Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les scénarios de routage statique de base qui envoient Virtual WAN trafic à Pare-feu Azure dans le hub virtuel.
Aperçu
Ce document récapitule les scénarios de base pour le routage du trafic Virtual WAN vers Pare-feu Azure en utilisant des itinéraires statiques. Le document ne couvre pas l’intentionde routage.
Le document contient également des notes sur la façon dont Azure Firewall Manager configure le routage dans Virtual WAN. Il existe deux modes de routage configurables dans Azure Firewall Manager :
- Inter-hub défini sur désactivé : utilise des itinéraires statiques pour diriger le trafic vers Pare-feu Azure dans le hub virtuel local sans intention de routage. Cette configuration est couverte par ce document.
- Inter-hub réglé sur activé : Permet l’intention de routage sur le hub Virtual WAN. Cette configuration n’est pas couverte par ce document.
Inspection du trafic privé : branche-à-réseau virtuel et réseau virtuel-à-réseau virtuel via Pare-feu Azure
Note
Dans cette configuration, Azure Firewall Manager configure defaultRouteTable pour avoir un itinéraire statique nommé private_traffic.
Modèles de trafic
- Privé (Réseau Virtuel et sur site) inspecté par Pare-feu Azure.
Configuration
Propriétés de routage de connexion :
| Type de connexion | Table de routage associée | Table de routage propagée |
|---|---|---|
| Connexions de branche | defaultRouteTable | noneRouteTable |
| Connexions de réseau virtuel | defaultRouteTable | noneRouteTable |
Virtual WAN table de routage : defaultRouteTable
Note
Si l’un de vos réseaux privés utilise des espaces d’adressage non RFC1918, assurez-vous que les plages d’adresses correspondantes sont incluses dans la private_traffic route statique afin que le trafic destiné à ces réseaux soit correctement acheminé vers Pare-feu Azure pour l’inspection.
| Préfixe de destination | Prochain Saut |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Pare-feu Azure dans le hub local |
Inspection du trafic Internet par Pare-feu Azure
Note
Dans cette configuration, Azure Firewall Manager s’attend à ce que defaultRouteTable dispose d’un itinéraire statique unique nommé internet_traffic. En outre, une connexion Virtual WAN apprend l’itinéraire par défaut (0.0.0.0/0) si le paramètre Activer la sécurité Internet ou propager le paramètre d’itinéraire par défaut est défini sur true. Azure Firewall Manager utilise ce paramètre pour afficher si le trafic Internet d'une connexion est secured.
Modèles de trafic
- Le trafic Internet est inspecté par Pare-feu Azure.
- Le trafic privé (entre les réseaux locaux et virtuels) est not inspecté par Pare-feu Azure.
Configuration
| Type de connexion | Table de routage associée | Table(s) de routage propagé | Étiquettes de routage propagées |
|---|---|---|---|
| Connexions de branche | defaultRouteTable | defaultRouteTable | - |
| Connexions de réseau virtuel | defaultRouteTable | defaultRouteTable | - |
Virtual WAN table de routage par défaut : defaultRouteTable
| Préfixe de destination | Prochain Saut |
|---|---|
| 0.0.0.0/0 | Pare-feu Azure dans le hub local |
Inspection du trafic privé et Internet
Note
Dans cette configuration, Azure Firewall Manager s’attend à ce que defaultRouteTable dispose d’un itinéraire statique unique nommé all_traffic.
Pour vous assurer que le trafic inter-hub et de filiale à filiale est inspecté par Pare-feu Azure, utilisez intentions d'écheminement et stratégies.
Modèles de trafic
- Le trafic privé (entre les réseaux locaux et virtuels) est inspecté par Pare-feu Azure.
- Le trafic Internet est inspecté par Pare-feu Azure.
- Le trafic de branche à branche n'est pas inspecté par Pare-feu Azure.
Configuration
| Type de connexion | Table de routage associée | Table(s) de routage propagé |
|---|---|---|
| Connexions de branche | defaultRouteTable | Aucune |
| Connexions de réseau virtuel | defaultRouteTable | Aucune |
Virtual WAN table de routage : defaultRouteTable
Note
Dans cette configuration, Azure Firewall Manager s’attend à ce que defaultRouteTable dispose d’un itinéraire statique unique nommé all_traffic.
| Préfixe de destination | Saut suivant |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Pare-feu Azure dans le hub local |
Inspection du hub local avec un routage direct entre hubs
Pour vous assurer que le trafic inter-hub est inspecté par Pare-feu Azure, utilisez intentions de routage et politiques.
Modèles de trafic
- Le trafic inter-hub contourne Pare-feu Azure (routé directement) via Virtual WAN hub.
- Trafic local (même hub) entre les réseaux virtuels et les réseaux locaux inspectés par Pare-feu Azure.
- Le trafic Internet utilise le pare-feu Azure local pour l’inspection et le breakout.
Note
Utilisez les étiquettes de tables de routage de Virtual WAN pour regrouper des hubs au sein de Virtual WAN afin de réduire la complexité opérationnelle. Cette conception réseau n'est pas configurable via Azure Firewall Manager.
Hub de Configuration 1
| Type de connexion | Table de routage associée | Table(s) de routage propagé(e)(s) | Étiquettes de routage propagées |
|---|---|---|---|
| Connexions de branche | defaultRouteTable | defaultRouteTable (Hub 2) | - |
| Connexions de réseau virtuel | defaultRouteTable | defaultRouteTable (Hub 2) | - |
Virtual WAN table de routage Hub 1 : defaultRouteTable
| Préfixe de destination | Prochain saut |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Pare-feu Azure dans Hub 1 |
Configuration Hub 2
| Type de connexion | Table de routage associée | Table(s) de routage propagée | Étiquettes de routage propagées |
|---|---|---|---|
| Connexions de branche | defaultRouteTable | defaultRouteTable (Hub 1) | - |
| Connexions de réseau virtuel | defaultRouteTable | defaultRouteTable (Hub 1) | - |
Virtual WAN table de routage Hub 2 : defaultRouteTable
| Préfixe de destination | Prochain Saut |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Pare-feu Azure dans Hub 2 |