Tunelización forzada de Azure Firewall
Al configurar una nueva instancia de Azure Firewall, puede enrutar todo el tráfico vinculado a Internet a un próximo salto designado, en lugar de ir directamente a Internet. Por ejemplo, es posible que tenga una ruta predeterminada anunciada por medio de BGP o mediante Ruta definida por el usuario (UDR) a fin de forzar el tráfico a un firewall perimetral local u otra aplicación virtual de red (NVA) para procesar el tráfico de red antes de que pase a Internet. Para admitir esta configuración, debe crear una instancia de Azure Firewall con la configuración de tunelización forzada habilitada. Se trata de un requisito obligatorio para evitar la interrupción del servicio.
Si tiene un firewall preexistente, debe detener o iniciar el firewall en modo de tunelización forzada para admitir esta configuración. La detención o inicio del firewall se puede usar para configurar la tunelización forzada del firewall sin necesidad de volver a implementar uno nuevo. Debe hacerlo durante las horas de mantenimiento para evitar interrupciones. Para obtener más información, vea Preguntas frecuentes sobre Azure Firewall sobre cómo detener y reiniciar un firewall en modo de tunelización forzada.
Es posible que prefiera no exponer una dirección IP pública directamente en Internet. En este caso, puede implementar Azure Firewall en el modo de tunelización forzada sin una dirección IP pública. Esta configuración crea una interfaz de administración con una dirección IP pública que usa Azure Firewall para sus operaciones. La dirección IP pública es usada exclusivamente por la plataforma Azure y no puede ser usada para ningún otro propósito. La red de ruta de acceso de datos de inquilino se puede configurar sin una dirección IP pública y el tráfico de Internet se puede tunelizar de manera forzada a otro firewall o bloquearse.
Azure Firewall proporciona SNAT automática para todo el tráfico saliente a las IP públicas. Azure Firewall no aplica SNAT cuando la dirección IP de destino es un intervalo de direcciones IP privadas, de acuerdo con la normativa RFC 1918 de IANA. Esta lógica funciona perfectamente cuando se proporciona la salida directamente a Internet. Pero con la tunelización forzada habilitada, al tráfico enlazado a Internet se le aplica SNAT para una de las direcciones IP privadas del firewall en AzureFirewallSubnet. Esto oculta la dirección de origen del firewall local. Para configurar Azure Firewall en no aplicar SNAT independientemente de la dirección IP de destino, agregue 0.0.0.0/0 como intervalo de direcciones IP privadas. Con esta configuración, Azure Firewall nunca puede sacar el tráfico directamente a Internet. Para más información, consulte Aplicación de SNAT por parte de Azure Firewall a intervalos de direcciones IP privadas.
Importante
Si implementa Azure Firewall dentro de un centro de Virtual WAN (centro virtual protegido), no se admite actualmente la ruta predeterminada a través de Express Route o VPN Gateway. Se está investigando una solución.
Importante
DNAT no es compatible con la tunelización forzada habilitada. Los firewalls implementados con la tunelización forzada habilitada no admiten el acceso entrante desde Internet debido al enrutamiento asimétrico.
Configuración de la tunelización forzada
Puede configurar la tunelización forzada durante la creación del cortafuegos activando el modo de tunelización forzada como se muestra en la siguiente captura de pantalla. Para admitir la tunelización forzada, el tráfico de administración de servicio se separa del tráfico del cliente. Se requiere otra subred dedicada denominada AzureFirewallManagementSubnet (tamaño mínimo de subred /26) con su propia dirección IP pública asociada. Esta IP pública es para el tráfico de administración. Se usa exclusivamente en la plataforma Azure y no puede usarse para ningún otro propósito.
En el modo de tunelización forzada, el servicio Azure Firewall incorpora la subred de administración (AzureFirewallManagementSubnet) para sus fines operativos. De forma predeterminada, el servicio asocia una tabla de rutas proporcionada por el sistema a la subred de administración. La única ruta permitida en esta subred es una ruta predeterminada a Internet y Propagar las rutas de la puerta de enlace se debe deshabilitar. Evite asociar tablas de rutas de cliente a la subred de administración al crear el firewall.
En esta configuración, AzureFirewallSubnet puede incluir rutas a cualquier firewall local o NVA para procesar el tráfico antes de pasarlo a Internet. También puede publicar estas rutas mediante BGP en AzureFirewallSubnet si está habilitada la opción Propagate gateway routes (Propagar rutas de puerta de enlace) en la subred.
Por ejemplo, puede crear una ruta predeterminada en AzureFirewallSubnet con la puerta de enlace de VPN como siguiente salto para llegar al dispositivo local. O bien, puede habilitar la Propagate gateway routes (Propagar rutas de puerta de enlace) para obtener las rutas adecuadas a la red local.
Si ha habilitado la tunelización forzada, al tráfico vinculado a Internet se le aplica SNAT para una de las direcciones IP privadas del firewall en AzureFirewallSubnet, ocultando el origen del firewall local.
Si su organización usa un intervalo de direcciones IP públicas para las redes privadas, Azure Firewall aplicará SNAT al tráfico para una de las direcciones IP privadas de firewall en AzureFirewallSubnet. Sin embargo, puede configurar Azure Firewall de modo que no aplique SNAT al intervalo de direcciones IP públicas. Para más información, consulte Aplicación de SNAT por parte de Azure Firewall a intervalos de direcciones IP privadas.
Después de configurar Azure Firewall para admitir la tunelización forzada, no se puede deshacer la configuración. Si quita el resto de configuraciones de IP del firewall, también se quitará la configuración de IP de administración y se desasignará el firewall. No se puede quitar la dirección IP pública asignada a la configuración de IP de administración, pero puede asignar una dirección IP pública diferente.