Tunneling forcé du pare-feu Azure
Lorsque vous configurez un nouveau pare-feu Azure, vous pouvez acheminer tout le trafic Internet vers un tronçon suivant désigné au lieu d’accéder directement à Internet. Par exemple, vous pouvez disposer d’un itinéraire par défaut publié via BGP ou utilisant l’itinéraire défini par l’utilisateur (UDR) pour forcer le trafic vers un pare-feu de périphérie local ou une autre appliance virtuelle réseau (NVA) pour traiter le trafic réseau avant qu’il ne soit dirigé vers Internet. Pour prendre en charge cette configuration, vous devez créer Pare-feu Azure avec une configuration de tunneling forcé activée. Il s’agit d’une exigence obligatoire pour éviter toute interruption de service.
Si vous disposez d’un pare-feu préexistant, vous devez arrêter/démarrer le pare-feu en mode tunnel forcé pour prendre en charge cette configuration. L’arrêt/démarrage du pare-feu peut être utilisé pour configurer le tunnel forcé du pare-feu sans avoir à en redéployer un nouveau. Il est préférable d’effectuer cette opération pendant les heures de maintenance afin d’éviter toute perturbation. Pour plus d’informations, consultez la FAQ du Pare-feu Azure sur l’arrêt et le redémarrage d’un pare-feu en mode Tunnel forcé.
Vous préféreriez ne pas exposer une adresse IP publique directement à Internet. Dans ce cas, vous pouvez déployer Pare-feu Azure en mode Tunneling forcé sans adresse IP publique. Cette configuration crée une interface de gestion avec une adresse IP publique utilisée par Pare-feu Azure pour ses opérations. L’adresse IP publique est utilisée exclusivement par la plateforme Azure et ne peut être utilisée à aucune autre fin. Le réseau Tenant Datapath peut être configuré sans adresse IP publique, et le trafic Internet peut être transféré en mode Tunnel forcé vers un autre pare-feu ou être bloqué.
Le Pare-feu Azure assure automatiquement la traduction SNAT pour l'ensemble du trafic sortant à destination d'adresses IP publiques. Le Pare-feu Azure ne traduit pas l’adresse réseau source quand l’adresse IP de destination est une plage d’adresses IP privées selon la norme IANA RFC 1918. Cette logique fonctionne parfaitement lorsque vous êtes directement en sortie sur Internet. Toutefois, avec le tunneling forcé activé, le trafic Internet est traduit via SNAT en l’une des adresses IP privées de pare-feu dans AzureFirewallSubnet. Cela masque l’adresse source de votre pare-feu local. Vous pouvez configurer le Pare-feu Azure sans traduction d’adresses réseau sources (SNAT), quelle que soit l’adresse IP de destination en ajoutant 0.0.0.0/0 comme plage d’adresses IP privées. Avec cette configuration, le Pare-feu Azure ne peut jamais sortir directement sur Internet. Pour plus d’informations, consultez Plages d’adresses IP privées SNAT du Pare-feu Azure.
Important
Si vous déployez Pare-feu Azure à l’intérieur d’un hub Virtual WAN (hub virtuel sécurisé), la publicité de l’itinéraire par défaut sur Express Route ou passerelle VPN n’est actuellement pas prise en charge. Un correctif est en cours d’étude.
Important
DNAT n’est pas pris en charge avec l’option Tunneling forcé activée. Les pare-feu déployés, dont l’option Tunneling forcé est activée, ne peuvent pas prendre en charge l’accès entrant depuis Internet compte tenu du routage asymétrique.
Configuration de tunneling forcé
Vous pouvez configurer le tunneling forcé lors de la création du pare-feu en activant le mode tunnel forcé, comme indiqué dans la capture d’écran suivante. Pour prendre en charge le tunneling forcé, le trafic du management des services est séparé du trafic client. Un autre sous-réseau dédié nommé AzureFirewallManagementSubnet (taille minimale du sous-réseau /26) est requis avec sa propre adresse IP publique associée. Cette adresse IP publique est destinée au trafic de gestion. Il est utilisé exclusivement par la plateforme Azure et ne peut être utilisé à aucune autre fin.
En mode Tunneling forcé, le service Pare-feu Azure intègre le sous-réseau de gestion (AzureFirewallManagementSubnet) à ses fins opérationnelles. Par défaut, le service associe une table d’itinéraires fournie par le système au sous-réseau de gestion. Le seul itinéraire autorisé sur ce sous-réseau est un itinéraire par défaut vers Internet et la propagation des itinéraires de passerelle doit être désactivée. Évitez d’associer des tables de routage client au sous-réseau de gestion lorsque vous créez le pare-feu.
Dans cette configuration, AzureFirewallSubnet peut désormais inclure des routes vers n’importe quel pare-feu local ou n’importe quelle appliance virtuelle réseau pour traiter le trafic avant qu’il ne soit dirigé vers Internet. Vous pouvez également publier ces routes via le protocole BGP sur AzureFirewallSubnet si l’option Propager des routes de passerelle est activée sur ce sous-réseau.
Par exemple, vous pouvez créer une route par défaut sur AzureFirewallSubnet avec votre passerelle VPN comme tronçon suivant pour accéder à votre appareil local. Ou vous pouvez activer l’option Propager des routes de passerelle pour récupérer les routes appropriées sur le réseau local.
Si vous activez le tunneling forcé, le trafic Internet est « SNATé » vers l'une des adresses IP privées du pare-feu dans AzureFirewallSubnet, ce qui a pour effet de masquer la source à votre pare-feu local.
Si votre organisation utilise une plage d’adresses IP publiques pour les réseaux privés, Pare-feu Azure traduit l’adresse réseau source du trafic en une des adresses IP privées du pare-feu dans AzureFirewallSubnet. Toutefois, vous pouvez configurer Pare-feu Azure pour qu’il n’effectue pas une telle traduction. Pour plus d’informations, consultez Plages d’adresses IP privées SNAT du Pare-feu Azure.
Une fois que vous avez configuré le pare-feu Azure pour prendre en charge le tunneling forcé, vous ne pouvez pas annuler la configuration. Si vous supprimez toutes les autres configurations IP de votre pare-feu, la configuration IP de gestion est également supprimée et le pare-feu est libéré. L’adresse IP publique attribuée à la configuration IP de gestion ne peut pas être supprimée, mais vous pouvez attribuer une autre adresse IP publique.