Condividi tramite

Usare l'acquisizione di pacchetti per risolvere i problemi relativi a Firewall di Azure

La funzionalità di acquisizione pacchetti di Firewall di Azure consente di acquisire e analizzare il traffico di rete per la risoluzione dei problemi. Questo articolo illustra come configurare filtri, acquisire il traffico e analizzare i risultati.

Prerequisiti

Creare un account di archiviazione

Creare un account di archiviazione e ottenere un URL SAS per il contenitore in cui vengono archiviati i pacchetti acquisiti.

Configurare l'account di archiviazione

  1. Nel portale di Azure selezionare Crea una risorsa, cercare Account di archiviazione e selezionare Crea.

  2. Nella scheda Informazioni di base immettere le informazioni necessarie per l'account di archiviazione.

  3. Nella scheda Avanzate , in Sicurezza, selezionare Consenti l'abilitazione dell'accesso anonimo nei singoli contenitori. Mantenere tutte le altre impostazioni predefinite.

    Screenshot della scheda Avanzate dell'account di archiviazione che mostra la sezione Sicurezza con l'opzione Consenti l'abilitazione dell'accesso anonimo nei singoli contenitori.

Creare un contenitore

  1. Dopo aver creato l'account di archiviazione, passare alla risorsa e selezionare Contenitori in Archiviazione dati.

  2. Selezionare + Contenitore e specificare un nome per il nuovo contenitore.

  3. Per Livello di accesso anonimo selezionare Contenitore (accesso in lettura anonimo per contenitori e BLOB).

    Screenshot della finestra di dialogo

Generare un URL SAS

  1. Dopo aver creato il contenitore, selezionare ... (puntini di sospensione) accanto ad esso e selezionare Genera SAS.

  2. Nella pagina Genera SAS, in Autorizzazioni, rimuovere l'autorizzazione Lettura e selezionare Scrittura.

    Screenshot della pagina Genera SAS che mostra la sezione Permessi con il permesso di scrittura selezionato e il permesso di lettura rimosso.

  3. Selezionare Genera token di firma di accesso condiviso e URL e copiare l'URL di firma di accesso condiviso generato.

Importante

L'acquisizione pacchetti ha esito negativo se l'URL di firma di accesso condiviso dell'account di archiviazione non è configurato correttamente. Seguire con precisione tutti i passaggi:

  • Abilitare l'accesso anonimo nei singoli contenitori
  • Impostare il livello di accesso anonimo su Contenitore
  • Concedere solo l'autorizzazione di scrittura e rimuovere quella di lettura

Errori di configurazione comuni:

  • Autorizzazioni di scrittura mancanti per l'URL SAS
  • Accesso a livello di contenitore non attivato
  • URL di firma di accesso condiviso che punta all'archiviazione blob invece che a un contenitore

Configurare ed eseguire un'acquisizione di pacchetti

Configurare e avviare un'acquisizione di pacchetti nel firewall.

Accesso alla cattura dei pacchetti

  1. Vai al tuo firewall nel portale di Azure.
  2. In Guida selezionare Acquisizione pacchetti.

Configurare le impostazioni di acquisizione

  1. Nella pagina Acquisizione pacchetti, configurare le seguenti impostazioni:

    • Nome acquisizione pacchetti: inserire un nome univoco per i file di acquisizione.
    • URL SAS di output: Incolla l'URL SAS del contenitore di archiviazione che hai creato.

    Suggerimento

    Usare nomi di file univoci per ogni acquisizione per mantenere i risultati precedenti. L'esecuzione di più acquisizioni con lo stesso nome di file allo stesso URL SAS sovrascrive i file esistenti.

  2. Impostare i parametri di acquisizione di base:

    • Numero massimo di pacchetti: immettere un valore compreso tra 100 e 90.000 pacchetti.
    • Limite di tempo (secondi): immettere un valore compreso tra 30 e 1.800 secondi.
    • Protocollo: selezionare il protocollo da acquisire: Qualsiasi, TCP, UDP o ICMP.
    • Flag TCP: se è stato selezionato TCP o Qualsiasi protocollo, scegliere i tipi di pacchetti da acquisire: FIN, SYN, RST, PSH, ACK o URG.

