Partilhar via

Como configurar o NAT de destino (DNAT) para o Dispositivo Virtual de Rede em um hub WAN Virtual do Azure

O artigo a seguir descreve como configurar o NAT de destino para dispositivos virtuais de rede habilitados para firewall de próxima geração implantados com o hub WAN virtual.

Importante

O NAT de Destino (DNAT) para Dispositivos Virtuais de Rede integrados à WAN Virtual encontra-se atualmente em pré-visualização pública, sendo fornecido sem um contrato de nível de serviço. Ele não deve ser usado para cargas de trabalho de produção. Algumas funcionalidades podem não ser suportadas, podem ter capacidades restringidas ou podem não estar disponíveis em todas as localizações do Azure. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Importante

Este documento aplica-se a Dispositivos Virtuais de Rede Integrada implantados no hub WAN Virtual e não se aplica a soluções de software como serviço (SaaS). Consulte integrações de terceiros para obter mais informações sobre as diferenças entre Integrated Network Virtual Appliances e soluções SaaS. Consulte a documentação do seu provedor de SaaS para obter informações relacionadas às operações de infraestrutura disponíveis para soluções SaaS.

Contexto geral

Os NVAs (Network Virtual Appliances) com recursos de firewall de última geração integrados à WAN virtual permitem que os clientes protejam e inspecionem o tráfego entre redes privadas conectadas à WAN virtual.

O NAT de destino para dispositivos virtuais de rede no hub WAN virtual permite que você publique aplicativos para os usuários na Internet sem expor diretamente o IP público do aplicativo ou servidor. Os consumidores acedem a aplicações através de um endereço IP público atribuído a uma Firewall Network Virtual Appliance. O NVA é configurado para filtrar e traduzir tráfego e controlar o acesso a aplicativos de back-end.

O gerenciamento e a programação da infraestrutura para o caso de uso do DNAT na WAN Virtual são automáticos. Programar a regra DNAT no NVA usando o software de orquestração NVA ou a linha de comando NVA programa automaticamente a infraestrutura do Azure para aceitar e rotear o tráfego DNAT para parceiros NVA suportados. Consulte a seção de limitações para obter a lista de parceiros NVA suportados.

Conceitos

Para habilitar o caso de uso DNAT, associe um ou mais recursos de endereço IP público do Azure ao recurso de Dispositivo Virtual de Rede. Esses IPs são chamados de endereços IP de entrada na Internet ou de entrada na Internet e são os endereços IP de destino aos quais os usuários iniciam solicitações de conexão para acessar aplicativos por trás do NVA. Depois de configurar uma regra DNAT no orquestrador e no software de gerenciamento do Network Virtual Appliance (consulte o guia do parceiro), o software de gerenciamento NVA automaticamente:

  • Programas de software de dispositivo NVA em execução na WAN Virtual para inspecionar e traduzir o tráfego correspondente (configurar regras NAT e regras de firewall no dispositivo NVA). As regras que são programadas no NVA são chamadas de regras NVA DNAT.
  • Interage com APIs do Azure para criar e atualizar regras de segurança de entrada. O plano de controlo da WAN virtual processa regras de segurança de entrada e programa a WAN virtual e os componentes de infraestrutura NVA geridos pelo Azure, para dar suporte ao caso de uso de NAT de destino.

Exemplo

No exemplo a seguir, os usuários acessam um aplicativo hospedado em uma Rede Virtual do Azure (IP do Aplicativo 10.60.0.4) se conectam a um IP Público DNAT (198.51.100.4) atribuído ao NVA na Porta 443.

As seguintes configurações são executadas:

  • Entrada na Internet Os endereços IP atribuídos ao NVA são 198.51.100.4 e 192.0.2.4.
  • A regra NVA DNAT é programada para traduzir o tráfego com destino 198.51.100.4:443 para 10.60.0.4:443.
  • O orquestrador NVA interage com APIs do Azure para criar regras de segurança de entrada e programas de infraestrutura do plano de controlo do WAN Virtual apropriadamente para dar suporte ao fluxo de tráfego.

Fluxo de tráfego de entrada

Captura de tela mostrando o fluxo de tráfego de entrada.

