Azure Güvenlik Duvarı SNAT özel IP adresi aralıklarıAzure Firewall SNAT private IP address ranges

Azure Güvenlik Duvarı, genel IP adreslerine giden tüm trafik için otomatik SNAT sağlar.Azure Firewall provides automatic SNAT for all outbound traffic to public IP addresses. Varsayılan olarak, hedef IP adresi ıANA RFC 1918başına özel bir IP adresi aralığında olduğunda Azure Güvenlik Duvarı ağ kurallarıyla SNAT yapmaz.By default, Azure Firewall doesn't SNAT with Network rules when the destination IP address is in a private IP address range per IANA RFC 1918. Uygulama kuralları, her zaman hedef IP adresinin her ne kadar saydam bir ara sunucu kullanılarak uygulanır.Application rules are always applied using a transparent proxy whatever the destination IP address.

Bu mantık, trafiği doğrudan Internet 'e yönlendirdiğinizde iyi sonuç verir.This logic works well when you route traffic directly to the Internet. Bununla birlikte, Zorlamalı tünelseçeneğini etkinleştirdiyseniz, Internet 'e bağlı trafik AzureFirewallSubnet içindeki güvenlik DUVARı özel IP adreslerinden birine karşı, kaynağı şirket içi güvenlik duvarından gizleyerek gizler.However, if you've enabled forced tunneling, Internet-bound traffic is SNATed to one of the firewall private IP addresses in AzureFirewallSubnet, hiding the source from your on-premises firewall.

Kuruluşunuz özel ağlar için genel bir IP adresi aralığı kullanıyorsa, Azure Güvenlik Duvarı AzureFirewallSubnet 'deki güvenlik duvarı özel IP adreslerinden birine giden trafiği yeniden çıkarır.If your organization uses a public IP address range for private networks, Azure Firewall SNATs the traffic to one of the firewall private IP addresses in AzureFirewallSubnet. Ancak, Azure Güvenlik duvarını genel IP adresi aralığınızı SNAT olarak yapılandırmak için yapılandırabilirsiniz.However, you can configure Azure Firewall to not SNAT your public IP address range. Örneğin, tek bir IP adresi belirtmek için bunu şöyle belirtebilirsiniz: 192.168.1.10 .For example, to specify an individual IP address you can specify it like this: 192.168.1.10. IP adresi aralığını belirtmek için bunu şöyle belirtebilirsiniz: 192.168.1.0/24 .To specify a range of IP addresses, you can specify it like this: 192.168.1.0/24.

  • Azure Güvenlik duvarını hedef IP adresinden bağımsız olarak hiçbir şekilde hiçbir şekilde hiçbir şekilde hiçbir şekilde SNAT olarak yapılandırmak için, özel IP adresi aralığınız olarak 0.0.0.0/0 kullanınTo configure Azure Firewall to never SNAT regardless of the destination IP address, use 0.0.0.0/0 as your private IP address range. Bu yapılandırmayla, Azure Güvenlik Duvarı trafiği hiçbir şekilde doğrudan Internet 'e yönlendirmez.With this configuration, Azure Firewall can never route traffic directly to the Internet.

  • Güvenlik duvarını, hedef adresten bağımsız olarak her zaman SNAT olarak yapılandırmak için, özel IP adresi aralığınızdan 255.255.255.255/32 kullanın.To configure the firewall to always SNAT regardless of the destination address, use 255.255.255.255/32 as your private IP address range.

Önemli

Belirttiğiniz özel adres aralığı yalnızca ağ kuralları için geçerlidir.The private address range that you specify only applies to network rules. Şu anda uygulama kuralları her zaman SNAT.Currently, application rules always SNAT.

Önemli

Kendi özel IP adresi aralıklarını belirtmek ve varsayılan ıANA RFC 1918 adres aralıklarını korumak istiyorsanız, özel listenizin ıANA RFC 1918 aralığını hala içerdiğinden emin olun.If you want to specify your own private IP address ranges, and keep the default IANA RFC 1918 address ranges, make sure your custom list still includes the IANA RFC 1918 range.

Aşağıdaki yöntemleri kullanarak SNAT özel IP adreslerini yapılandırabilirsiniz.You can configure the SNAT private IP addresses using the following methods. Yapılandırmanızda uygun yöntemi kullanarak SNAT özel adreslerini yapılandırmanız gerekir.You must configure the SNAT private addresses using the method appropriate for your configuration. Bir güvenlik duvarı ilkesiyle ilişkili güvenlik duvarları, ilkede Aralık belirtmeli ve kullanımda olmamalıdır AdditionalProperties .Firewalls associated with a firewall policy must specify the range in the policy and not use AdditionalProperties.