    Annotazioni

    Specificare sia un numero massimo di pacchetti che un limite di tempo. L'acquisizione si arresta quando viene raggiunto il primo limite.

Definire i filtri di acquisizione

  1. Nella sezione Filtro specificare i pacchetti da acquisire:

    • Indirizzi IP o subnet di origine
    • Indirizzi IP o subnet di destinazione
    • Porte di destinazione

    Annotazioni

    • È necessario almeno un filtro.
    • L'acquisizione dei pacchetti registra il traffico bidirezionale che corrisponde a ogni filtro.
    • Usare elenchi delimitati da virgole per più valori, ad esempio 192.168.1.1, 192.168.2.1 o 192.168.1.0/24.
    • Per acquisire pacchetti sia in ingresso che in uscita durante l'utilizzo di SNAT, durante il collegamento a Internet o durante l'elaborazione delle regole applicative, includere lo AzureFirewallSubnet spazio indirizzi nel campo di origine.

Avviare l'acquisizione

  1. Nella sezione Stato selezionare Stato aggiornamento per verificare che l'acquisizione di pacchetti non sia attualmente in esecuzione.

    Screenshot della sezione Stato che mostra il pulsante Aggiorna stato.

    • Se il firewall è pronto, lo stato mostra Nessuna acquisizione pacchetti in corso. È possibile avviare una nuova acquisizione di pacchetti.

    Screenshot dell'interfaccia di acquisizione pacchetti che mostra il pulsante Avvia acquisizione pacchetti.

    • Se un'acquisizione di pacchetti è già in corso, selezionare Arresta acquisizione pacchetti, quindi aggiornare lo stato per confermarlo arrestato prima di avviare una nuova acquisizione.

    Screenshot dell'interfaccia di acquisizione pacchetti che mostra il pulsante Arresta acquisizione pacchetti.

  2. Selezionare Avvia acquisizione pacchetti per avviare l'acquisizione di pacchetti con le impostazioni configurate.

    Annotazioni

    Azure segnala un'operazione di acquisizione di pacchetti con esito positivo quando le acquisizioni vengono ottenute da almeno la metà delle istanze di calcolo sottostanti del firewall. Il portale non visualizza quali istanze hanno fornito le acquisizioni, quindi il messaggio di stato è il principale indicatore di successo.

Analizzare l'acquisizione di pacchetti

Al termine dell'acquisizione di pacchetti, lo stato visualizza Acquisizione pacchetti completata correttamente. Pronto per avviare una nuova acquisizione di pacchetti.

Screenshot dello stato di acquisizione pacchetti che mostra il messaggio di completamento: Acquisizione pacchetti completata correttamente.

Scaricare ed esaminare i file di acquisizione

  1. Passare al contenitore di archiviazione nel portale di Azure.

    Screenshot dell'account di archiviazione di Azure che mostra la pagina contenitori con il contenitore di acquisizione pacchetti.

    I file di acquisizione vengono salvati nella cartella radice del contenitore. Vengono visualizzati più pcap file, uno per ogni istanza della macchina virtuale nel back-end del firewall.

  2. Scarica i pcap file.

    Screenshot del contenitore di archiviazione che mostra più file pcap acquisiti dalle istanze del firewall.

  3. Analizzare i file usando uno strumento di analisi dei pacchetti, ad esempio Wireshark.

Informazioni sui modelli di flusso dei pacchetti

Ogni acquisizione di pacchetti contiene coppie di pacchetti in ingresso e in uscita. Per ogni pacchetto che il firewall elabora, viene visualizzata una coppia corrispondente nel file di cattura. La tabella seguente descrive quattro modelli di flusso di pacchetti comuni:

Scenario Pacchetto in ingresso Pacchetto in uscita
Da rete virtuale a rete virtuale (senza SNAT)
Da rete virtuale a locale (senza SNAT)		 Origine: Cliente
Destinazione: Server		 Origine: Cliente
Destinazione: Server

Le intestazioni di livello 2 differiscono, ma il livello 3 e superiore rimangono identiche.
[Da rete virtuale a rete virtuale (con SNAT)
Da rete virtuale a locale (con SNAT)
Da rete virtuale a Internet		 Origine: Cliente
Destinazione: Server		 Fonte: Firewall
Destinazione: Server

Modifiche dell'indirizzo IP di origine di livello 3 dovute a SNAT. Il livello 4 e superiore rimane invariato.
Regole di flusso dell'applicazione Origine: Cliente
Destinazione: Server		 Fonte: Firewall
Destinazione: Server

I livelli dal 4 in poi differiscono perché il firewall esegue il proxy della connessione, stabilendo una nuova sessione verso la destinazione.