A lista a seguir corresponde ao diagrama acima e descreve o fluxo de pacotes para a conexão de entrada:

  1. O utilizador inicia uma conexão com um dos IPs públicos utilizados para DNAT associado ao NVA.
  2. O Azure equilibra a carga da solicitação de conexão para uma das instâncias NVA do Firewall. O tráfego é enviado para a interface externa/não confiável do NVA.
  3. O NVA inspeciona o tráfego e traduz o pacote com base na configuração da regra. Nesse caso, o NVA é configurado para NAT e encaminha o tráfego de entrada para 10.60.0.4:443. A origem do pacote também é traduzida para o IP privado (IP de interface confiável/interna) da instância de Firewall escolhida para garantir simetria de fluxo. O NVA encaminha o pacote e a WAN Virtual roteia o pacote para o destino final.

Fluxo de tráfego de saída

Captura de tela mostrando o fluxo de tráfego de saída.

A lista a seguir corresponde ao diagrama acima e descreve o fluxo de pacotes para a resposta de saída:

  1. O servidor responde e envia os pacotes de resposta para a instância do Firewall NVA através do IP privado do Firewall.
  2. A tradução NAT é revertida e a resposta é enviada através da interface não confiável. Em seguida, o Azure envia diretamente o pacote de volta para o usuário.

Problemas conhecidos, limitações e considerações

A seção a seguir descreve problemas conhecidos, limitações e considerações associadas ao recurso de entrada da Internet.

Problemas conhecidos

Atualmente, não há problemas conhecidos relacionados à funcionalidade NAT de destino (DNAT) para NVAs implantadas no hub WAN Virtual.

Limitações

  • O NAT de destino é suportado apenas para os seguintes NVAs: checkpoint, fortinet-sdwan-and-ngfw e fortinet-ngfw.
  • Os IPs públicos usados para NAT de destino devem atender aos seguintes requisitos:
    • Os IPs públicos NAT de destino devem ser da mesma região que o recurso NVA. Por exemplo, se o NVA for implantado na região Leste dos EUA, o IP público também deverá ser da região Leste dos EUA.
    • Os IPs públicos NAT de destino não podem estar em uso por outro recurso do Azure. Por exemplo, você não pode usar um endereço IP em uso por uma configuração IP de interface de rede de máquina virtual ou uma configuração front-end do Balanceador de Carga Padrão.
    • Os IPs públicos devem ser de espaços de endereço IPv4. A WAN virtual não suporta endereços IPv6.
    • Os IPs públicos devem ser implementados utilizando SKU Standard. IPs públicos básicos de SKU não são suportados.
  • O NAT de destino só é suportado em novas implantações de NVA criadas com pelo menos um IP público de NAT de destino. Implantações de NVA existentes ou implantações de NVA que não tenham um IP público NAT de destino associado no momento da criação do NVA não são qualificadas para usar o NAT de destino.
  • A programação de componentes de infraestrutura do Azure para dar suporte a cenários DNAT é feita automaticamente pelo software de orquestração NVA quando uma regra DNAT é criada. Portanto, você não pode programar regras NVA por meio do portal do Azure. No entanto, você pode exibir as regras de segurança de entrada associadas a cada IP público de entrada na Internet.
  • O tráfego DNAT na WAN Virtual só pode ser roteado para conexões com o mesmo hub que o NVA. Não há suporte para padrões de tráfego entre hubs com DNAT.

Considerações

  • O tráfego de entrada é automaticamente balanceado entre todas as instâncias saudáveis do Aparelho Virtual de Rede. O WAN virtual usa um algoritmo de hash de cinco tuplas para distribuir fluxos de dados para instâncias NVA backend. Para certos casos de uso, como FTP (File Transfer Protocol), em que uma única sessão de aplicativo pode ter vários fluxos de cinco tuplas (por exemplo, controle FTP e pacotes de plano de dados em portas diferentes), a WAN Virtual não garante que todos os fluxos nessa sessão sejam distribuídos para a mesma instância NVA.
  • Na maioria dos casos, os NVAs devem executar o NAT de origem para o IP privado do Firewall, além do NAT de destino para garantir a simetria de fluxo. Certos tipos de NVA podem não exigir NAT de origem. Entre em contato com seu provedor de NVA para obter as práticas recomendadas em relação ao NAT de origem.
  • O tempo limite para fluxos ociosos é automaticamente definido para 4 minutos.
  • Você pode atribuir recursos individuais de endereços IP, gerados a partir de um prefixo de endereço IP, ao NVA como IPs de entrada para acesso à Internet. Atribua cada endereço IP do prefixo individualmente.

Gerenciando configurações de entrada DNAT/Internet

A seção a seguir descreve como gerenciar configurações de NVA relacionadas à entrada na Internet e DNAT.

  1. Navegue até o Hub WAN Virtual. Selecione Dispositivos virtuais de rede em Provedores de terceiros. Clique em Gerenciar configurações ao lado do NVA.

