Überlegungen bei der Implementierung von NAT auf Firewalls, die auf AWS, Azure oder GCP gehostet werden.
7329
Created On 04/03/24 23:11 PM - Last Modified 05/07/24 14:03 PM
Symptom
Datenverkehr, von dem erwartet wird, dass er von einer in der öffentlichen Cloud gehosteten Firewall der VM-Serie NATt wird, schafft es nicht über diese Firewall hinaus.
Environment
Eine Firewall der VM-Serie, die auf AWS, Azure oder GCP gehostet wird, so, dass:
- Es empfängt, verarbeitet und überträgt Datenverkehr über zwei verschiedene Zonen (z. B. Vertrauen und Misstrauen, Privat und Öffentlich, Privat und DMZ).
- Auf der Firewall wurde eine NAT-Richtlinie konfiguriert, um diesen Datenverkehr zu erleichtern.
- Zu den weiteren Merkmalen der Umgebung kann eine neu erstellte Schnittstelle gehören, die an die Firewall angefügt ist.
Cause
Schnittstellen auf der Firewall müssen auf VM-Ebene konfiguriert werden, damit NATted-Datenverkehr passieren kann.
Resolution
azurblau:
- Aktivieren Sie die IP-Weiterleitung für die betroffenen Datenebenenschnittstellen der VM-Firewall (Microsoft, 2023).
- Die IP-Weiterleitung ist auf neuen Schnittstellen standardmäßig deaktiviert und sollte aktiviert werden, wenn Sie NAT mit einer neuen Schnittstelle verwenden möchten.
- Randnotiz: Wenn die Schnittstelle (Datenebene) neu erstellt wurde und nachdem die Firewall bereitgestellt wurde, besteht die Möglichkeit, dass der beschleunigte Azure-Netzwerkbetrieb nicht aktiviert wurde. Es wird empfohlen, ihn zu aktivieren. Referenz: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saeoCAA
AWS:
- Deaktivieren Sie Quell-/Zielprüfungen für betroffene Datenebenenschnittstellen der VM-Firewall (Amazon Web Services, 2024).
- Quell-/Zielprüfungen sind standardmäßig auf neuen Schnittstellen aktiviert und sollten deaktiviert werden, wenn Sie NAT mit einer neuen Schnittstelle verwenden möchten.
GCP:
- Aktivieren der IP-Weiterleitung auf den betroffenen Datenebenenschnittstellen der VM-Firewall (Google Cloud, 2024)
- Die IP-Weiterleitung ist auf neuen Schnittstellen standardmäßig deaktiviert und sollte aktiviert werden, wenn Sie NAT mit einer neuen Schnittstelle verwenden möchten.
Additional Information
Verweise
Amazon Web Services. (2024). Elastic Network-Schnittstellen. AWS-Dokumentation. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html
Google Cloud. (2024, 03 27). Aktivieren Sie die IP-Weiterleitung für Instanzen. Google Cloud-Dokumentation. https://cloud.google.com/vpc/docs/using-routes#canipforward
Microsoft. (2023, 03 23). Aktivieren oder deaktivieren Sie die IP-Weiterleitung. Microsoft Learn – Dokumentation. https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-network-interface?tabs=azure-portal#enable-or-disable-ip-forwarding