Skydda trafik som är avsedd för privata slutpunkter i Azure Virtual WAN

Kommentar

Den här artikeln gäller endast säker virtuell hubb. Om du vill inspektera trafik som är avsedd för privata slutpunkter med hjälp av Azure Firewall i ett virtuellt navnätverk kan du läsa Använda Azure Firewall för att inspektera trafik som är avsedd för en privat slutpunkt.

Azure Private Endpoint är den grundläggande byggstenen för Azure Private Link. Med privata slutpunkter kan Azure-resurser som distribueras i ett virtuellt nätverk kommunicera privat med privata länkresurser.

Privata slutpunkter ger resurser åtkomst till den privata länktjänsten som distribueras i ett virtuellt nätverk. Åtkomst till den privata slutpunkten via peering för virtuella nätverk och lokala nätverksanslutningar utökar anslutningen.

Du kan behöva filtrera trafik från klienter antingen lokalt eller i Azure som är avsedda för tjänster som exponeras via privata slutpunkter i ett virtuellt WAN-anslutet virtuellt nätverk. Den här artikeln beskriver den här uppgiften med säker virtuell hubb med Azure Firewall som säkerhetsprovider.

Azure Firewall filtrerar trafik med någon av följande metoder:

• FQDN i nätverksregler för TCP- och UDP-protokoll
• FQDN i programregler för HTTP, HTTPS och MSSQL.
• Käll- och mål-IP-adresser, port och protokoll med hjälp av nätverksregler

Programregler föredras framför nätverksregler för att inspektera trafik som är avsedd för privata slutpunkter eftersom Azure Firewall alltid SNATs trafik med programregler. SNAT rekommenderas när du inspekterar trafik som är avsedd för en privat slutpunkt på grund av den begränsning som beskrivs här: Vad är en privat slutpunkt?. Om du planerar att använda nätverksregler i stället rekommenderar vi att du konfigurerar Azure Firewall för att alltid utföra SNAT: Privata IP-adressintervall för Azure Firewall SNAT.

Microsoft hanterar skyddade virtuella hubbar som inte kan länkas till en privat DNS-zon. Detta krävs för att matcha ett FQDN för en privat länkresurs till motsvarande IP-adress för den privata slutpunkten.

SQL FQDN-filtrering stöds endast i proxyläge (port 1433). Proxyläge kan resultera i mer svarstid jämfört med omdirigering. Om du vill fortsätta att använda omdirigeringsläge, vilket är standard för klienter som ansluter i Azure, kan du filtrera åtkomst med FQDN i brandväggsnätverksregler.

Filtrera trafik med hjälp av nätverks- eller programregler i Azure Firewall

Följande steg gör det möjligt för Azure Firewall att filtrera trafik med hjälp av antingen nätverksregler (FQDN eller IP-adressbaserade) eller programregler:

Nätverksregler:

1. Distribuera en virtuell DNS-vidarebefordrare i ett virtuellt nätverk som är anslutet till den skyddade virtuella hubben och som är länkad till de privata DNS-zonerna som är värd för A-posttyperna för de privata slutpunkterna.

2. Konfigurera anpassade DNS-servrar för de virtuella nätverk som är anslutna till den skyddade virtuella hubben:

   • FQDN-baserade nätverksregler – konfigurera anpassade DNS-inställningar så att de pekar på IP-adressen för den virtuella DNS-vidarebefordraren och aktivera DNS-proxy i brandväggsprincipen som är associerad med Azure Firewall. Aktivering av DNS-proxy krävs om du vill göra FQDN-filtrering i nätverksregler.
   • IP-adressbaserade nätverksregler – de anpassade DNS-inställningar som beskrivs i föregående punkt är valfria. Du kan konfigurera anpassade DNS-servrar så att de pekar på den privata IP-adressen för den virtuella DNS-vidarebefordrarens virtuella dator.

3. Beroende på vilken konfiguration som valts i steg 2 konfigurerar du lokala DNS-servrar för att vidarebefordra DNS-frågor för de privata slutpunkternas offentliga DNS-zoner till antingen den privata IP-adressen för Azure Firewall eller den virtuella DNS-vidarebefordrarens virtuella dator.

