Partilhar via

Como configurar o NAT de destino (DNAT) para o Dispositivo Virtual de Rede em um hub WAN Virtual do Azure

  • Artigo

O artigo a seguir descreve como configurar o NAT de destino para dispositivos virtuais de rede habilitados para firewall de próxima geração implantados com o hub WAN virtual.

Importante

O NAT de destino (DNAT) para dispositivos virtuais de rede integrados à WAN virtual está atualmente em visualização pública e é fornecido sem um contrato de nível de serviço. Ele não deve ser usado para cargas de trabalho de produção. Algumas funcionalidades podem não ser suportadas, podem ter capacidades restringidas ou podem não estar disponíveis em todas as localizações do Azure. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Fundo

Os NVAs (Network Virtual Appliances) com recursos de firewall de última geração integrados à WAN virtual permitem que os clientes protejam e inspecionem o tráfego entre redes privadas conectadas à WAN virtual.

O NAT de destino para dispositivos virtuais de rede no hub WAN virtual permite que você publique aplicativos para os usuários na Internet sem expor diretamente o IP público do aplicativo ou servidor. Os consumidores acedem a aplicações através de um endereço IP público atribuído a uma Firewall Network Virtual Appliance. O NVA é configurado para filtrar e traduzir tráfego e controlar o acesso a aplicativos de back-end.

O gerenciamento e a programação da infraestrutura para o caso de uso do DNAT na WAN Virtual são automáticos. Programar a regra DNAT no NVA usando o software de orquestração NVA ou a linha de comando NVA programa automaticamente a infraestrutura do Azure para aceitar e rotear o tráfego DNAT para parceiros NVA suportados. Consulte a seção de limitações para obter a lista de parceiros NVA suportados.

Conceitos

Para habilitar o caso de uso DNAT, associe um ou mais recursos de endereço IP público do Azure ao recurso de Dispositivo Virtual de Rede. Esses IPs são chamados de endereços IP de entrada na Internet ou de entrada na Internet e são os endereços IP de destino aos quais os usuários iniciam solicitações de conexão para acessar aplicativos por trás do NVA. Depois de configurar uma regra DNAT no orquestrador e no software de gerenciamento do Network Virtual Appliance (consulte o guia do parceiro), o software de gerenciamento NVA automaticamente:

  • Programas de software de dispositivo NVA em execução na WAN Virtual para inspecionar e traduzir o tráfego correspondente (configurar regras NAT e regras de firewall no dispositivo NVA). As regras que são programadas no NVA são chamadas de regras NVA DNAT.
  • Interage com APIs do Azure para criar e atualizar regras de segurança de entrada. O plano de controle de WAN virtual processa regras e programas de segurança de entrada A WAN virtual e os componentes de infraestrutura NVA gerenciados pelo Azure para dar suporte ao caso de uso de NAT de destino.

Exemplo

No exemplo a seguir, os usuários acessam um aplicativo hospedado em uma Rede Virtual do Azure (IP de Aplicativo 10.60.0.4) se conectam a um IP Público DNAT (4.4.4.4) atribuído ao NVA na Porta 443.

As seguintes configurações são executadas:

  • Os endereços IP de entrada da Internet atribuídos ao NVA são 4.4.4.4 e 5.5.5.5.
  • A regra NVA DNAT é programada para traduzir o tráfego com destino 4.4.4.4:443 para 10.60.0.4:443.
  • O orquestrador NVA faz interface com APIs do Azure para criar regras de segurança de entrada e infraestrutura de programas de plano de controle de WAN Virtual apropriadamente para dar suporte ao fluxo de tráfego.

Fluxo de tráfego de entrada

Captura de tela mostrando o fluxo de tráfego de entrada.

A lista abaixo corresponde ao diagrama acima e descreve o fluxo de pacotes para a conexão de entrada:

  1. O usuário inicia uma conexão com um dos IPs públicos usados para DNAT associado ao NVA.
  2. O Azure equilibra a carga da solicitação de conexão para uma das instâncias NVA do Firewall. O tráfego é enviado para a interface externa/não confiável do NVA.
  3. O NVA inspeciona o tráfego e traduz o pacote com base na configuração da regra. Nesse caso, o NVA é configurado para NAT e encaminha o tráfego de entrada para 10.60.0.4:443. A origem do pacote também é traduzida para o IP privado (IP de interface confiável/interna) da instância de Firewall escolhida para garantir simetria de fluxo. O NVA encaminha o pacote e a WAN Virtual roteia o pacote para o destino final.