  2. Em Configurações, selecione Entrada na Internet para abrir a página Entrada na Internet .

Associando um endereço IP a um NVA para tráfego de entrada da Internet

  1. Se o NVA for elegível para entrada na Internet e não houver endereços IP de entrada da Internet atuais associados ao NVA, selecione Ativar Entrada na Internet (NAT de destino) associando um IP público a este Dispositivo Virtual de Rede. Se os IPs já estiverem associados a este NVA, selecione Adicionar.

  2. Selecione o grupo de recursos e o recurso de endereço IP que você deseja usar para entrada na Internet na lista suspensa.

  3. Clique em Salvar.

Exibir regras de segurança de entrada ativas usando um IP público de entrada da Internet

  1. Localize o IP público que pretende ver e clique em Ver regras.
  2. Veja as regras associadas ao IP público.

Remover IP público de entrada pela Internet do NVA existente

Observação

Os endereços IP só podem ser removidos se não houver regras associadas a esse IP é 0. Remova todas as regras associadas ao IP removendo as regras DNAT atribuídas a esse IP do seu software de gerenciamento NVA.

Selecione o IP que deseja remover da grade e clique em Excluir. Captura de tela mostrando como excluir IP do NVA.

Regras DNAT de programação

A seção a seguir contém instruções específicas do provedor NVA sobre como configurar regras DNAT com NVAs na WAN Virtual

Parceiro Instruções
ponto de verificação Documentação do Check Point
Fortinet SD-WAN e NGFW (firewall de última geração) Documentação do Fortinet SD-WAN e NGFW
Fortinet-NGFW Documentação Fortinet NGFW

Solução de problemas

A seção a seguir descreve alguns cenários comuns de solução de problemas.

Associação/Desassociação de IP pública

  • Opção para associar IP a recurso NVA não disponível através do portal do Azure : apenas NVAs criados com IPs de entrada DNAT/Internet no momento da implantação são elegíveis para usar recursos DNAT. Elimine e recrie o NVA com um IP de entrada da Internet atribuído durante a implantação.
  • O endereço IP não aparece no menu suspenso do portal Azure: os IPs públicos só aparecem no menu suspenso se o endereço IP for IPv4, estiver na mesma região que a NVA (Network Virtual Appliance) e não estiver em uso ou atribuído a outro recurso do Azure. Verifique se o endereço IP que você está tentando usar atende aos requisitos acima ou crie um novo endereço IP.
  • Não é possível excluir/desassociar IP público do NVA: somente endereços IP que não têm regras associadas a eles podem ser excluídos. Use o software de orquestração NVA para remover quaisquer regras DNAT associadas a esse endereço IP.
  • Estado de provisionamento do NVA não bem-sucedido: se houver operações em andamento no NVA ou se o status de provisionamento do NVA não for bem-sucedido, a associação de endereço IP falhará. Aguarde até que todas as operações existentes sejam encerradas.

Sondas de verificação de integridade do balanceador de carga

O NVA com capacidade de entrada/DNAT pela Internet depende de a resposta do NVA a três diferentes verificações de integridade realizadas pelo Balanceador de Carga do Azure, para garantir que o NVA esteja a funcionar conforme o esperado e para rotear o tráfego. As solicitações de teste de integridade são sempre feitas do Endereço IP do Azure não roteável publicamente 168.63.129.16. Você deve ver, nos seus registos NVA, um handshake TCP de três vias executado com 168.63.129.16.

Para obter mais informações sobre as sondas de integridade do Balanceador de Carga do Azure, consulte a documentação da sonda de integridade.

As sondas de integridade que a WAN Virtual requer são:

  • Sonda de integridade para tráfego de entrada na Internet ou DNAT: usada para encaminhar o tráfego de entrada da Internet para interfaces não confiáveis/externas da NVA. Esta sonda de integridade verifica apenas a integridade da interface não confiável/externa do NVA.

    Provedor NVA Porto
    Fortinet 8008
    ponto de verificação 8117

  • Sonda de integridade do caminho de dados: usada para encaminhar tráfego privado (VNET/local) para interfaces confiáveis/internas da NVA. Necessário para políticas de roteamento privado. Esta sonda de integridade verifica apenas a integridade da interface confiável/interna do NVA.

    Provedor NVA Porto
    Fortinet 8008
    ponto de verificação 8117

  • Sonda de integridade NVA: Usada para determinar a integridade do Conjunto de Escala de Máquina Virtual que executa o software NVA. Esta sonda de integridade verifica a integridade de todas as interfaces do NVA ( não confiáveis/externas e confiáveis/internas).