4. Konfigurera en nätverksregel enligt vad som krävs i brandväggsprincipen som är associerad med Azure Firewall. Välj IP-adresser för måltyp om du använder en IP-adressbaserad regel och konfigurera IP-adressen för den privata slutpunkten som mål. För FQDN-baserade nätverksregler väljer du Måltyp-FQDN och konfigurerar den offentliga FQDN för den privata länkresursen som Mål.

5. Gå till brandväggsprincipen som är associerad med Azure Firewall som distribueras i den skyddade virtuella hubben. Välj Privata IP-intervall (SNAT) och välj alternativet för att alltid utföra SNAT.

Programregler:

1. För programregler gäller steg 1 till 3. från föregående avsnitt fortfarande. För den anpassade DNS-serverkonfigurationen kan du antingen välja att använda Azure Firewall som DNS-proxy eller peka direkt på den virtuella DNS-vidarebefordrarens virtuella dator.

2. Konfigurera en programregel som krävs i brandväggsprincipen som är associerad med Azure Firewall. Välj FQDN för måltyp och offentlig FQDN för den privata länkresursen som Mål.

Slutligen, och oavsett vilken typ av regler som konfigurerats i Azure Firewall, kontrollerar du att nätverksprinciper (åtminstone för UDR-stöd) är aktiverade i de undernät där de privata slutpunkterna distribueras. Detta säkerställer att trafik som är avsedd för privata slutpunkter inte kringgår Azure Firewall.

Viktigt!

Som standard inkluderas RFC 1918-prefix automatiskt i Azure Firewalls privata trafikprefix . För de flesta privata slutpunkter räcker det för att se till att trafik från lokala klienter, eller i olika virtuella nätverk som är anslutna till samma skyddade hubb, kontrolleras av brandväggen. Om trafik som är avsedd för privata slutpunkter inte loggas i brandväggen kan du prova att lägga till prefixet /32 för varje privat slutpunkt i listan med prefix för privat trafik.

Om det behövs kan du redigera de CIDR-prefix som inspekteras via Azure Firewall i en skyddad hubb enligt följande:

1. Gå till Skyddade virtuella hubbar i brandväggsprincipen som är associerad med Azure Firewall som distribueras i den skyddade virtuella hubben och välj den skyddade virtuella hubben där trafikfiltrering som är avsedd för privata slutpunkter har konfigurerats.

2. Gå till Säkerhetskonfiguration och välj Skicka via Azure Firewall under Privat trafik.

3. Välj Privata trafikprefix för att redigera de CIDR-prefix som inspekteras via Azure Firewall i en skyddad virtuell hubb och lägg till ett /32-prefix för varje privat slutpunkt.

   

För att inspektera trafik från klienter i samma virtuella nätverk som privata slutpunkter krävs det inte att du specifikt åsidosätter /32-vägarna från privata slutpunkter. Så länge nätverksprinciper är aktiverade i de privata slutpunkternas undernät har en UDR med ett bredare adressintervall företräde. Konfigurera till exempel den här UDR:n med nästa hopptyp inställd på Virtuell installation, Nästa hopp-adress inställd på den privata IP-adressen för Azure Firewall och adressprefixets mål inställt på det undernät som är dedikerat till alla privata slutpunkter som distribueras i det virtuella nätverket. Spridning av gatewayvägar måste vara inställt på Ja.

Följande diagram illustrerar DNS- och datatrafikflödena för de olika klienterna för att ansluta till en privat slutpunkt som distribueras i Azure virtual WAN:

Felsökning

De största problemen du kan ha när du försöker filtrera trafik som är avsedd för privata slutpunkter via en skyddad virtuell hubb är:

• Klienter kan inte ansluta till privata slutpunkter.

• Azure Firewall kringgås. Du kan verifiera det här symptomet eftersom det inte finns några loggposter för nätverks- eller programregler i Azure Firewall.

I de flesta fall orsakar något av följande problem följande:

• Felaktig DNS-namnmatchning

• Felaktig routningskonfiguration

Felaktig DNS-namnmatchning

1. Kontrollera att DNS-servrarna för det virtuella nätverket är inställda på Anpassad och IP-adressen är den privata IP-adressen för Azure Firewall i en skyddad virtuell hubb.

