Lezen in het Engels

Delen via


Azure Firewall Management NIC

Notitie

Deze functie werd voorheen Geforceerde tunneling genoemd. Oorspronkelijk was een beheer-NIC alleen vereist voor geforceerde tunneling. Voor toekomstige firewallfuncties is echter ook een beheer-NIC vereist, dus deze is losgekoppeld van geforceerde tunneling. Alle relevante documentatie is bijgewerkt om dit weer te geven.

Een NIC voor Azure Firewall Management scheidt firewallbeheerverkeer van klantverkeer. Voor toekomstige firewallfuncties is ook een beheer-NIC vereist. Als u een van deze mogelijkheden wilt ondersteunen, moet u een Azure Firewall maken met de firewallbeheer-NIC ingeschakeld of inschakelen op een bestaande Azure Firewall. Dit is een verplichte vereiste om serviceonderbreking te voorkomen.

Wat gebeurt er wanneer u de beheer-NIC inschakelt

Als u een beheer-NIC inschakelt, routeert de firewall het beheerverkeer via het AzureFirewallManagementSubnet (minimale subnetgrootte /26) met het bijbehorende openbare IP-adres. U wijst dit openbare IP-adres toe voor de firewall om verkeer te beheren. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Al het verkeer dat is vereist voor operationele firewalldoeleinden, wordt opgenomen in het AzureFirewallManagementSubnet.

Standaard koppelt de service een door het systeem geleverde routetabel aan het subnet Beheer. De enige route die op dit subnet is toegestaan, is een standaardroute naar internet en gatewayroutes doorgeven moet worden uitgeschakeld. Vermijd het koppelen van routetabellen van klanten aan het beheersubnet, omdat dit serviceonderbrekingen kan veroorzaken als deze onjuist zijn geconfigureerd. Als u wel een routetabel koppelt, moet u ervoor zorgen dat deze een standaardroute naar internet heeft om serviceonderbrekingen te voorkomen.

Schermopname van het dialoogvenster NIC voor firewallbeheer.

De beheer-NIC inschakelen op bestaande firewalls

Voor Standard- en Premium-firewallversies moet de firewallbeheer-NIC handmatig worden ingeschakeld tijdens het maken, zoals eerder wordt weergegeven, maar alle basic firewallversies en alle beveiligde hubfirewalls hebben altijd een beheer-NIC ingeschakeld.

Voor een bestaande firewall moet u de firewall stoppen en vervolgens opnieuw opstarten met de firewallbeheer-NIC ingeschakeld om geforceerde tunneling te ondersteunen. Het stoppen/starten van de firewall kan worden gebruikt om de NIC voor firewallbeheer in te schakelen zonder dat u een bestaande firewall hoeft te verwijderen en een nieuwe opnieuw hoeft te implementeren. U moet de firewall altijd starten/stoppen tijdens onderhoudsuren om onderbrekingen te voorkomen, inclusief wanneer u de firewallbeheer-NIC probeert in te schakelen.

Voer de volgende stappen uit:

  1. Maak de AzureFirewallManagementSubnet Azure-portal en gebruik het juiste IP-adresbereik voor het virtuele netwerk.

    Schermopname van het toevoegen van een subnet.

  2. Maak het nieuwe openbare IP-adres voor beheer met dezelfde eigenschappen als het bestaande openbare IP-adres van de firewall: SKU, laag en locatie.

    Schermopname van het maken van het openbare IP-adres.

  3. De firewall stoppen

    Gebruik de informatie in De veelgestelde vragen over Azure Firewall om de firewall te stoppen:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $azfw.Deallocate()
    Set-AzFirewall -AzureFirewall $azfw
    
  4. Start de firewall met het openbare IP-adres en subnet voor beheer.

    Start een firewall met één openbaar IP-adres en een openbaar IP-adres voor beheer:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
    $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
    $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
    $azfw.Allocate($vnet, $pip, $mgmtPip)
    $azfw | Set-AzFirewall
    

    Start een firewall met twee openbare IP-adressen en een openbaar BEHEER-IP-adres:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
    $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
    $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
    $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
    $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
    $azfw | Set-AzFirewall
    

    Notitie

    U moet een firewall en een openbaar IP-adres opnieuw toewijzen aan de oorspronkelijke resourcegroep en het oorspronkelijke abonnement. Wanneer stoppen/starten wordt uitgevoerd, kan het privé-IP-adres van de firewall worden gewijzigd in een ander IP-adres binnen het subnet. Dit kan van invloed zijn op de connectiviteit van eerder geconfigureerde routetabellen.

Wanneer u nu de firewall in Azure Portal bekijkt, ziet u het toegewezen openbare IP-adres voor beheer:

Schermopname van de firewall met een IP-adres voor beheer.

Notitie

Als u alle andere IP-adresconfiguraties op uw firewall verwijdert, wordt de configuratie van het beheer-IP-adres ook verwijderd en wordt de toewijzing van de firewall ongedaan gemaakt. Het openbare IP-adres dat is toegewezen aan de configuratie van het beheer-IP-adres kan niet worden verwijderd, maar u kunt een ander openbaar IP-adres toewijzen.