang sama, hapus firewall lama sebelum memulai penyebaran baru jika Anda berencana untuk menggunakan kembali jaringan virtual yang sama.
- Subnet pra-buat: Pastikan AzureFirewallManagementSubnet dibuat terlebih dahulu untuk menghindari masalah penyebaran saat menggunakan jaringan virtual yang ada.
Prasyarat
-
Buat AzureFirewallManagementSubnet :
- Ukuran subnet minimum: /26
- Contoh: 10.0.1.0/26
Langkah-langkah penyebaran
- Buka Membuat Sumber Daya di portal Azure.
- Cari Firewall dan pilih Buat.
- Pada Buat Firewall, konfigurasikan pengaturan berikut:
- Langganan: Pilih langganan Anda.
- Grup sumber daya: Pilih grup sumber daya yang sudah ada atau buat yang baru.
- Nama: Masukkan nama untuk firewall.
- Wilayah: Pilih wilayah Anda.
- Firewall SKU: Pilih Dasar, Standar, atau Premium.
- Virtual Network: Buat jaringan virtual baru atau gunakan jaringan virtual yang sudah ada. Misalnya, gunakan ruang alamat 10.0.0.0/16 dan subnet 10.0.0.0/26 untuk AzureFirewallSubnet.
- Alamat IP Publik: Tambahkan alamat IP publik baru. Misalnya, beri nama FW-PIP.
- Aktifkan NIC Manajemen Firewall: Pilih opsi ini. Atur rentang alamat AzureFirewallManagementSubnet (misalnya, 10.0.1.0/26) dan buat alamat IP publik manajemen (misalnya, Mgmt-PIP).
- Pilih Tinjau + Buat untuk memvalidasi dan menyebarkan firewall. Proses pemasangan memakan waktu beberapa menit.