Auf Englisch lesen

Freigeben über


Azure Firewall-Tunnelerzwingung

Wenn Sie eine neue Azure Firewall konfigurieren, können Sie den gesamten Internetdatenverkehr an den festgelegten nächsten Hop weiterleiten, statt dass er direkt ins Internet verläuft. Sie könnten beispielsweise eine über BGP angekündigte Standardroute oder benutzerdefinierte Routen (User Defined Routes, UDRs) verwenden, um zu erzwingen, dass der Datenverkehr zu einer lokalen Edgefirewall oder einer anderen virtuellen Netzwerkappliance (NVA) geleitet wird, um den Netzwerkverkehr zu verarbeiten, bevor er an das Internet weitergeleitet wird. Um diese Konfiguration zu unterstützen, müssen Sie eine Azure-Firewall mit aktivierter Firewall Management NIC erstellen.

Screenshot der Konfiguration des erzwungenen Tunnelings.

Sie ziehen es vielleicht vor, eine öffentliche IP-Adresse nicht direkt ins Internet zu stellen. In diesem Fall können Sie Azure Firewall mit aktivierter Management NIC ohne öffentliche IP-Adresse bereitstellen. Wenn die Management NIC aktiviert ist, wird eine Verwaltungsschnittstelle mit einer öffentlichen IP-Adresse erstellt, die von Azure Firewall für ihre Vorgänge verwendet wird. Die öffentliche IP-Adresse wird ausschließlich von der Azure-Plattform verwendet und kann nicht für andere Zwecke verwendet werden. Das Tenant Datapath-Netzwerk kann ohne öffentliche IP-Adresse konfiguriert werden, und der Internetverkehr kann zu einer anderen Firewall getunnelt oder blockiert werden.

Azure Firewall bietet eine SNAT für sämtlichen ausgehenden Datenverkehr an öffentliche IP-Adressen. Azure Firewall führt keine Übersetzung der Quellnetzwerkadresse durch, wenn die Ziel-IP-Adresse ein privater IP-Adressbereich gemäß IANA RFC 1918 ist. Diese Logik funktioniert optimal bei ausgehendem Datenverkehr an das Internet. Bei konfiguriertem erzwungenem Tunneln kann jedoch der internetgebundene Datenverkehr an eine der privaten IP-Adressen der Firewall im AzureFirewallSubnet SNATed sein. Dadurch wird die Quelladresse vor Ihrer lokalen Firewall verborgen. Sie können Azure Firewall so konfigurieren, dass SNAT unabhängig von der Ziel-IP-Adresse nicht angewendet wird, indem Sie 0.0.0.0/0 als privaten IP-Adressbereich hinzufügen. Mit dieser Konfiguration kann Azure Firewall niemals Datenverkehr direkt an das Internet weiterleiten. Weitere Informationen finden Sie unter Azure Firewall SNAT – private Adressbereiche.

Azure Firewall unterstützt auch geteiltes Tunneln, was die Fähigkeit ist, den Datenverkehr selektiv weiterzuleiten. Sie können z. B. Azure Firewall so konfigurieren, dass der gesamte Datenverkehr an Ihr lokales Netzwerk weitergeleitet wird, während der Datenverkehr für die KMS-Aktivierung an das Internet weitergeleitet wird, um sicherzustellen, dass der KMS-Server aktiviert ist. Dazu können Sie Routentabellen im AzureFirewallSubnet verwenden. Weitere Informationen finden Sie unter Konfigurieren der Azure Firewall im Modus „Erzwungenes Tunneln“ – Microsoft Community Hub.

Wichtig

Wenn Sie Azure Firewall innerhalb eines Virtual WAN Hubs (geschützter virtueller Hub) bereitstellen, wird die Ankündigung der Standardroute über Express Route oder VPN Gateway derzeit nicht unterstützt. Es wird bereits nach einer Lösung gesucht.

Wichtig

DNAT wird bei aktivierter Tunnelerzwingung nicht unterstützt. Mit aktivierter Tunnelerzwingung bereitgestellte Firewalls können aufgrund des asymmetrischen Routings keinen eingehenden Zugriff über das Internet unterstützen. Firewalls mit einer Management NIC unterstützen jedoch weiterhin DNAT.

Konfiguration der Tunnelerzwingung

Wenn die Firewall Management NIC aktiviert ist, kann das Subnetz AzureFirewallSubnet jetzt Routen zu jeder beliebigen lokalen Firewall oder jedem NVA enthalten, die bzw. das den Netzwerkverkehr erst verarbeitet, bevor er ans Internet übergeben wird. Sie können diese Routen auch über BGP an AzureFirewallSubnet veröffentlichen, wenn Gatewayrouten verteilen in diesem Subnetz aktiviert ist.

Sie können z. B. eine Standardroute im Subnetz AzureFirewallSubnet mit Ihrem VPN-Gateway als nächstem Hop erstellen, um auf Ihr lokales Gerät zu gelangen. Sie können auch Gatewayrouten verteilen aktivieren, um die entsprechenden Routen zum lokalen Netzwerk abzurufen.

Wenn Sie jedoch die Tunnelerzwingung konfiguriert haben, wird der Internet-gebundene Datenverkehr an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet übersetzt, wodurch die Quelle vor Ihrer lokalen Firewall verborgen wird.

Wenn Ihre Organisation einen öffentlichen IP-Adressbereich für private Netzwerke verwendet, leitet Azure Firewall den Datenverkehr per SNAT an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet weiter. Sie können Azure Firewall jedoch so konfigurieren, dass Ihr öffentlicher IP-Adressbereich nicht per SNAT weitergeleitet wird. Weitere Informationen finden Sie unter Azure Firewall SNAT – private Adressbereiche.