Сетевой адаптер управления брандмауэром Azure

Примечание

Эта функция ранее называлась принудительное туннелирование. Первоначально сетевой интерфейс управления был необходим только для принудительного туннелирования. Однако для некоторых предстоящих функций брандмауэра также потребуется сетевой интерфейс управления, поэтому он был отделен от принудительного туннелирования.

Сетевой интерфейс управления брандмауэром Azure отделяет трафик управления брандмауэром от трафика клиента. Чтобы поддерживать принудительное туннелирование и другие функции управления, необходимо создать брандмауэр Azure с включенным сетевым интерфейсом управления брандмауэром или включить его в существующем брандмауэре Azure, чтобы избежать нарушений работы службы.

Что происходит при включении сетевого интерфейса управления

Если включить сетевой адаптер управления, брандмауэр направляет свой трафик управления через AzureFirewallManagementSubnet (минимальный размер подсети /26) с соответствующим общедоступным IP-адресом. Этот общедоступный IP-адрес для брандмауэра назначается для управления трафиком. AzureFirewallManagementSubnet включает весь трафик, необходимый для работы брандмауэра.

По умолчанию служба связывает указанную системой таблицу маршрутизации с подсетью управления. Единственный маршрут, разрешенный в этой подсети, — это маршрут по умолчанию в Интернет, а маршруты шлюза распространения должны быть отключены . Избегайте связывания таблиц маршрутов клиента с подсетью управления, так как эта конфигурация может привести к сбоям службы. Если вы связываете таблицу маршрутов, убедитесь, что она имеет маршрут по умолчанию в Интернет, чтобы избежать сбоев в обслуживании.

Снимок экрана: конфигурация сетевого адаптера управления брандмауэром.

Включение сетевого адаптера управления в существующих брандмауэрах

Для версий брандмауэра уровня "Стандартный" и "Премиум" необходимо вручную включить сетевой адаптер управления брандмауэром во время процесса создания, как показано ранее. Однако все базовые версии брандмауэра и все брандмауэры Защищенного концентратора всегда имеют сетевой адаптер управления.

Для существующего брандмауэра необходимо остановить брандмауэр, а затем перезапустить его с помощью сетевого интерфейса управления брандмауэром, включенного для поддержки принудительного туннелирования. Вы можете использовать остановку или запуск брандмауэра, чтобы включить сетевой адаптер управления брандмауэром без необходимости удалить существующий брандмауэр и повторно развернуть новый. Всегда запускать или останавливать брандмауэр во время обслуживания, чтобы избежать сбоев, включая попытку включить сетевой адаптер управления брандмауэром.

  1. В портале AzureFirewallManagementSubnet Azure создайте и используйте соответствующий диапазон IP-адресов для виртуальной сети.

    Снимок экрана: конфигурация подсети для AzureFirewallManagementSubnet.

  2. Создайте новый общедоступный IP-адрес управления с теми же свойствами, что и существующий общедоступный IP-адрес брандмауэра: SKU, уровень и расположение.

    Снимок экрана: создание общедоступного IP-адреса.

  3. Остановите брандмауэр.

    Используйте сведения в разделе FAQ по брандмауэру Azure, чтобы остановить брандмауэр.

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

  4. Запустите брандмауэр с общедоступным IP-адресом управления и подсетью.

    Запустите брандмауэр с одним общедоступным IP-адресом и общедоступным IP-адресом управления:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall

    Запустите брандмауэр с двумя общедоступными IP-адресами и общедоступным IP-адресом управления:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall

    Примечание

    Необходимо перераспределить брандмауэр и общедоступный IP-адрес в исходную группу ресурсов и подписку. При остановке или запуске брандмауэра частный IP-адрес может измениться на другой IP-адрес в подсети. Это может повлиять на связность ранее настроенных таблиц маршрутов.

При просмотре брандмауэра на портале Azure вы увидите назначенный общедоступный IP-адрес управления:

Снимок экрана: брандмауэр с IP-адресом управления.

Примечание

Если удалить все остальные конфигурации IP-адресов на брандмауэре, вы также удалите конфигурацию IP-адреса управления, и брандмауэр деактивируется. Вы не можете удалить общедоступный IP-адрес, назначенный конфигурации IP-адресов управления, но можно назначить другой общедоступный IP-адрес.

Развертывание нового брандмауэра Azure с сетевым интерфейсом управления для принудительного туннелирования

Если вы предпочитаете развертывать новый брандмауэр Azure вместо использования метода остановки и запуска, обязательно включите подсеть управления и сетевой адаптер управления в рамках конфигурации.

Это важно

  • Один брандмауэр для каждой виртуальной сети. Так как два брандмауэра не могут существовать в одной виртуальной сети, удалите старый брандмауэр перед началом нового развертывания, если планируется повторно использовать одну и ту же виртуальную сеть.
  • Перед созданием подсети. Убедитесь, что AzureFirewallManagementSubnet создается заранее, чтобы избежать проблем с развертыванием при использовании существующей виртуальной сети.

Необходимые условия

  • Создайте AzureFirewallManagementSubnet:
    • Минимальный размер подсети: /26
    • Пример: 10.0.1.0/26

Шаги развертывания

  1. Перейдите к разделу "Создание ресурса" на портале Azure.
  2. Найдите брандмауэр и нажмите кнопку "Создать".
  3. При создании брандмауэра настройте следующие параметры:
    • Подписка. Выберите нужную подписку.
    • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
    • Имя. Введите имя брандмауэра.
    • Регион: выберите регион.
    • Номер SKU брандмауэра: выберите "Базовый", "Стандартный" или "Премиум".
    • Виртуальная сеть: создайте новую виртуальную сеть или используйте существующую. Например, используйте адресное пространство 10.0.0.0/16 и подсеть 10.0.0.0/26 для AzureFirewallSubnet.
    • Общедоступный IP-адрес: добавьте новый общедоступный IP-адрес. Например, назовите его FW-PIP.
    • Включение сетевого адаптера управления брандмауэром: выберите этот параметр. Задайте диапазон адресов AzureFirewallManagementSubnet (например, 10.0.1.0/26) и создайте общедоступный IP-адрес управления (например, Mgmt-PIP).
  4. Выберите "Проверка и создание ", чтобы проверить и развернуть брандмауэр. Развертывание занимает несколько минут.

Связанный контент

  • Last updated on