Azure Firewall Management NIC
Feljegyzés
Ezt a funkciót korábban kényszerített bújtatásnak nevezték. Eredetileg csak a kényszerített bújtatáshoz volt szükség felügyeleti hálózati adapterre. Egyes közelgő tűzfalfunkciókhoz azonban felügyeleti hálózati adapterre is szükség lesz, ezért leválasztották a kényszerített bújtatásról. Ennek megfelelően az összes vonatkozó dokumentáció frissült.
Az Azure Firewall Management hálózati adapter elválasztja a tűzfalkezelési forgalmat az ügyfélforgalomtól. Bizonyos közelgő tűzfalfunkciókhoz felügyeleti hálózati adapterre is szükség lesz. Ezen képességek támogatásához létre kell hoznia egy Azure Firewallt, amelyen engedélyezve van a tűzfalkezelési hálózati adapter, vagy engedélyeznie kell azt egy meglévő Azure Firewallon a szolgáltatás megszakadásának elkerülése érdekében.
Mi történik a felügyeleti hálózati adapter engedélyezésekor?
Ha engedélyezi a felügyeleti hálózati adaptert, a tűzfal az AzureFirewallManagementSubneten (minimális alhálózati méret /26) keresztül irányítja át a felügyeleti forgalmat a társított nyilvános IP-címmel. Ezt a nyilvános IP-címet rendeli hozzá a tűzfalhoz a forgalom kezeléséhez. A tűzfal működéséhez szükséges összes forgalom be van építve az AzureFirewallManagementSubnetbe.
Alapértelmezés szerint a szolgáltatás egy rendszer által biztosított útvonaltáblát társít a felügyeleti alhálózathoz. Az alhálózaton csak az internetre irányuló alapértelmezett útvonal engedélyezett, és az átjáróútvonalak propagálását le kell tiltani. Kerülje az ügyfélútvonal-táblák társítását a Felügyeleti alhálózathoz, mivel ez szolgáltatáskimaradásokat okozhat, ha helytelenül van konfigurálva. Ha társít egy útvonaltáblát, győződjön meg arról, hogy az alapértelmezett internetes útvonallal rendelkezik a szolgáltatáskimaradások elkerülése érdekében.
A felügyeleti hálózati adapter engedélyezése meglévő tűzfalakon
A standard és a prémium szintű tűzfalverziók esetében a tűzfalfelügyeleti hálózati adaptert manuálisan kell engedélyezni a létrehozási folyamat során, ahogyan azt korábban is láthattuk, de az alapszintű tűzfalak és az összes biztonságos központi tűzfal esetében mindig engedélyezve van a felügyeleti hálózati adapter.
Egy már meglévő tűzfal esetében le kell állítania a tűzfalat, majd újra kell indítania a tűzfalkezelő hálózati adapterrel, amely támogatja a kényszerített bújtatást. A tűzfal leállítása/indítása a tűzfalfelügyelet hálózati adapterének engedélyezéséhez használható anélkül, hogy törölnie kellene egy meglévő tűzfalat, és újra üzembe kellene helyeznie egy újat. A megszakítások elkerülése érdekében mindig indítsa el/állítsa le a tűzfalat a karbantartási órákban, beleértve a tűzfalfelügyelet hálózati adapterének engedélyezését is.
Ehhez a következő lépések szükségesek:
Hozza létre az
AzureFirewallManagementSubnet
Azure Portalt, és használja a virtuális hálózat megfelelő IP-címtartományát.Hozza létre az új felügyeleti nyilvános IP-címet ugyanazokkal a tulajdonságokkal, mint a meglévő tűzfal nyilvános IP-címe: termékváltozat, réteg és hely.
A tűzfal leállítása
Az Azure Firewall gyakori kérdéseinek segítségével állítsa le a tűzfalat:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfw
Indítsa el a tűzfalat a felügyeleti nyilvános IP-címmel és alhálózattal.
