Delen via


Privé-IP-adresbereiken van Azure Firewall SNAT

Azure Firewall biedt SNAT-mogelijkheden voor al het uitgaande verkeer naar openbare IP-adressen. Azure Firewall gebruikt standaard geen SNAT met netwerkregels wanneer het doel-IP-adres zich in een privé-IP-adresbereik bevindt per IANA RFC 1918 of gedeelde adresruimte per IANA RFC 6598. Toepassingsregels worden altijd SNATed met behulp van een transparante proxy , ongeacht het doel-IP-adres.

Deze logica werkt goed wanneer u verkeer rechtstreeks naar internet routeert. Er zijn echter scenario's waarin u het standaardgedrag van SNAT wilt overschrijven.

  • Als u geforceerde tunneling hebt ingeschakeld, wordt internetverkeer via SNATed naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet, waardoor de bron van uw on-premises firewall wordt verborgen.
  • Als uw organisatie geregistreerde IP-adresbereiken buiten IANA RFC 1918 of IANA RFC 6598 gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet verplaatst. U kunt Azure Firewall echter zo configureren dat het bereik van uw openbare IP-adres niet SNAT is. Als u bijvoorbeeld een afzonderlijk IP-adres wilt opgeven, kunt u dit als volgt opgeven: 192.168.1.10 Als u een bereik van IP-adressen wilt opgeven, kunt u dit als volgt opgeven: 192.168.1.0/24

Het SNAT-gedrag van Azure Firewall kan op de volgende manieren worden gewijzigd:

  • Gebruik 0.0.0.0/0 als uw privé-IP-adres om Azure Firewall zodanig te configureren dat nooit SNAT-verkeer wordt verwerkt door netwerkregels, ongeacht het doel-IP-adres. Met deze configuratie kan Azure Firewall verkeer nooit rechtstreeks naar internet routeren.

  • Gebruik 255.255.255.255.255.255/32 als privé-IP-adresbereik om de firewall zodanig te configureren dat SNAT altijd wordt verwerkt door netwerkregels, ongeacht het doeladresbereik.

  • Azure Firewall kan elk uur worden geconfigureerd om geregistreerde en privébereiken automatisch te leren en de geleerde routes voor SNAT te gebruiken. Voor deze preview-functie moet Azure Route Server zijn geïmplementeerd in hetzelfde VNet als de Azure Firewall.

Belangrijk

De configuratie van het privéadresbereik is alleen van toepassing op netwerkregels. Op dit moment zijn toepassingsregels altijd SNAT.

Belangrijk

Als u uw eigen privé-IP-adresbereiken wilt opgeven en de standaardadresbereiken van IANA RFC 1918 wilt behouden, moet u ervoor zorgen dat uw aangepaste lijst nog steeds het bereik IANA RFC 1918 bevat.

U kunt de privé-IP-adressen van SNAT configureren met behulp van de volgende methoden. U moet de persoonlijke SNAT-adressen configureren met behulp van de methode die geschikt is voor uw configuratie. Firewalls die zijn gekoppeld aan een firewallbeleid, moeten het bereik in het beleid opgeven en niet gebruiken AdditionalProperties.

Wijze Klassieke regels gebruiken Firewallbeleid gebruiken
Azure Portal ondersteund ondersteund
Azure PowerShell Configureren PrivateRange momenteel niet ondersteund
Azure-CLI Configureren --private-ranges momenteel niet ondersteund
ARM-sjabloon configureren AdditionalProperties in firewalleigenschap configureren snat/privateRanges in firewallbeleid

Privé-IP-adresbereiken voor SNAT configureren - Azure PowerShell

Klassieke regels

U kunt Azure PowerShell gebruiken om privé-IP-adresbereiken voor de firewall op te geven.

Notitie

De firewalleigenschap PrivateRange wordt genegeerd voor firewalls die zijn gekoppeld aan een firewallbeleid. U moet de SNAT eigenschap gebruiken zoals firewallPolicies beschreven in SNAT-privé-IP-adresbereiken configureren - ARM-sjabloon.

Nieuwe firewall

Voor een nieuwe firewall met klassieke regels is de Azure PowerShell-cmdlet:

$azFw = @{
    Name               = '<fw-name>'
    ResourceGroupName  = '<resourcegroup-name>'
    Location           = '<location>'
    VirtualNetworkName = '<vnet-name>'
    PublicIpName       = '<public-ip-name>'
    PrivateRange       = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
}

New-AzFirewall @azFw

Notitie

Voor het implementeren van Azure Firewall met behulp van New-AzFirewall een bestaand VNet en openbaar IP-adres is een bestaand VNet en openbaar IP-adres vereist. Zie Azure Firewall implementeren en configureren met behulp van Azure PowerShell voor een volledige implementatiehandleiding.

Notitie

IANAPrivateRanges wordt uitgebreid naar de huidige standaardwaarden in Azure Firewall, terwijl de andere bereiken eraan worden toegevoegd. Als u de standaardwaarde IANAPrivateRanges in uw specificatie voor privébereik wilt behouden, moet deze in uw PrivateRange specificatie blijven staan, zoals wordt weergegeven in de volgende voorbeelden.