    Provedor NVA Porto
    Fortinet 8008
    ponto de verificação 8117

Verifique se o NVA está configurado para responder corretamente às 3 sondas de integridade. Problemas comuns:

  • Resposta da sonda de verificação de saúde definida como uma porta incorreta.
  • Resposta da sonda de integridade definida incorretamente somente na interface interna/confiável.
  • Regras de firewall que impedem a resposta da sonda de integridade.

Criação de regras DNAT

  • A criação da regra DNAT falha: verifique se o estado de provisionamento do NVA foi bem-sucedido e se todas as instâncias do NVA estão íntegras. Consulte a documentação do provedor NVA para obter detalhes sobre como solucionar problemas ou entre em contato com o fornecedor para obter mais suporte.

    Além disso, certifique-se de que o NVA está respondendo às sondas de integridade do NVA em todas as interfaces. Consulte a seção de sondas de integridade para obter mais informações.

Caminho de dados

  • O NVA não vê pacotes depois que o usuário inicia a conexão com o IP público: verifique se o NVA está respondendo às sondas de integridade DNAT somente na interface externa/não confiável . Consulte a seção de sondas de integridade para obter mais informações.

  • O servidor de destino não vê pacotes após a conversão NVA: considere os seguintes mecanismos de solução de problemas se os pacotes não estiverem sendo encaminhados para o servidor de destino final.

    • Problema de Roteamento do Azure: use o portal WAN Virtual do Azure para verificar as rotas efetivas da defaultRouteTable ou as rotas efetivas do seu Dispositivo Virtual de Rede. Você deve ver a sub-rede do aplicativo de destino nas rotas efetivas.
    • Problema de roteamento do sistema operacional NVA: verifique a tabela de roteamento interno do sistema operacional NVA. Você deve ver as rotas correspondentes às sub-redes de destino aprendidas dinamicamente com o NVA. Certifique-se de que não há filtros/mapas de rota que estejam descartando prefixos relevantes.
    • Destinos entre hubs não acessíveis: o roteamento entre hubs para casos de uso DNAT não é suportado. Verifique se o recurso que você está tentando acessar está conectado ao mesmo hub que o NVA que tem a regra DNAT configurada.
    • Captura de pacotes em interfaces NVA: execute capturas de pacotes nas interfaces não confiáveis e nas confiáveis do NVA. Na interface não confiável, você deve ver o pacote original com IP de origem sendo o IP público do usuário e o IP de destino sendo o endereço IP de entrada da Internet atribuído ao NVA. Na interface confiável, deve-se ver os pacotes traduzidos pós-NAT (são aplicados tanto o NAT de origem como o NAT de destino). Compare as capturas de pacotes antes e depois da aplicação das regras de Firewall para garantir a configuração adequada das regras de Firewall.
    • Exaustão da porta SNAT: Para cada instância NVA, uma conexão de entrada para uma única aplicação back-end deve utilizar uma porta exclusiva para encaminhar (via NAT) o tráfego para o IP privado da instância NVA. Como resultado, cada instância NVA pode lidar com aproximadamente 65.000 conexões simultâneas para o mesmo destino. Para casos de uso em grande escala, verifique se o NVA está configurado para encaminhar para vários endereços IP de aplicativos para facilitar a reutilização da porta.

  • Tráfego de retorno não está a chegar ao NVA:

    • Aplicativo hospedado no Azure: use o portal do Azure para verificar as rotas efetivas do servidor de aplicativos. Você deve ver o espaço de endereço do hub nas rotas efetivas do servidor de aplicativos.
    • Aplicativo hospedado local: verifique se não há filtros de rota no lado local que filtrem rotas correspondentes ao espaço de endereço do hub. Como o NVA direciona o tráfego NAT de origem para um IP privado de firewall, o local físico deve aceitar o espaço de endereços do hub.
    • Inter-hub de aplicações: o roteamento entre hubs para casos de uso de DNAT não é suportado. Verifique se o recurso que você está tentando acessar está conectado ao mesmo hub que o NVA que tem a regra DNAT configurada.
    • Captura de pacotes na interface NVA: execute capturas de pacotes na interface confiável NVA. Você deve ver o servidor de aplicativos enviar tráfego de retorno diretamente para a instância NVA. Certifique-se de comparar as capturas de pacotes antes e depois da aplicação das regras de Firewall para garantir que os pacotes garantam a configuração adequada das regras de Firewall.

Próximos passos

Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes sobre WAN Virtual