Freigeben über

Azure Firewall Management NIC

Hinweis

Dieses Feature wurde zuvor als „Erzwungenes Tunneling“ bezeichnet. Ursprünglich war eine Verwaltungsnetzwerkschnittstelle nur für erzwungene Tunneling erforderlich. Bestimmte bevorstehende Firewallfeatures erfordern jedoch auch eine Verwaltungsnetzwerkschnittstelle, sodass sie vom erzwungenen Tunneling entkoppelt wurde.

Eine Azure Firewall Management-Netzwerkschnittstelle trennt den Firewallverwaltungsdatenverkehr vom Kundendatenverkehr. Um erzwungene Tunneling- und andere Verwaltungsfunktionen zu unterstützen, müssen Sie eine Azure-Firewall mit aktivierter Firewall-Netzwerkschnittstelle erstellen oder auf einer vorhandenen Azure-Firewall aktivieren, um Dienstunterbrechungen zu vermeiden.

Was geschieht, wenn Sie die Verwaltungsnetzwerkschnittstelle aktivieren

Wenn Sie eine Verwaltungs-NIC aktivieren, leitet die Firewall ihren Verwaltungsdatenverkehr über das AzureFirewallManagementSubnet (minimale Subnetzgröße /26) mit der zugehörigen öffentlichen IP-Adresse weiter. Sie weisen diese öffentliche IP-Adresse für die Firewall zum Verwalten des Datenverkehrs zu. Das AzureFirewallManagementSubnet umfasst den gesamten Datenverkehr, der für Firewall-Betriebszwecke erforderlich ist.

Standardmäßig ordnet der Dienst dem Verwaltungssubnetz eine vom System bereitgestellte Routingtabelle zu. Die einzige in diesem Subnetz zulässige Route ist eine Standardroute zum Internet, und Gateway-Routen propagieren muss deaktiviert sein. Vermeiden Sie das Zuordnen von Kundenroutentabellen zum Verwaltungssubnetz, da diese Konfiguration Dienstunterbrechungen verursachen kann. Wenn Sie eine Routentabelle zuordnen, stellen Sie sicher, dass sie über eine Standardroute zum Internet verfügt, um Dienstunterbrechungen zu vermeiden.

Screenshot der Konfiguration der Firewallverwaltungs-NIC.

Aktivieren der Verwaltungs-NIC auf vorhandenen Firewalls

Für Standard- und Premium-Firewallversionen müssen Sie die Firewall Management NIC während des Erstellungsprozesses manuell aktivieren, wie zuvor gezeigt. Alle Standardfirewallversionen und alle gesicherten Hubfirewalls verfügen jedoch immer über eine Verwaltungs-NIC.

Für eine vorhandene Firewall müssen Sie die Firewall beenden und dann mit aktivierter Netzwerkschnittstelle für die Firewallverwaltung neu starten, um die erzwungene Tunnelung zu unterstützen. Sie können das Beenden oder Starten der Firewall verwenden, um die Firewallverwaltungs-NIC zu aktivieren, ohne eine vorhandene Firewall löschen und eine neue erneut bereitstellen zu müssen. Starten oder beenden Sie die Firewall während der Wartungszeiten immer, um Unterbrechungen zu vermeiden, z. B. beim Versuch, die Firewallverwaltungs-NIC zu aktivieren.

  1. Erstellen Sie das AzureFirewallManagementSubnet Im Azure-Portal, und verwenden Sie den entsprechenden IP-Adressbereich für das virtuelle Netzwerk.

    Screenshot der Subnetzkonfiguration für AzureFirewallManagementSubnet.

  2. Erstellen Sie die neue öffentliche Management-IP-Adresse mit den gleichen Eigenschaften wie die vorhandene öffentliche Firewall-IP-Adresse: SKU, Ebene und Standort.

    Screenshot der Erstellung öffentlicher IP-Adressen.

