Azure Firewall Management NIC

Azure Firewall Management NIC memisahkan lalu lintas manajemen firewall dari lalu lintas pelanggan. Fitur Firewall tertentu yang akan datang juga akan memerlukan Management NIC. Untuk mendukung salah satu kemampuan ini, Anda harus membuat Azure Firewall dengan Firewall Management NIC diaktifkan atau mengaktifkannya pada Azure Firewall yang ada untuk menghindari gangguan layanan.

Apa yang terjadi saat Anda mengaktifkan Management NIC

Jika Anda mengaktifkan Management NIC, firewall merutekan lalu lintas manajemennya melalui AzureFirewallManagementSubnet (ukuran subnet minimum /26) dengan alamat IP publik terkait. Anda menetapkan alamat IP publik ini untuk firewall guna mengelola lalu lintas. Semua lalu lintas yang diperlukan untuk tujuan operasional firewall dimasukkan ke dalam AzureFirewallManagementSubnet.

Secara default, layanan ini mengaitkan tabel rute yang disediakan sistem ke subnet Manajemen. Satu-satunya rute yang diperbolehkan pada subnet ini adalah rute default ke Internet, dan propagasi rute BGP harus dinonaktifkan. Hindari mengaitkan tabel rute pelanggan ke subnet Manajemen, karena hal ini dapat menyebabkan gangguan layanan jika dikonfigurasi dengan tidak benar. Jika Anda mengaitkan tabel rute, pastikan tabel tersebut memiliki rute default ke Internet untuk menghindari gangguan layanan.

Aktifkan Management NIC pada firewall yang ada

Untuk versi firewall Standar dan Premium, NIC Manajemen Firewall harus diaktifkan secara manual selama proses pembuatan seperti yang ditunjukkan sebelumnya, tetapi semua versi Firewall Dasar dan semua firewall Hub Aman selalu mengaktifkan NIC Manajemen.

Untuk firewall yang sudah ada sebelumnya, Anda harus menghentikan firewall lalu memulai ulang dengan Firewall Management NIC diaktifkan untuk mendukung Penerowongan paksa. Menghentikan/memulai firewall dapat digunakan untuk mengaktifkan NIC Manajemen Firewall tanpa perlu menghapus firewall yang ada dan menyebarkan ulang yang baru. Anda harus selalu memulai/menghentikan firewall selama jam pemeliharaan untuk menghindari gangguan, termasuk saat mencoba mengaktifkan NIC Manajemen Firewall.

Gunakan langkah-langkah berikut:

1. AzureFirewallManagementSubnet Buat pada portal Azure dan gunakan rentang alamat IP yang sesuai untuk jaringan virtual.

   

2. Buat alamat IP publik manajemen baru dengan properti yang sama dengan alamat IP publik firewall yang ada: SKU, Tingkat, dan Lokasi.

   

3. Hentikan firewall

   Gunakan informasi di Tanya Jawab Umum Azure Firewall untuk menghentikan firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

4. Mulai firewall dengan alamat IP publik manajemen dan subnet.

   Mulai firewall dengan satu alamat IP publik dan alamat IP publik Manajemen:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
   $pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
   $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw | Set-AzFirewall
   

   Mulai firewall dengan dua alamat IP publik dan alamat IP publik Manajemen:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name" 
   $pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
   $pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
   $mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name" 
   $azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
   $azfw | Set-AzFirewall
   

   Catatan

   Anda harus mengalokasikan kembali firewall dan IP publik ke grup sumber daya serta langganan asli. Ketika berhenti/mulai dilakukan, alamat IP privat firewall dapat berubah ke alamat IP yang berbeda dalam subnet. Ini dapat memengaruhi konektivitas tabel rute yang dikonfigurasi sebelumnya.

Sekarang saat Anda melihat firewall di portal Azure, Anda akan melihat alamat IP publik Manajemen yang ditetapkan:

Menyebarkan Azure Firewall Baru dengan Management NIC untuk Penerowongan Paksa

Jika Anda lebih suka menyebarkan Azure Firewall baru alih-alih metode Stop/Start, pastikan untuk menyertakan Subnet Manajemen dan Manajemen NIC sebagai bagian dari konfigurasi Anda.

Catatan Penting

• Firewall Tunggal per Virtual Network (VNET): Karena dua firewall tidak dapat ada dalam jaringan virtual yang sama, disarankan untuk menghapus firewall lama sebelum memulai penyebaran baru jika Anda berencana untuk menggunakan kembali jaringan virtual yang sama.
• Subnet pra-buat: Pastikan AzureFirewallManagementSubnet dibuat terlebih dahulu untuk menghindari masalah penyebaran saat menggunakan jaringan virtual yang ada.

Prasyarat

• Buat AzureFirewallManagementSubnet:
  • Ukuran subnet minimum: /26
  • Contoh: 10.0.1.0/26

Langkah-langkah Penyebaran

1. Buka Membuat Sumber Daya di portal Azure.
2. Cari Firewall dan pilih Buat.
3. Pada halaman Buat Firewall, konfigurasikan pengaturan berikut:
   • Langganan: Pilih langganan Anda.
   • Grup Sumber Daya: Pilih atau buat grup sumber daya baru.
   • Nama: Masukkan nama untuk firewall.
   • Wilayah: Pilih wilayah Anda.
   • Firewall SKU: Pilih Dasar, Standar, atau Premium.
   • Virtual Network: Buat jaringan virtual baru atau gunakan jaringan virtual yang sudah ada.
     • Ruang alamat: misalnya, 10.0.0.0/16
     • Subnet untuk AzureFirewallSubnet: misalnya, 10.0.0.0/26
   • Alamat IP Publik: Tambahkan IP Publik baru
     • Nama: misalnya, FW-PIP
4. NIC Manajemen Firewall
   • Pilih Aktifkan NIC Manajemen Firewall
     • Subnet untuk AzureFirewallManagementSubnet: misalnya, 10.0.1.0/24
     • Membuat alamat IP publik Manajemen: misalnya, Mgmt-PIP
5. Pilih Tinjau + Buat untuk memvalidasi dan menyebarkan firewall. Ini perlu beberapa menit untuk menyebarkan.

Konten terkait

• Penerowongan paksa Azure Firewall