   Azure CLI:

   az network vnet show --name <VNET Name> --resource-group <Resource Group Name> --query "dhcpOptions.dnsServers"
   

2. Kontrollera att klienter i samma virtuella nätverk som den virtuella DNS-vidarebefordraren kan matcha det offentliga FQDN för den privata slutpunkten till motsvarande privata IP-adress genom att direkt fråga den virtuella datorn som konfigurerats som DNS-vidarebefordrare.

   Linux:

   dig @<DNS forwarder VM IP address> <Private endpoint public FQDN>
   

3. Granska AzureFirewallDNSProxy Azure Firewall-loggposter och verifiera att den kan ta emot och lösa DNS-frågor från klienterna.

   AzureDiagnostics
   | where Category contains "DNS"
   | where msg_s contains "database.windows.net"
   

4. Kontrollera att DNS-proxyn har aktiverats och att en anpassad DNS-server som pekar på IP-adressen för IP-adressen för den virtuella DNS-vidarebefordraren har konfigurerats i brandväggsprincipen som är associerad med Azure Firewall i den skyddade virtuella hubben.

   Azure CLI:

   az network firewall policy show --name <Firewall Policy> --resource-group <Resource Group Name> --query dnsSettings
   

Felaktig routningskonfiguration

1. Verifiera säkerhetskonfigurationen i brandväggsprincipen som är associerad med Azure Firewall som distribueras i den skyddade virtuella hubben. Under kolumnen PRIVATE TRAFFIC visas den som Skyddad av Azure Firewall för alla virtuella nätverk och grenar som du vill filtrera trafik för.

   

2. Verifiera säkerhetskonfigurationen i brandväggsprincipen som är associerad med Azure Firewall som distribueras i den skyddade virtuella hubben. Om trafik som är avsedd för privata slutpunkter inte loggas i brandväggen kan du prova att lägga till prefixet /32 för varje privat slutpunkt i listan över privata trafikprefix.

   

3. I den skyddade virtuella hubben under virtual WAN kontrollerar du effektiva vägar för de routningstabeller som är associerade med de virtuella nätverk och grenar som du vill filtrera trafik för. Om /32-poster har lagts till för varje privat slutpunkt som du vill inspektera trafik för kontrollerar du att de visas i de effektiva vägarna.

   

4. Granska de effektiva vägarna på de nätverkskort som är anslutna till de virtuella datorer som distribueras i de virtuella nätverk som du vill filtrera trafik efter. Kontrollera att det finns /32 poster för varje privat slutpunkt privat IP-adress som du vill filtrera trafik för (om den läggs till).

   Azure CLI:

   az network nic show-effective-route-table --name <Network Interface Name> --resource-group <Resource Group Name> -o table
   

5. Granska routningstabellerna för dina lokala routningsenheter. Kontrollera att du lär dig adressutrymmena för de virtuella nätverk där de privata slutpunkterna distribueras.

   Azure virtual WAN annonserar inte prefixen som konfigurerats under Prefix för privat trafik i brandväggsprincipen Säkerhetskonfiguration till lokalt. Det förväntas att /32-posterna inte visas i routningstabellerna för dina lokala routningsenheter.

6. Granska AzureFirewallApplicationRule - och AzureFirewallNetworkRule Azure Firewall-loggar. Kontrollera att trafik som är avsedd för de privata slutpunkterna loggas.

   AzureFirewallNetworkRule-loggposter innehåller inte FQDN-information. Filtrera efter IP-adress och port när du inspekterar nätverksregler.

   När du filtrerar trafik som är avsedd för privata Azure Files-slutpunkter genereras AzureFirewallNetworkRule-loggposter endast när en klient först monterar eller ansluter till filresursen. Azure Firewall genererar inte loggar för CRUD-åtgärder för filer i filresursen. Detta beror på att CRUD-åtgärder överförs över den beständiga TCP-kanalen som öppnas när klienten först ansluter eller monterar till filresursen.

   Exempel på loggfråga för programregel:

   AzureDiagnostics
   | where msg_s contains "database.windows.net"
   | where Category contains "ApplicationRule"
   

Nästa steg

• Använda Azure Firewall för att kontrollera trafik till en privat slutpunkt