Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Firewall DNAT-regels (Destination Network Address Translation) worden gebruikt om inkomend verkeer te filteren en te routeren. Hiermee kunt u het openbare doel-IP-adres en de poort van binnenkomend verkeer vertalen naar een privé-IP-adres en -poort binnen uw netwerk. Dit is handig als u een service die wordt uitgevoerd op een privé-IP-adres (zoals een webserver of SSH-eindpunt) beschikbaar wilt maken voor internet of een ander netwerk.
Een DNAT-regel geeft het volgende op:
- Bron: Het bron-IP-adres of de IP-groep waaruit het verkeer afkomstig is.
- Doel: het doel-IP-adres van het Azure Firewall-exemplaar.
- Protocol: het protocol dat wordt gebruikt voor het verkeer (TCP of UDP).
- Doelpoort: de poort op het Azure Firewall-exemplaar dat het verkeer ontvangt.
- Vertaald adres: het privé-IP-adres of de FQDN waarnaar het verkeer moet worden gerouteerd.
- Vertaalde poort: de poort op het vertaalde adres waarnaar het verkeer moet worden omgeleid.
Wanneer een pakket overeenkomt met de DNAT-regel, wijzigt Azure Firewall het doel-IP-adres en de poort van het pakket volgens de regel voordat deze doorstuurt naar de opgegeven back-endserver.
Azure Firewall ondersteunt FQDN-filtering in DNAT-regels, zodat u een FQDN (Fully Qualified Domain Name) kunt opgeven als het doel voor vertaling in plaats van een statisch IP-adres. Dit maakt dynamische back-endconfiguraties mogelijk en vereenvoudigt het beheer in scenario's waarin het IP-adres van de back-endserver regelmatig kan worden gewijzigd.
Vereiste voorwaarden
- Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
- Een Azure Firewall-exemplaar.
- Een Azure Firewall-beleid.
Een DNAT-regel maken
Navigeer in Azure Portal naar uw Azure Firewall-exemplaar.
Selecteer in het linkerdeelvenster Regels.
Selecteer DNAT-regels.
Selecteer + DNAT-regelverzameling toevoegen.
Geef in het deelvenster Een regelverzameling toevoegen de volgende informatie op:
- Naam: Voer een naam in voor de DNAT-regelverzameling.
- Prioriteit: Geef een prioriteit op voor de regelverzameling. Lagere getallen geven een hogere prioriteit aan. Het bereik is 100-65000.
- Actie: Destination Network Address Translation (DNAT) (standaard).
- Regelverzamelingsgroep: dit is de naam van de regelverzamelingsgroep die de DNAT-regelverzameling bevat. U kunt een standaardgroep of een groep selecteren die u eerder hebt gemaakt.
-
Regels:
- Naam: Voer een naam in voor de DNAT-regel.
- Brontype: Selecteer IP-adres of IP-groep.
- Bron: Voer het bron-IP-adres in of selecteer een IP-groep.
- Protocol: Selecteer het protocol (TCP of UDP).
- Doelpoorten: voer de doelpoort of het poortbereik in (bijvoorbeeld één poort 80, poortbereik 80-100 of meerdere poorten 80.443).
- Doel (IP-adres van firewall):voer het doel-IP-adres van het Azure Firewall-exemplaar in.
- Vertaalde type: Selecteer IP-adres of FQDN.
- Vertaald adres of FQDN: voer het vertaalde IP-adres of de FQDN in.
- Vertaalde poort: voer de vertaalde poort in.
Herhaal stap 5 voor extra regels indien nodig.
Selecteer Toevoegen om de DNAT-regelverzameling te maken.
DNAT-regels bewaken en valideren
Nadat u DNAT-regels hebt gemaakt, kunt u deze bewaken en oplossen met behulp van het AZFWNatRule-logboek . Dit logboek biedt gedetailleerde inzichten in de DNAT-regels die worden toegepast op binnenkomend verkeer, waaronder:
- Tijdstempel: de exacte tijd waarop de verkeersstroom heeft plaatsgevonden.
- Protocol: het protocol dat wordt gebruikt voor communicatie (bijvoorbeeld TCP of UDP).
- Bron-IP en poort: informatie over de bronverkeersbron.
- Doel-IP en poort: de oorspronkelijke doelgegevens vóór vertaling.
- Vertaald IP en poort: het opgeloste IP-adres (als U FQDN gebruikt) en de doelpoort na vertaling.
Houd rekening met het volgende wanneer u het AZFWNatRule-logboek analyseert:
- Vertaald veld: Voor DNAT-regels die FQDN-filtering gebruiken, geven de logboeken het opgeloste IP-adres weer in het vertaalde veld in plaats van de FQDN.
- Privé-DNS-zones: alleen ondersteund binnen virtuele netwerken (VNets). Deze functie is niet beschikbaar voor virtuele WAN-SKU's.
- Meerdere IP-adressen in DNS-resolutie: als een FQDN wordt omgezet in meerdere IP-adressen in een privé-DNS-zone of aangepaste DNS-servers, selecteert de DNS-proxy van Azure Firewall het eerste IP-adres in de lijst. Dit gedrag is opzettelijk ontworpen.
-
FQDN-oplossingsfouten:
- Als Azure Firewall een FQDN niet kan oplossen, komt de DNAT-regel niet overeen, zodat het verkeer niet wordt verwerkt.
- Deze fouten worden alleen vastgelegd in AZFWInternalFQDNResolutionFailure-logboeken als DNS-proxy is ingeschakeld.
- Als DNS-proxy niet is ingeschakeld, worden omzettingsfouten niet vastgelegd.
Belangrijke overwegingen
De volgende overwegingen zijn belangrijk bij het gebruik van DNAT-regels met FQDN-filtering:
- Privé-DNS-zones: alleen ondersteund binnen het virtuele netwerk en niet met Azure Virtual WAN.
- Meerdere IP-adressen in DNS-resolutie: de DNS-proxy van Azure Firewall selecteert altijd het eerste IP-adres in de lijst met opgeloste adressen (privé-DNS-zone of aangepaste DNS-server). Dit is normaal gedrag.
Het analyseren van deze logboeken kan helpen bij het diagnosticeren van verbindingsproblemen en ervoor zorgen dat verkeer correct wordt gerouteerd naar de beoogde back-end.
Scenario's voor PRIVÉ-IP DNAT
Voor geavanceerde scenario's met overlappende netwerken of niet-routeerbare netwerktoegang kunt u de mogelijkheid van Azure Firewall gebruiken om privé-IP DNAT te gebruiken. Met deze functie kunt u:
- Overlappende netwerkscenario's verwerken waarbij meerdere netwerken dezelfde IP-adresruimte delen
- Toegang bieden tot resources in niet-routeerbare netwerken
- Het privé-IP-adres van de firewall gebruiken voor DNAT in plaats van openbare IP-adressen
Zie Privé-IP DNAT van Azure Firewall implementeren voor overlappende en niet-routeerbare netwerken voor meer informatie over het configureren van privé-IP DNAT voor deze scenario's.
Opmerking
Privé-IP DNAT is alleen beschikbaar in Azure Firewall Standard- en Premium-SKU's. De Basic-SKU biedt geen ondersteuning voor deze functie.
Volgende stappen
- Meer informatie over het bewaken van Azure Firewall-logboeken en metrische gegevens met behulp van Azure Monitor.
- Privé-IP-DNAT van Azure Firewall implementeren voor overlappende en niet-routeerbare netwerken