Megosztás a következőn keresztül:


Azure Firewall Management NIC

Feljegyzés

Ezt a funkciót korábban kényszerített bújtatásnak nevezték. Eredetileg csak a kényszerített bújtatáshoz volt szükség felügyeleti hálózati adapterre. Egyes közelgő tűzfalfunkciókhoz azonban felügyeleti hálózati adapterre is szükség lesz, ezért leválasztották a kényszerített bújtatásról. Ennek megfelelően az összes vonatkozó dokumentáció frissült.

Az Azure Firewall Management hálózati adapter elválasztja a tűzfalkezelési forgalmat az ügyfélforgalomtól. Bizonyos közelgő tűzfalfunkciókhoz felügyeleti hálózati adapterre is szükség lesz. Ezen képességek támogatásához létre kell hoznia egy Azure Firewallt, amelyen engedélyezve van a tűzfalkezelési hálózati adapter, vagy engedélyeznie kell azt egy meglévő Azure Firewallon a szolgáltatás megszakadásának elkerülése érdekében.

Mi történik a felügyeleti hálózati adapter engedélyezésekor?

Ha engedélyezi a felügyeleti hálózati adaptert, a tűzfal az AzureFirewallManagementSubneten (minimális alhálózati méret /26) keresztül irányítja át a felügyeleti forgalmat a társított nyilvános IP-címmel. Ezt a nyilvános IP-címet rendeli hozzá a tűzfalhoz a forgalom kezeléséhez. A tűzfal működéséhez szükséges összes forgalom be van építve az AzureFirewallManagementSubnetbe.

Alapértelmezés szerint a szolgáltatás egy rendszer által biztosított útvonaltáblát társít a felügyeleti alhálózathoz. Az alhálózaton csak az internetre irányuló alapértelmezett útvonal engedélyezett, és az átjáróútvonalak propagálását le kell tiltani. Kerülje az ügyfélútvonal-táblák társítását a Felügyeleti alhálózathoz, mivel ez szolgáltatáskimaradásokat okozhat, ha helytelenül van konfigurálva. Ha társít egy útvonaltáblát, győződjön meg arról, hogy az alapértelmezett internetes útvonallal rendelkezik a szolgáltatáskimaradások elkerülése érdekében.

Képernyőkép a tűzfalkezelési hálózati adapter párbeszédpanelről.

A felügyeleti hálózati adapter engedélyezése meglévő tűzfalakon

A standard és a prémium szintű tűzfalverziók esetében a tűzfalfelügyeleti hálózati adaptert manuálisan kell engedélyezni a létrehozási folyamat során, ahogyan azt korábban is láthattuk, de az alapszintű tűzfalak és az összes biztonságos központi tűzfal esetében mindig engedélyezve van a felügyeleti hálózati adapter.

Egy már meglévő tűzfal esetében le kell állítania a tűzfalat, majd újra kell indítania a tűzfalkezelő hálózati adapterrel, amely támogatja a kényszerített bújtatást. A tűzfal leállítása/indítása a tűzfalfelügyelet hálózati adapterének engedélyezéséhez használható anélkül, hogy törölnie kellene egy meglévő tűzfalat, és újra üzembe kellene helyeznie egy újat. A megszakítások elkerülése érdekében mindig indítsa el/állítsa le a tűzfalat a karbantartási órákban, beleértve a tűzfalfelügyelet hálózati adapterének engedélyezését is.

Ehhez a következő lépések szükségesek:

  1. Hozza létre az AzureFirewallManagementSubnet Azure Portalt, és használja a virtuális hálózat megfelelő IP-címtartományát.

    Képernyőkép alhálózat hozzáadásáról.

  2. Hozza létre az új felügyeleti nyilvános IP-címet ugyanazokkal a tulajdonságokkal, mint a meglévő tűzfal nyilvános IP-címe: termékváltozat, réteg és hely.

    Képernyőkép a nyilvános IP-cím létrehozásáról.

