Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правила DNAT брандмауэра Azure (преобразование адресов назначения) используются для фильтрации и маршрутизации входящего трафика. Они позволяют перевести общедоступный IP-адрес назначения и порт входящего трафика в частный IP-адрес и порт в вашей сети. Это полезно, если вы хотите предоставить службу, запущенную на частном IP-адресе (например, веб-сервер или конечную точку SSH) в Интернете или другой сети.
Правило DNAT указывает:
- Источник: исходный IP-адрес или группа IP-адресов, из которой происходит трафик.
- Назначение: IP-адрес назначения экземпляра брандмауэра Azure.
- Протокол: протокол, используемый для трафика (TCP или UDP).
- Порт назначения: порт на экземпляре брандмауэра Azure, который получает трафик.
- Преобразованный адрес: частный IP-адрес или полное доменное имя, в которое должен направляться трафик.
- Переведенный порт: порт на преобразованном адресе, в котором должен направляться трафик.
Если пакет соответствует правилу DNAT, брандмауэр Azure изменяет IP-адрес и порт назначения пакета в соответствии с правилом, прежде чем перенаправлять его на указанный сервер серверной части.
Брандмауэр Azure поддерживает фильтрацию полного доменного имени в правилах DNAT, что позволяет указать полное доменное имя (FQDN) в качестве целевого объекта для перевода вместо статического IP-адреса. Это позволяет динамическим конфигурациям серверной части и упрощает управление в сценариях, когда IP-адрес внутреннего сервера может часто изменяться.
Предпосылки
- Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Экземпляр брандмауэра Azure.
- Политика брандмауэра Azure.
Создание правила DNAT
На портале Azure откройте вашу виртуальную машину с брандмауэром Azure.
В левой области выберите Правила.
Выберите правила DNAT.
Выберите и добавьте коллекцию правил DNAT.
В области "Добавление коллекции правил" укажите следующие сведения:
- Имя. Введите имя коллекции правил DNAT.
- Приоритет. Укажите приоритет для коллекции правил. Более низкие числа указывают на более высокий приоритет. Диапазон составляет 100–65000.
- Действие: преобразование сетевых адресов назначения (DNAT) (по умолчанию).
- Группа коллекций правил: это имя группы коллекций правил, содержащей коллекцию правил DNAT. Вы можете выбрать группу по умолчанию или созданную ранее.
-
Правила:
- Имя: Введите имя для правила DNAT.
- Тип источника: выберите IP-адрес или группу IP-адресов.
- Источник: введите исходный IP-адрес или выберите группу IP.
- Протокол: выберите протокол (TCP или UDP).
- Порты назначения: введите порт назначения или диапазон портов (например, один порт 80, диапазон портов 80–100 или несколько портов 80 443).
- Назначение (IP-адрес брандмауэра): введите целевой IP-адрес экземпляра брандмауэра Azure.
- Переведенный тип: выберите IP-адрес или полное доменное имя.
- Преобразованный адрес или полное доменное имя: введите преобразованный IP-адрес или полное доменное имя.
- Переведенный порт: введите переведенный порт.
Повторите шаг 5 для дополнительных правил по мере необходимости.
Выберите "Добавить ", чтобы создать коллекцию правил DNAT.
Мониторинг и проверка правил DNAT
После создания правил DNAT можно отслеживать и устранять неполадки с помощью журнала AZFWNatRule . Этот журнал содержит подробные сведения о правилах DNAT, применяемых к входящего трафика, в том числе:
- Метка времени: точное время возникновения потока трафика.
- Протокол: протокол, используемый для обмена данными (например, TCP или UDP).
- Исходный IP-адрес и порт: сведения о исходном источнике трафика.
- IP-адрес назначения и порт: исходные сведения о назначении перед переводом.
- Преобразованный IP-адрес и порт: разрешенный IP-адрес (если используется полное доменное имя) и целевой порт после перевода.
Важно отметить следующее при анализе журнала AZFWNatRule :
- Трансформированное поле: для правил DNAT с помощью фильтрации FQDN журналы отображают разрешённый IP-адрес в трансформированном поле вместо полного доменного имени.
- Частные зоны DNS: поддерживаются только в виртуальных сетях (VNets). Эта функция недоступна для номеров SKU виртуальной глобальной сети.
- Несколько IP-адресов в разрешении DNS: если полное доменное имя разрешает несколько IP-адресов в частной зоне DNS или пользовательских DNS-серверах, dns-прокси брандмауэра Azure выбирает первый IP-адрес из списка. Это поведение является намеренным.
-
Сбои обработки полного доменного имени:
- Если брандмауэр Azure не может разрешить полное доменное имя, правило DNAT не срабатывает, и, следовательно, трафик не обрабатывается.
- Эти сбои регистрируются в журналах AZFWInternalFQDNResolutionFailure только в том случае, если dns-прокси включен.
- Если прокси-сервер DNS не включен, ошибки разрешения не регистрируются.
Основные рекомендации
При использовании правил DNAT с фильтрацией полного доменного имени важны следующие рекомендации.
- Частные зоны DNS: поддерживается только в виртуальной сети, а не с виртуальной глобальной сетью Azure.
- Несколько IP-адресов в разрешении DNS: DNS-прокси брандмауэра Azure всегда выбирает первый IP-адрес из разрешенного списка (частная зона DNS или пользовательский DNS-сервер). Это ожидаемое поведение.
Анализ этих журналов может помочь диагностировать проблемы с подключением и убедиться, что трафик направляется правильно в предназначенную серверную часть.
Сценарии DNAT частного IP-адреса
Для сложных сценариев, связанных с перекрывающимися сетями или не маршрутизируемым доступом к сети, можно использовать возможность DNAT для частного IP-адреса в брандмауэре Azure. Эта функция позволяет:
- Обработка перекрывающихся сетевых сценариев, в которых несколько сетей используют одно и то же пространство IP-адресов.
- Предоставить доступ к ресурсам в нераутируемых сетях
- Используйте частный IP-адрес брандмауэра для DNAT вместо общедоступных IP-адресов
Сведения о настройке частного IP DNAT для этих сценариев см. в статье "Развертывание частного IP DNAT брандмауэра Azure для перекрывающихся и не маршрутизируемых сетей".
Замечание
Частный IP-адрес DNAT доступен только в редакциях Standard и Premium брандмауэра Azure. Базовый SKU не поддерживает эту функцию.
Дальнейшие шаги
- Узнайте, как отслеживать журналы и метрики брандмауэра Azure с помощью Azure Monitor.
- Разверните частный IP DNAT брандмауэра Azure для перекрывающихся и не маршрутизируемых сетей