  3. Beenden Sie die Firewall.

    Verwenden Sie die Informationen unter häufig gestellten Fragen zur Azure Firewall, um die Firewall zu beenden:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

  4. Starten Sie die Firewall mit der öffentlichen Management-IP-Adresse und dem Subnetz.

    Starten Sie eine Firewall mit einer öffentlichen IP-Adresse und einer öffentlichen IP-Adresse für die Verwaltung:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, $pip, $mgmtPip)
$azfw | Set-AzFirewall

    Starten Sie eine Firewall mit zwei öffentlichen IP-Adressen und einer öffentlichen IP-Adresse für die Verwaltung:

    $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -Name "VNet Name" -ResourceGroupName "RG Name"
$pip1 = Get-AzPublicIpAddress -Name "azfwpublicip" -ResourceGroupName "RG Name"
$pip2 = Get-AzPublicIpAddress -Name "azfwpublicip2" -ResourceGroupName "RG Name"
$mgmtPip = Get-AzPublicIpAddress -Name "mgmtpip" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($pip1,$pip2), $mgmtPip)
$azfw | Set-AzFirewall

    Hinweis

    Sie müssen der ursprünglichen Ressourcengruppe und dem Abonnement eine Firewall und eine öffentliche IP-Adresse neu zuordnen. Wenn Sie die Firewall beenden oder starten, ändert sich die private IP-Adresse möglicherweise in eine andere IP-Adresse innerhalb des Subnetzes. Dies kann sich auf die Konnektivität zuvor konfigurierter Routingtabellen auswirken.

Wenn Sie die Firewall im Azure-Portal anzeigen, wird die zugewiesene öffentliche IP-Adresse der Verwaltung angezeigt:

Screenshot der Firewall mit einer Management IP-Adresse.

Hinweis

Wenn Sie alle anderen IP-Adresskonfigurationen in Ihrer Firewall entfernen, entfernen Sie auch die Verwaltungs-IP-Adresskonfiguration, und die Firewall wird freigegeben. Sie können die öffentliche IP-Adresse, die der Verwaltungs-IP-Adresskonfiguration zugewiesen ist, nicht entfernen, aber Sie können eine andere öffentliche IP-Adresse zuweisen.

Bereitstellen einer neuen Azure Firewall mit Verwaltungsnetzwerkschnittstelle für erzwungenes Tunneln

Wenn Sie lieber eine neue Azure-Firewall bereitstellen möchten, anstatt die Stop/Start-Methode zu verwenden, stellen Sie sicher, dass Sie eine Subnetz- und Verwaltungs-NIC für die Verwaltung als Teil Ihrer Konfiguration einschließen.

Von Bedeutung

  • Einzelne Firewall pro virtuellem Netzwerk: Da zwei Firewalls nicht innerhalb desselben virtuellen Netzwerks vorhanden sind, löschen Sie die alte Firewall, bevor Sie die neue Bereitstellung starten, wenn Sie beabsichtigen, dasselbe virtuelle Netzwerk wiederzuverwenden.
  • Subnetz vorab erstellen: Stellen Sie sicher, dass das AzureFirewallManagementSubnet im Voraus erstellt wird, um Bereitstellungsprobleme bei verwendung eines vorhandenen virtuellen Netzwerks zu vermeiden.

Voraussetzungen

  • Erstellen Sie das AzureFirewall--ManagementSubnet:
    • Minimale Subnetzgröße: /26
    • Beispiel: 10.0.1.0/26

Implementierungsschritte

  1. Wechseln Sie im Azure-Portal zu Ressource erstellen.
  2. Suchen Sie nach Firewall, und wählen Sie "Erstellen" aus.
  3. Konfigurieren Sie unter "Firewall erstellen" die folgenden Einstellungen:
    • Abonnement: Wählen Sie Ihr Abonnement aus.
    • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
    • Name: Geben Sie einen Namen für die Firewall ein.
    • Bereich: Wählen Sie Ihren Bereich aus.
    • Firewall-SKU: Wählen Sie "Basic", "Standard" oder "Premium" aus.
    • Virtuelles Netzwerk: Erstellen eines neuen virtuellen Netzwerks oder Verwenden eines bereits vorhandenen virtuelles Netzwerks. Verwenden Sie beispielsweise den Adressraum 10.0.0.0/16 und subnetz 10.0.0.0/26 für AzureFirewallSubnet.
    • Öffentliche IP-Adresse: Fügen Sie eine neue öffentliche IP-Adresse hinzu. Nennen Sie es z. B. FW-PIP.
    • Firewallverwaltungs-NIC aktivieren: Wählen Sie diese Option aus. Legen Sie den Adressbereich von AzureFirewallManagementSubnet fest (z. B. 10.0.1.0/26), und erstellen Sie eine öffentliche IP-Adresse für die Verwaltung (z. B. Mgmt-PIP).
  4. Wählen Sie "Überprüfen" und "Erstellen " aus, um die Firewall zu überprüfen und bereitzustellen. Die Bereitstellung dauert einige Minuten.

Zugehöriger Inhalt

  • Last updated on