Zie New-AzFirewall voor meer informatie.

Bestaande firewall

Als u een bestaande firewall wilt configureren met behulp van klassieke regels, gebruikt u de volgende Azure PowerShell-cmdlets:

$azfw = Get-AzFirewall -Name '<fw-name>' -ResourceGroupName '<resourcegroup-name>'
$azfw.PrivateRange = @("IANAPrivateRanges","192.168.1.0/24", "192.168.1.10")
Set-AzFirewall -AzureFirewall $azfw

Privé-IP-adresbereiken van SNAT configureren - Azure CLI

Klassieke regels

U kunt Azure CLI gebruiken om privé-IP-adresbereiken voor de firewall op te geven met behulp van klassieke regels.

Nieuwe firewall

Voor een nieuwe firewall met klassieke regels is de Azure CLI-opdracht:

az network firewall create \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

Notitie

Voor het implementeren van Azure Firewall met behulp van de Azure CLI-opdracht az network firewall create zijn aanvullende configuratiestappen vereist om openbare IP-adressen en IP-configuratie te maken. Zie Azure Firewall implementeren en configureren met behulp van Azure CLI voor een volledige implementatiehandleiding.

Notitie

IANAPrivateRanges wordt uitgebreid naar de huidige standaardwaarden in Azure Firewall, terwijl de andere bereiken eraan worden toegevoegd. Als u de standaardwaarde IANAPrivateRanges in uw specificatie voor privébereik wilt behouden, moet deze in uw private-ranges specificatie blijven staan, zoals wordt weergegeven in de volgende voorbeelden.

Bestaande firewall

Als u een bestaande firewall wilt configureren met behulp van klassieke regels, is de Azure CLI-opdracht:

az network firewall update \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

Privé-IP-adresbereiken voor SNAT configureren - ARM-sjabloon

Klassieke regels

Als u SNAT wilt configureren tijdens de implementatie van ARM-sjablonen, kunt u het volgende toevoegen aan de additionalProperties eigenschap:

"additionalProperties": {
   "Network.SNAT.PrivateRanges": "IANAPrivateRanges , IPRange1, IPRange2"
},

Firewallbeleid

Azure Firewalls die zijn gekoppeld aan een firewallbeleid hebben SNAT-privébereiken ondersteund sinds de API-versie 2020-11-01. Op dit moment kunt u een sjabloon gebruiken om het privébereik van SNAT in het firewallbeleid bij te werken. In het volgende voorbeeld wordt de firewall geconfigureerd voor altijd SNAT-netwerkverkeer:

{ 

            "type": "Microsoft.Network/firewallPolicies", 
            "apiVersion": "2020-11-01", 
            "name": "[parameters('firewallPolicies_DatabasePolicy_name')]", 
            "location": "eastus", 
            "properties": { 
                "sku": { 
                    "tier": "Standard" 
                }, 
                "snat": { 
                    "privateRanges": "[255.255.255.255/32]" 
                } 
            } 

Privé-IP-adresbereiken van SNAT configureren - Azure Portal

Klassieke regels

U kunt Azure Portal gebruiken om privé-IP-adresbereiken voor de firewall op te geven.

  1. Selecteer uw resourcegroep en selecteer vervolgens uw firewall.

  2. Selecteer op de overzichtspagina Privé-IP-bereiken de standaardwaarde IANA RFC 1918.

    De pagina Persoonlijke IP-voorvoegsels bewerken wordt geopend:

    Screenshot of edit private IP prefixes.

  3. IANAPrivateRanges is standaard geconfigureerd.

  4. Bewerk de privé-IP-adresbereiken voor uw omgeving en selecteer Opslaan.

Firewallbeleid

  1. Selecteer uw resourcegroep en selecteer vervolgens uw firewallbeleid.

  2. Selecteer Privé-IP-bereiken (SNAT) in de kolom Instellingen.

  3. Selecteer de voorwaarden voor het uitvoeren van SNAT voor uw omgeving onder SNAT uitvoeren om de SNAT-configuratie aan te passen. Screenshot of Private IP ranges (SNAT).

  4. Selecteer Toepassen.

SNAT-routes automatisch leren (preview)

U kunt Azure Firewall zo configureren dat zowel geregistreerde als privébereiken elke 30 minuten automatisch worden geleerd. Deze geleerde adresbereiken worden beschouwd als intern voor het netwerk, zodat verkeer naar bestemmingen in de geleerde bereiken niet SNATed is. Voor automatisch leren van SNAT-bereiken moet Azure Route Server worden geïmplementeerd in hetzelfde VNet als de Azure Firewall. De firewall moet zijn gekoppeld aan de Azure Route Server en geconfigureerd voor automatisch leren van SNAT-bereiken in het Azure Firewall-beleid. U kunt momenteel een ARM-sjabloon, Azure PowerShell of Azure Portal gebruiken om SNAT-routes voor automatisch leren te configureren.