  3. A tűzfal leállítása

    Az Azure Firewall gyakori kérdéseinek segítségével állítsa le a tűzfalat:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $azfw.Deallocate()
    Set-AzFirewall -AzureFirewall $azfw
    
  4. Indítsa el a tűzfalat a felügyeleti nyilvános IP-címmel és alhálózattal.

    Tűzfal indítása egy nyilvános IP-címmel és egy felügyeleti nyilvános IP-címmel:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
    $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
    $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
    $azfw.Allocate($vnet, $pip, $mgmtPip)
    $azfw | Set-AzFirewall
    

    Indítsa el a tűzfalat két nyilvános IP-címmel és egy felügyeleti nyilvános IP-címmel:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
    $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
    $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
    $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
    $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
    $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
    $azfw | Set-AzFirewall
    

    Feljegyzés

    Át kell helyeznie egy tűzfalat és egy nyilvános IP-címet az eredeti erőforráscsoportba és előfizetésbe. A leállítás/indítás végrehajtásakor a tűzfal privát IP-címe az alhálózaton belül más IP-címre változhat. Ez hatással lehet a korábban konfigurált útvonaltáblák kapcsolatára.

Most, amikor megtekinti a tűzfalat az Azure Portalon, megjelenik a hozzárendelt felügyeleti nyilvános IP-cím:

Képernyőkép a felügyeleti IP-címmel rendelkező tűzfalról.

Feljegyzés

Ha eltávolítja a tűzfal összes többi IP-címkonfigurációját, a felügyeleti IP-cím konfigurációja is törlődik, és a tűzfal felszabadítva lesz. A felügyeleti IP-cím konfigurációhoz rendelt nyilvános IP-cím nem távolítható el, de más nyilvános IP-címet rendelhet hozzá.

Új Azure Firewall üzembe helyezése a kényszerített bújtatás felügyeleti hálózati adapterével

Ha a Stop/Start metódus helyett inkább egy új Azure Firewall-t szeretne üzembe helyezni, a konfiguráció részeként mindenképpen használjon felügyeleti alhálózatot és felügyeleti hálózati adaptert.

Fontos megjegyzés

  • Virtuális hálózatonkénti egyetlen tűzfal (VNET):Mivel két tűzfal nem létezhet ugyanazon a virtuális hálózaton belül, javasoljuk, hogy törölje a régi tűzfalat az új üzembe helyezés megkezdése előtt, ha ugyanazt a virtuális hálózatot szeretné újra használni.
  • Alhálózat előzetes létrehozása: Győződjön meg arról, hogy az AzureFirewallManagementSubnet előre létrejött, hogy elkerülje a meglévő virtuális hálózat használatakor felmerülő üzembe helyezési problémákat.

Előfeltételek

  • Hozza létre az AzureFirewallManagementSubnetet:
    • Alhálózat minimális mérete: /26
    • Példa: 10.0.1.0/26

Üzembe helyezési lépések

  1. Nyissa meg az Erőforrás létrehozása lehetőséget az Azure Portalon.
  2. Keressen tűzfalat, és válassza a Létrehozás lehetőséget.
  3. A Tűzfal létrehozása lapon konfigurálja a következő beállításokat:
    • Előfizetés: Válassza ki az előfizetését.
    • Erőforráscsoport: Válasszon vagy hozzon létre egy új erőforráscsoportot.
    • Név: Adja meg a tűzfal nevét.
    • Régió: Válassza ki a régióját.
    • Tűzfal termékváltozata: Válassza az Alapszintű, a Standard vagy a Premium lehetőséget.
    • Virtuális hálózat: Hozzon létre egy új virtuális hálózatot, vagy használjon egy meglévőt.
      • Címtér: például 10.0.0.0/16
      • Az AzureFirewallSubnet alhálózata: például 10.0.0.0/26
    • Nyilvános IP-cím: Új nyilvános IP-cím hozzáadása
      • Név: például FW-PIP
  4. Tűzfalkezelési hálózati adapter
    • Válassza a Tűzfalkezelés hálózati adapterének engedélyezése lehetőséget
      • Az AzureFirewallManagementSubnet alhálózata: például 10.0.1.0/24
      • Felügyeleti nyilvános IP-cím létrehozása: például Mgmt-PIP
  5. Válassza a Véleményezés + Létrehozás lehetőséget a tűzfal érvényesítéséhez és üzembe helyezéséhez. Ez néhány percet vesz igénybe az üzembe helyezéshez.