Usare chiavi HTTP o TLS per abbinare i pacchetti in ingresso e in uscita. Il livello 7 rimane invariato.
Flussi DNAT Origine: Cliente
Destinazione: IP pubblico del firewall		 Fonte: Firewall
Destinazione: IP privato DNATed

L'IP di destinazione di livello 3 differisce dal pacchetto in ingresso a causa del DNAT, mentre il livello 4 rimane invariato.

Per istruzioni dettagliate su questi scenari, vedere Uso dell'acquisizione di pacchetti per la risoluzione dei problemi dei flussi di Firewall di Azure.

Domande frequenti

È possibile acquisire il traffico su tutte le porte impostando la porta di destinazione su 0?

È necessario specificare almeno una porta di destinazione in ogni filtro. L'acquisizione del traffico su tutte le porte non è supportata.

È possibile usare gli intervalli di indirizzi IP in un filtro?

I filtri supportano singoli indirizzi IP o subnet, ma non intervalli di indirizzi IP. Se è necessario acquisire un intervallo, usare una subnet che copre tali indirizzi. Limitare i filtri a non più di cinque indirizzi IP o subnet.

È possibile lasciare vuoti i pacchetti massimi o il limite di tempo per acquisire tutto il traffico?

Entrambi i valori sono obbligatori. Impostarli sui valori massimi consentiti, se necessario. L'acquisizione si arresta automaticamente quando viene raggiunto uno dei limiti.

Posso arrestare manualmente un'acquisizione di pacchetti?

Sì, selezionare il pulsante Arresta acquisizione pacchetti per terminare l'acquisizione prima di raggiungere i limiti configurati.

L'acquisizione di pacchetti supporta acquisizioni continue o cicliche?

Le acquisizioni di pacchetti cicliche (continue) non sono supportate. Se è necessaria un'acquisizione estesa o ripetuta per la risoluzione dei problemi, aprire una richiesta di supporto di Azure. Il supporto tecnico di Microsoft può eseguire acquisizioni più lunghe per tuo conto.

È possibile impostare la destinazione su 0.0.0.0/0 per acquisire tutto il traffico?

L'acquisizione di pacchetti è progettata per risolvere i problemi relativi a flussi specifici. L'impostazione della destinazione su 0.0.0.0/0 comporta acquisizioni vuote e non acquisisce tutto il traffico.

È possibile usare un FQDN in un filtro anziché in indirizzi IP?

I filtri non supportano FQDN. Tuttavia, è possibile usare DNS per risolvere il nome di dominio completo negli indirizzi IP e aggiungere tali indirizzi IP al filtro.

Lasciare i flag TCP non selezionati è lo stesso che selezionare tutti i flag?

Quando non vengono selezionati flag TCP (impostazione predefinita), vengono acquisiti tutti i tipi di pacchetti. Selezionare flag specifici solo quando si desidera acquisire tipologie di pacchetti specifiche.

È possibile acquisire pacchetti ICMP, TCP e UDP contemporaneamente?

Sì, selezionare Qualsiasi come protocollo per acquisire tutti i tipi di pacchetti. Il campo protocollo è progettato per filtrare i protocolli specifici quando necessario.

Come è possibile sapere se l'acquisizione di pacchetti ha avuto esito positivo?

Azure segnala l'esito positivo quando le acquisizioni vengono ottenute da almeno la metà delle istanze di calcolo sottostanti. I file di acquisizione vuoti indicano che l'operazione ha avuto esito positivo, ma non è stato trovato alcun traffico corrispondente ai filtri. Ampliare i filtri ed eseguire di nuovo l'acquisizione.

Passaggi successivi

  • Last updated on