Fluxo de tráfego de saída

Captura de tela mostrando o fluxo de tráfego de saída.

A lista abaixo corresponde ao diagrama acima e descreve o fluxo de pacotes para a resposta de saída:

  1. O servidor responde e envia os pacotes de resposta para a instância do Firewall NVA através do IP privado do Firewall.
  2. A tradução NAT é invertida e a resposta é enviada para fora da interface não confiável. Em seguida, o Azure envia diretamente o pacote de volta para o usuário.

Limitações e considerações conhecidas

Limitações

  • O NAT de destino é suportado apenas para os seguintes NVAs: checkpoint, fortinet-sdwan-and-ngfw e fortinet-ngfw.
  • Os IPs públicos usados para NAT de destino devem atender aos seguintes requisitos:
    • Os IPs públicos NAT de destino devem ser da mesma região que o recurso NVA. Por exemplo, se o NVA for implantado na região Leste dos EUA, o IP público também deverá ser da região Leste dos EUA.
    • Os IPs públicos NAT de destino não podem estar em uso por outro recurso do Azure. Por exemplo, você não pode usar um endereço IP em uso por uma configuração IP de interface de rede de máquina virtual ou uma configuração front-end do Balanceador de Carga Padrão.
    • Os IPs públicos devem ser de espaços de endereço IPv4. A WAN virtual não suporta endereços IPv6.
    • IPs públicos devem ser implantados com SKU padrão. IPs públicos básicos de SKU não são suportados.
  • O NAT de destino só é suportado em novas implantações de NVA criadas com pelo menos um IP público de NAT de destino. Implantações de NVA existentes ou implantações de NVA que não tenham um IP público NAT de destino associado no momento da criação do NVA não são qualificadas para usar o NAT de destino.
  • A programação de componentes de infraestrutura do Azure para dar suporte a cenários DNAT é feita automaticamente pelo software de orquestração NVA quando uma regra DNAT é criada. Portanto, você não pode programar regras NVA por meio do portal do Azure. No entanto, você pode exibir as regras de segurança de entrada associadas a cada IP público de entrada na Internet.
  • O tráfego DNAT na WAN Virtual só pode ser roteado para conexões com o mesmo hub que o NVA. Não há suporte para padrões de tráfego entre hubs com DNAT.

Considerações

  • O tráfego de entrada é automaticamente balanceado em todas as instâncias íntegras do Network Virtual Appliance.
  • Na maioria dos casos, os NVAs devem executar o NAT de origem para o IP privado do Firewall, além do NAT de destino para garantir a simetria de fluxo. Certos tipos de NVA podem não exigir NAT de origem. Entre em contato com seu provedor de NVA para obter as práticas recomendadas em relação ao NAT de origem.
  • O tempo limite para fluxos ociosos é automaticamente definido para 4 minutos.
  • Você pode atribuir recursos de endereço IP individuais gerados a partir de um prefixo de endereço IP ao NVA como IPs de entrada na Internet. Atribua cada endereço IP do prefixo individualmente.

Gerenciando configurações de entrada DNAT/Internet

A seção a seguir descreve como gerenciar configurações de NVA relacionadas à entrada na Internet e DNAT.

  1. Navegue até o Hub WAN Virtual. Selecione Dispositivos virtuais de rede em Provedores de terceiros. Clique em Gerenciar configurações ao lado do NVA. Captura de tela mostrando como gerenciar configurações para NVA.

  2. Selecione Internet Inbound em configurações. Captura de tela mostrando como selecionar IP para adicionar ao NVA.

Associando um endereço IP a um NVA para entrada na Internet

  1. Se o NVA for elegível para entrada na Internet e não houver endereços IP de entrada da Internet atuais associados ao NVA, selecione Ativar Entrada na Internet (NAT de destino) associando um IP público a este Dispositivo Virtual de Rede. Se os IPs já estiverem associados a este NVA, selecione Adicionar. Captura de tela mostrando como adicionar IP ao NVA.