YöntemMethod Klasik kuralları kullanmaUsing classic rules Güvenlik Duvarı İlkesi kullanmaUsing firewall policy
Azure portalıAzure portal Desteksupported Desteksupported
Azure PowerShellAzure PowerShell yapılandırma PrivateRangeconfigure PrivateRange Şu anda desteklenmiyorcurrently unsupported
Azure CLIAzure CLI yapılandırma --private-rangesconfigure --private-ranges Şu anda desteklenmiyorcurrently unsupported
ARM şablonuARM template AdditionalPropertiesgüvenlik duvarı özelliğinde yapılandırmaconfigure AdditionalProperties in firewall property snat/privateRangesgüvenlik duvarı ilkesinde yapılandırmaconfigure snat/privateRanges in firewall policy

SNAT özel IP adresi aralıklarını Yapılandırma-Azure PowerShellConfigure SNAT private IP address ranges - Azure PowerShell

Klasik kurallarClassic rules

Güvenlik Duvarı için özel IP adresi aralıklarını belirtmek üzere Azure PowerShell kullanabilirsiniz.You can use Azure PowerShell to specify private IP address ranges for the firewall.

Not

Güvenlik Duvarı PrivateRange özelliği bir güvenlik duvarı ilkesiyle ilişkili güvenlik duvarları için yok sayılır.The firewall PrivateRange property is ignored for firewalls associated with a Firewall Policy. SNATÖzelliğini, firewallPolicies SNAT özel IP adresı aralıkları-ARM şablonunu yapılandırmabölümünde açıklandığı gibi kullanmanız gerekir.You must use the SNAT property in firewallPolicies as described in Configure SNAT private IP address ranges - ARM template.

Yeni güvenlik duvarıNew firewall

Klasik kuralları kullanan yeni bir güvenlik duvarı için Azure PowerShell cmdlet 'i şunlardır:For a new firewall using classic rules, the Azure PowerShell cmdlet is:

$azFw = @{
    Name               = '<fw-name>'
    ResourceGroupName  = '<resourcegroup-name>'
    Location           = '<location>'
    VirtualNetworkName = '<vnet-name>'
    PublicIpName       = '<public-ip-name>'
    PrivateRange       = @("IANAPrivateRanges", "192.168.1.0/24", "192.168.1.10")
}

New-AzFirewall @azFw

Not

Kullanarak Azure Güvenlik Duvarı dağıtmak New-AzFirewall , mevcut bir VNET ve genel IP adresi gerektirir.Deploying Azure Firewall using New-AzFirewall requires an existing VNet and Public IP address. Tam dağıtım kılavuzu için Azure PowerShell kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma konusuna bakın.See Deploy and configure Azure Firewall using Azure PowerShell for a full deployment guide.

Not

IANAPrivateRanges, diğer aralıklar buna eklenirken Azure Güvenlik duvarında geçerli varsayılan değerlere genişletilir.IANAPrivateRanges is expanded to the current defaults on Azure Firewall while the other ranges are added to it. Özel Aralık belirtimde IANAPrivateRanges varsayılan kalmasını sağlamak için, PrivateRange Aşağıdaki örneklerde gösterildiği gibi belirtimde kalması gerekir.To keep the IANAPrivateRanges default in your private range specification, it must remain in your PrivateRange specification as shown in the following examples.

Daha fazla bilgi için bkz. New-AzFirewall.For more information, see New-AzFirewall.

Mevcut güvenlik duvarıExisting firewall

Klasik kuralları kullanarak var olan bir güvenlik duvarını yapılandırmak için aşağıdaki Azure PowerShell cmdlet 'lerini kullanın:To configure an existing firewall using classic rules, use the following Azure PowerShell cmdlets:

$azfw = Get-AzFirewall -Name '<fw-name>' -ResourceGroupName '<resourcegroup-name>'
$azfw.PrivateRange = @("IANAPrivateRanges","192.168.1.0/24", "192.168.1.10")
Set-AzFirewall -AzureFirewall $azfw

SNAT özel IP adresi aralıklarını Yapılandırma-Azure CLıConfigure SNAT private IP address ranges - Azure CLI

Klasik kurallarClassic rules

Klasik kuralları kullanarak güvenlik duvarı için özel IP adresi aralıklarını belirtmek üzere Azure CLı kullanabilirsiniz.You can use Azure CLI to specify private IP address ranges for the firewall using classic rules.

Yeni güvenlik duvarıNew firewall

Klasik kuralları kullanan yeni bir güvenlik duvarı için Azure CLı komutu şu şekilde olur:For a new firewall using classic rules, the Azure CLI command is:

az network firewall create \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

Not

Azure CLı komutunu kullanarak Azure Güvenlik Duvarı 'Nı dağıtmak az network firewall create , genel IP adresleri ve IP yapılandırması oluşturmak için ek yapılandırma adımları gerektirir.Deploying Azure Firewall using Azure CLI command az network firewall create requires additional configuration steps to create public IP addresses and IP configuration. Tam dağıtım kılavuzu için bkz. Azure CLI kullanarak Azure Güvenlik duvarını dağıtma ve yapılandırma .See Deploy and configure Azure Firewall using Azure CLI for a full deployment guide.