Tűzfal indítása egy nyilvános IP-címmel és egy felügyeleti nyilvános IP-címmel:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw | Set-AzFirewall
Indítsa el a tűzfalat két nyilvános IP-címmel és egy felügyeleti nyilvános IP-címmel:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name" $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name" $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip) $azfw | Set-AzFirewall
Feljegyzés
Át kell helyeznie egy tűzfalat és egy nyilvános IP-címet az eredeti erőforráscsoportba és előfizetésbe. A leállítás/indítás végrehajtásakor a tűzfal privát IP-címe az alhálózaton belül más IP-címre változhat. Ez hatással lehet a korábban konfigurált útvonaltáblák kapcsolatára.
Most, amikor megtekinti a tűzfalat az Azure Portalon, megjelenik a hozzárendelt felügyeleti nyilvános IP-cím:
Feljegyzés
Ha eltávolítja a tűzfal összes többi IP-címkonfigurációját, a felügyeleti IP-cím konfigurációja is törlődik, és a tűzfal felszabadítva lesz. A felügyeleti IP-cím konfigurációhoz rendelt nyilvános IP-cím nem távolítható el, de más nyilvános IP-címet rendelhet hozzá.
Új Azure Firewall üzembe helyezése a kényszerített bújtatás felügyeleti hálózati adapterével
Ha a Stop/Start metódus helyett inkább egy új Azure Firewall-t szeretne üzembe helyezni, a konfiguráció részeként mindenképpen használjon felügyeleti alhálózatot és felügyeleti hálózati adaptert.
Fontos megjegyzés
- Virtuális hálózatonkénti egyetlen tűzfal (VNET):Mivel két tűzfal nem létezhet ugyanazon a virtuális hálózaton belül, javasoljuk, hogy törölje a régi tűzfalat az új üzembe helyezés megkezdése előtt, ha ugyanazt a virtuális hálózatot szeretné újra használni.
- Alhálózat előzetes létrehozása: Győződjön meg arról, hogy az AzureFirewallManagementSubnet előre létrejött, hogy elkerülje a meglévő virtuális hálózat használatakor felmerülő üzembe helyezési problémákat.
Előfeltételek
- Hozza létre az AzureFirewallManagementSubnetet:
- Alhálózat minimális mérete: /26
- Példa: 10.0.1.0/26
Üzembe helyezési lépések
- Nyissa meg az Erőforrás létrehozása lehetőséget az Azure Portalon.
- Keressen tűzfalat, és válassza a Létrehozás lehetőséget.
- A Tűzfal létrehozása lapon konfigurálja a következő beállításokat:
- Előfizetés: Válassza ki az előfizetését.
- Erőforráscsoport: Válasszon vagy hozzon létre egy új erőforráscsoportot.
- Név: Adja meg a tűzfal nevét.
- Régió: Válassza ki a régióját.
- Tűzfal termékváltozata: Válassza az Alapszintű, a Standard vagy a Premium lehetőséget.
-
Virtuális hálózat: Hozzon létre egy új virtuális hálózatot, vagy használjon egy meglévőt.
- Címtér: például 10.0.0.0/16
- Az AzureFirewallSubnet alhálózata: például 10.0.0.0/26
-
Nyilvános IP-cím: Új nyilvános IP-cím hozzáadása
- Név: például FW-PIP
- Tűzfalkezelési hálózati adapter
- Válassza a Tűzfalkezelés hálózati adapterének engedélyezése lehetőséget
- Az AzureFirewallManagementSubnet alhálózata: például 10.0.1.0/24
- Felügyeleti nyilvános IP-cím létrehozása: például Mgmt-PIP
- Válassza a Tűzfalkezelés hálózati adapterének engedélyezése lehetőséget
- Válassza a Véleményezés + Létrehozás lehetőséget a tűzfal érvényesítéséhez és üzembe helyezéséhez. Ez néhány percet vesz igénybe az üzembe helyezéshez.