  2. Selecione o grupo de recursos e o recurso de endereço IP que você deseja usar para entrada na Internet na lista suspensa. Captura de tela mostrando como selecionar um IP.

  3. Clique em Guardar. Captura de tela mostrando como salvar o IP.

Exibir regras de segurança de entrada ativas usando um IP público de entrada da Internet

  1. Localize o IP público que pretende ver e clique em Ver regras. Captura de ecrã a mostrar como visualizar regras associadas ao NVA.
  2. Veja as regras associadas ao IP público. Captura de tela mostrando as regras exibidas associadas ao NVA.

Remover IP público de entrada da Internet do NVA existente

Nota

Os endereços IP só podem ser removidos se não houver regras associadas a esse IP é 0. Remova todas as regras associadas ao IP removendo as regras DNAT atribuídas a esse IP do seu software de gerenciamento NVA.

Selecione o IP que deseja remover da grade e clique em Excluir. Captura de tela mostrando como excluir IP do NVA.

Regras DNAT de programação

A seção a seguir contém instruções específicas do provedor NVA sobre como configurar regras DNAT com NVAs na WAN Virtual

Parceiro Instruções
checkpoint Documentação do Check Point
Fortinet Contato azurevwan@fortinet.com para acesso à visualização e documentação

Resolução de Problemas

A seção a seguir descreve alguns cenários comuns de solução de problemas.

Associação/Desassociação de IP Pública

  • Opção para associar IP a recurso NVA não disponível através do portal do Azure: apenas NVAs criados com IPs de entrada DNAT/Internet no momento da implantação são elegíveis para usar recursos DNAT. Exclua e recrie o NVA com um IP de entrada da Internet atribuído no momento da implantação.
  • O endereço IP não aparece no portal suspenso do Azure: os IPs públicos só aparecem no menu suspenso se o endereço IP for IPv4, na mesma região do NVA e não estiver em uso/atribuído a outro recurso do Azure. Verifique se o endereço IP que está a tentar utilizar atende aos requisitos acima ou crie um novo endereço IP.
  • Não é possível excluir/desassociar IP público do NVA: somente endereços IP que não têm regras associadas a eles podem ser excluídos. Use o software de orquestração NVA para remover quaisquer regras DNAT associadas a esse endereço IP.
  • Estado de provisionamento do NVA não bem-sucedido: se houver operações em andamento no NVA ou se o status de provisionamento do NVA não for bem-sucedido, a associação de endereços IP falhará. Aguarde até que todas as operações existentes sejam encerradas.

Sondas de integridade do balanceador de carga

O NVA com recursos de entrada/DNAT da Internet depende da resposta do NVA a três diferentes testes de integridade do Balanceador de Carga do Azure para garantir que o NVA esteja funcionando conforme o esperado e rotear o tráfego. As solicitações de teste de integridade são sempre feitas a partir do Endereço IP do Azure não roteável publicamente 168.63.129.16. Você deve ver um handshake TCP de três vias executado com 168.63.129.16 em seus logs NVA.

Para obter mais informações sobre as sondas de integridade do Balanceador de Carga do Azure, consulte a documentação da sonda de integridade.

As sondas de integridade que a WAN Virtual requer são:

  • Sonda de integridade de entrada na Internet ou DNAT: usada para encaminhar o tráfego de entrada da Internet para interfaces NVA não confiáveis/externas. Esta sonda de integridade verifica apenas a integridade da interface não confiável/externa do NVA.

    Provedor NVA Porta
    Fortinet 8008
    checkpoint 8117

  • Sonda de integridade do caminho de dados: usada para encaminhar tráfego privado (VNET/local) para interfaces confiáveis/internas da NVA. Necessário para políticas de roteamento privado. Esta sonda de integridade verifica apenas a integridade da interface confiável/interna do NVA.

    Provedor NVA Porta
    Fortinet 8008
    checkpoint 8117

  • Sonda de integridade NVA: Usada para determinar a integridade do Conjunto de Escala de Máquina Virtual que executa o software NVA. Esta sonda de integridade verifica a integridade de todas as interfaces do NVA ( não confiáveis/externas e confiáveis/internas).