Not

IANAPrivateRanges, diğer aralıklar buna eklenirken Azure Güvenlik duvarında geçerli varsayılan değerlere genişletilir.IANAPrivateRanges is expanded to the current defaults on Azure Firewall while the other ranges are added to it. Özel Aralık belirtimde IANAPrivateRanges varsayılan kalmasını sağlamak için, private-ranges Aşağıdaki örneklerde gösterildiği gibi belirtimde kalması gerekir.To keep the IANAPrivateRanges default in your private range specification, it must remain in your private-ranges specification as shown in the following examples.

Mevcut güvenlik duvarıExisting firewall

Klasik kuralları kullanarak var olan bir güvenlik duvarını yapılandırmak için, Azure CLı komutu şu şekilde olur:To configure an existing firewall using classic rules, the Azure CLI command is:

az network firewall update \
-n <fw-name> \
-g <resourcegroup-name> \
--private-ranges 192.168.1.0/24 192.168.1.10 IANAPrivateRanges

SNAT özel IP adresi aralıklarını yapılandırma-ARM şablonuConfigure SNAT private IP address ranges - ARM template

Klasik kurallarClassic rules

ARM Şablon dağıtımı sırasında SNAT 'yi yapılandırmak için, özelliğine aşağıdakileri ekleyebilirsiniz additionalProperties :To configure SNAT during ARM Template deployment, you can add the following to the additionalProperties property:

"additionalProperties": {
   "Network.SNAT.PrivateRanges": "IANAPrivateRanges , IPRange1, IPRange2"
},

Güvenlik duvarı ilkesiFirewall policy

Bir güvenlik duvarı ilkesiyle ilişkili Azure Güvenlik duvarları, 2020-11-01 API sürümünden bu yana SNAT özel aralıklarını destekliyordu.Azure Firewalls associated with a firewall policy have supported SNAT private ranges since the 2020-11-01 API version. Şu anda, güvenlik duvarı Ilkesinde SNAT özel aralığını güncelleştirmek için bir şablon kullanabilirsiniz.Currently, you can use a template to update the SNAT private range on the Firewall Policy. Aşağıdaki örnek güvenlik duvarını her zaman SNAT ağ trafiğine yapılandırır:The following sample configures the firewall to always SNAT network traffic:

{ 

            "type": "Microsoft.Network/firewallPolicies", 
            "apiVersion": "2020-11-01", 
            "name": "[parameters('firewallPolicies_DatabasePolicy_name')]", 
            "location": "eastus", 
            "properties": { 
                "sku": { 
                    "tier": "Standard" 
                }, 
                "snat": { 
                    "privateRanges": [255.255.255.255/32] 
                } 
            } 

SNAT özel IP adresi aralıklarını Yapılandırma-Azure portalConfigure SNAT private IP address ranges - Azure portal

Klasik kurallarClassic rules

Güvenlik Duvarı için özel IP adresi aralıklarını belirtmek üzere Azure portal kullanabilirsiniz.You can use the Azure portal to specify private IP address ranges for the firewall.

  1. Kaynak grubunuzu seçin ve ardından güvenlik duvarınızı seçin.Select your resource group, and then select your firewall.

  2. Genel bakış SAYFASıNDA özel IP aralıkları' nı seçerek IANA RFC 1918 varsayılan değerini seçin.On the Overview page, Private IP Ranges, select the default value IANA RFC 1918.

    Özel IP öneklerini Düzenle sayfası açılır:The Edit Private IP Prefixes page opens:

    Özel IP öneklerini Düzenle

  3. Varsayılan olarak, IANAPrivateRanges yapılandırılır.By default, IANAPrivateRanges is configured.

  4. Ortamınız için özel IP adresi aralıklarını düzenleyin ve ardından Kaydet' i seçin.Edit the private IP address ranges for your environment and then select Save.

Güvenlik duvarı ilkesiFirewall policy

  1. Kaynak grubunuzu seçin ve ardından güvenlik duvarı ilkenizi seçin.Select your resource group, and then select your firewall policy.

  2. Ayarlar sütununda özel IP aralıkları (SNAT) seçeneğini belirleyin.Select Private IP ranges (SNAT) in the Settings column.

    Varsayılan olarak, varsayılan Azure Güvenlik Duvarı ILKESI SNAT davranışını kullan seçilidir.By default, Use the default Azure Firewall Policy SNAT behavior is selected.

  3. SNAT yapılandırmasını özelleştirmek için onay kutusunun işaretini kaldırın ve SNAT gerçekleştir altında ORTAMıNıZ için SNAT gerçekleştirme koşullarını seçin.To customize the SNAT configuration, clear the check box, and under Perform SNAT select the conditions to perform SNAT for your environment. Özel IP aralıkları (SNAT)

  4. Uygula’yı seçin.Select Apply.

Sonraki adımlarNext steps