Notitie

SNAT-routes voor automatisch leren zijn alleen beschikbaar op VNet-implementaties (virtueel hubnetwerk). Het is niet beschikbaar voor VWAN-implementaties (beveiligde virtuele hub). Zie Wat zijn de architectuuropties van Azure Firewall Manager voor meer informatie over opties voor Azure Firewall-architectuur?

Configureren met behulp van een ARM-sjabloon

U kunt de volgende JSON gebruiken om automatisch leren te configureren. Azure Firewall moet zijn gekoppeld aan een Azure Route Server.

	  "type": "Microsoft.Network/firewallPolicies",
         "apiVersion": "2022-11-01",
	"name": "[parameters('firewallPolicies_DatabasePolicy_name')]", 
            "location": "eastus", 
            "properties": { 
                "sku": { 
                    "tier": "Standard" 
                }, 
                "snat": { 
                     "autoLearnPrivateRanges": "Enabled"
                } 
            } 

Gebruik de volgende JSON om een Azure Route Server te koppelen:

  "type": "Microsoft.Network/azureFirewalls",
  "apiVersion": "2022-11-01",
  "name": "[parameters('azureFirewalls_testFW_name')]",
  "location": "eastus",
  "properties": {
    "sku": {
      "name": "AZFW_VNet",
      "tier": "Standard"
    },
    "threatIntelMode": "Alert",
    "additionalProperties": {
      "Network.RouteServerInfo.RouteServerID": "[parameters'virtualHubs_TestRouteServer_externalid')]"
    },
    ...
  }

Configureren met Behulp van Azure PowerShell

  • Maak een nieuwe firewall met een RouteServerId.

    # specify RouteServerId Uri
    $routeServerId="/subscriptions/your_sub/resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS"
    
    # Create AzureFirewall 
    $azureFirewall = New-AzFirewall -Name $azureFirewallName -ResourceGroupName `
       $rgname -Location $location -RouteServerId $routeServerId 
    
    # Get firewall and confirm if RouteServerId is included on the response under additional properties (Network.RouteServerInfo.RouteServerID) 
    Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname 
    
  • Een bestaande firewall bijwerken met RouteServerId

    # specify RouteServerId Uri 
    $routeServerId="/subscriptions/ your_sub /resourceGroups/testRG/providers/Microsoft.Network/virtualHubs/TestRS"
    
    # Get firewall 
    $azFirewall = Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname 
    
    # Update the response with RouteServerId and do firewall SET 
    $azFirewall.RouteServerId = $routeServerId 
    Set-AzFirewall -AzureFirewall $azFirewall
    
    # Do firewall Get and confirm if routeServerId is updated 
    Get-AzFirewall -Name $azureFirewallName -ResourceGroupName $rgname
    
    
  • Nieuw firewallbeleid maken met de opgegeven SNAT-parameter

    # If AutoLearnPrivateRange parameter is provided, auto learn will be enabled, if not it will be disabled 
    $snat = New-AzFirewallPolicySnat -PrivateRange $privateRange -AutoLearnPrivateRange
    
    # Create AzureFirewallPolicy (with SNAT) 
    $azureFirewallPolicy = New-AzFirewallPolicy -Name $azureFirewallPolicyName `
       -ResourceGroupName $rgname -Location $location -Snat $snat
    
    # Get AzureFirewallPolicy and verify 
    Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname 
    
    
  • Een bestaand firewallbeleid bijwerken met SNAT

    $snat = New-AzFirewallPolicySnat -PrivateRange $privateRange2 
    
    # Set AzureFirewallPolicy 
    $azureFirewallPolicy.Snat = $snat 
    Set-AzFirewallPolicy -InputObject $azureFirewallPolicy 
    
    # Do Get and Verify 
    Get-AzFirewallPolicy -Name $azureFirewallPolicyName -ResourceGroupName $rgname 
    
  • Aan de firewall geleerde voorvoegsels ophalen

      Get-AzFirewallLearnedIpPrefix -Name $azureFirewallName -ResourceGroupName $rgname 
    

Configureren met behulp van Azure Portal

U kunt de portal gebruiken om een routeserver te koppelen aan Azure Firewall om automatisch leren SNAT-routes (preview) te configureren.

Gebruik de portal om de volgende taken uit te voeren:

  • Voeg een subnet met de naam RouteServerSubnet toe aan uw bestaande firewall-VNet. De grootte van het subnet moet ten minste /27 zijn.
  • Implementeer een routeserver in het bestaande firewall-VNet. Zie de quickstart: Routeserver maken en configureren met behulp van Azure Portal voor meer informatie over Azure Route Server.
  • Voeg de routeserver toe op de pagina Met SNAT IP-voorvoegsels (preview) van de firewall. Screenshot showing firewall add a route server.
  • Wijzig uw firewallbeleid om automatisch leren IP-voorvoegsels (preview) in te schakelen in de sectie Privé-IP-bereiken (SNAT). Screenshot showing firewall policy Private IP ranges (SNAT) settings.
  • U kunt de geleerde routes zien op de pagina Voorvoegsels van geleerde SNAT IP-voorvoegsels (preview).

Volgende stappen