    Provedor NVA Porta
    Fortinet 8008
    checkpoint 8117

Verifique se o NVA está configurado para responder corretamente às 3 sondas de integridade. Problemas comuns:

  • Resposta da sonda de integridade definida como uma porta incorreta.
  • Resposta da sonda de integridade definida incorretamente somente na interface interna/confiável.
  • Regras de firewall que impedem a resposta da sonda de integridade.

Criação de regras DNAT

  • A criação da regra DNAT falha: verifique se o estado de provisionamento do NVA foi bem-sucedido e se todas as instâncias do NVA estão íntegras. Consulte a documentação do provedor NVA para obter detalhes sobre como solucionar problemas ou entre em contacto com o fornecedor para obter mais suporte.

    Além disso, certifique-se de que o NVA está respondendo às sondas de integridade do NVA em todas as interfaces. Consulte a seção de sondas de integridade para obter mais informações.

Caminho de dados

  • O NVA não vê pacotes depois que o usuário inicia a conexão com o IP público: verifique se o NVA está respondendo às sondas de integridade DNAT somente na interface externa/não confiável . Consulte a seção de sondas de integridade para obter mais informações.

  • O servidor de destino não vê pacotes após a conversão NVA: considere os seguintes mecanismos de solução de problemas se os pacotes não estiverem sendo encaminhados para o servidor de destino final.

    • Problema de Roteamento do Azure: use o portal WAN Virtual do Azure para verificar as rotas efetivas da defaultRouteTable ou as rotas efetivas do seu Dispositivo Virtual de Rede. Deve ver a sub-rede do aplicativo de destino nas rotas efetivas.
    • Problema de roteamento do sistema operacional NVA: verifique a tabela de roteamento interno do sistema operacional NVA. Deve ver as rotas correspondentes às sub-redes de destino aprendidas dinamicamente com o NVA. Certifique-se de que não há filtros/mapas de rota que estejam a descartar prefixos relevantes.
    • Destinos entre hubs não acessíveis: o roteamento entre hubs para casos de uso DNAT não é suportado. Verifique se o recurso que está tentando aceder está conectado ao mesmo hub que o NVA que tem a regra DNAT configurada.
    • Captura de pacotes em interfaces NVA: execute capturas de pacotes nas interfaces não confiáveis e confiáveis do NVA. Na interface não confiável, deve ver o pacote original com o IP de origem sendo o IP público do utilizador e o IP de destino sendo o endereço IP de entrada na Internet atribuído ao NVA. Na interface confiável, deve ver os pacotes traduzidos pós-NAT (NAT de origem e NAT de destino são aplicados). Compare as capturas de pacotes antes e depois da aplicação das regras de Firewall para garantir a configuração adequada das regras de Firewall.
    • Exaustão da porta SNAT: Para cada instância NVA, uma conexão de entrada para um único aplicativo back-end precisa usar uma porta exclusiva para o tráfego NAT para o IP privado da instância NVA. Como resultado, cada instância NVA pode lidar com aproximadamente 65.000 conexões simultâneas para o mesmo destino. Para casos de uso em grande escala, verifique se o NVA está configurado para encaminhar para vários endereços IP de aplicativos para facilitar a reutilização da porta.

  • Retornar o tráfego que não retorna ao NVA:

    • Aplicativo hospedado no Azure: use o portal do Azure para verificar as rotas efetivas do servidor de aplicativos. Deve ver o espaço de endereço do hub nas rotas efetivas do servidor de aplicativos.
    • Aplicativo hospedado local: verifique se não há filtros de rota no lado local que filtrem rotas correspondentes ao espaço de endereço do hub. Como o tráfego do NAT de origem do NVA para um IP privado de firewall, o local deve aceitar o espaço de endereço do hub.
    • Inter-hub de aplicativos: o roteamento entre hubs para casos de uso DNAT não é suportado. Verifique se o recurso que está tentando aceder está conectado ao mesmo hub que o NVA que tem a regra DNAT configurada.
    • Captura de pacotes na interface NVA: execute capturas de pacotes na interface confiável NVA. Deve ver o servidor de aplicativos enviar tráfego de retorno diretamente para a instância NVA. Certifique-se de comparar as capturas de pacotes antes e depois da aplicação das regras de Firewall para garantir que os pacotes garantam a configuração adequada das regras de Firewall.