Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat mengonfigurasi Azure Firewall baru, Anda dapat merutekan semua lalu lintas menuju Internet ke hop berikutnya yang ditentukan alih-alih langsung ke Internet. Misalnya, Anda dapat memiliki rute default yang diiklankan melalui BGP atau dengan menggunakan rute yang ditentukan pengguna (UDR) untuk memaksa lalu lintas ke firewall tepi lokal atau appliance virtual jaringan (NVA) lainnya untuk memproses lalu lintas jaringan sebelum masuk ke Internet. Untuk mendukung konfigurasi ini, Anda harus membuat Azure Firewall dengan antarmuka jaringan Manajemen Firewall diaktifkan.
Anda mungkin lebih suka tidak mengekspos alamat IP publik langsung ke Internet. Dalam hal ini, Anda dapat menyebarkan Azure Firewall dengan antarmuka jaringan Manajemen yang diaktifkan tanpa alamat IP publik. Saat Anda mengaktifkan antarmuka jaringan manajemen, antarmuka manajemen dengan alamat IP publik dibuat dan digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Anda dapat mengonfigurasi jaringan jalur data penyewa tanpa alamat IP publik, dan Anda dapat memaksa terowongan atau memblokir lalu lintas Internet.
Azure Firewall menyediakan SNAT otomatis untuk semua lalu lintas keluar ke alamat IP publik. Azure Firewall tidak melakukan SNAT ketika alamat IP tujuan merupakan rentang alamat IP privat per IANA RFC 1918. Logika ini berfungsi dengan sempurna saat Anda keluar langsung ke Internet. Namun, dengan tunneling paksa dikonfigurasi, lalu lintas menuju Internet mungkin di-SNAT di salah satu alamat IP privat firewall di AzureFirewallSubnet. SNAT ini menyembunyikan alamat sumber dari firewall lokal Anda. Anda dapat mengonfigurasi Azure Firewall agar tidak SNAT, terlepas dari alamat IP tujuan dengan menambahkan 0.0.0.0/0 sebagai rentang alamat IP privat Anda. Dengan konfigurasi ini, Azure Firewall tidak akan pernah bisa keluar langsung ke Internet. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.
Azure Firewall juga mendukung penerowongan terpisah, yang merupakan kemampuan untuk merutekan lalu lintas secara selektif. Misalnya, Anda dapat mengonfigurasi Azure Firewall untuk mengarahkan semua lalu lintas ke jaringan lokal Anda saat merutekan lalu lintas ke Internet untuk aktivasi KMS, memastikan server KMS diaktifkan. Anda dapat melakukan ini dengan menggunakan tabel rute di AzureFirewallSubnet. Untuk informasi selengkapnya, lihat Mengonfigurasi Azure Firewall dalam mode Penerowongan Paksa - Microsoft Community Hub.
Penting
Tunnel paksa tersedia untuk penyebaran Azure Firewall di hub Virtual WAN (hub Virtual yang aman) yang menggunakan niat perutean. Lihat pola akses internet di Virtual WAN untuk informasi selengkapnya.
Penting
DNAT tidak didukung ketika penerowongan paksa diaktifkan. Firewall yang diaktifkan dengan penerowongan paksa tidak dapat mendukung akses masuk dari Internet karena routing asimetris. Namun, firewall dengan antarmuka jaringan Manajemen masih mendukung DNAT.
Konfigurasi penerowongan paksa
Saat mengaktifkan antarmuka jaringan Manajemen Firewall, Anda dapat menambahkan rute ke firewall lokal atau NVA apa pun di AzureFirewallSubnet untuk memproses lalu lintas sebelum masuk ke Internet. Jika Anda mengaktifkan sebar rute gateway pada subnet ini, Anda juga dapat menerbitkan rute tersebut melalui BGP ke dalam AzureFirewallSubnet.
Misalnya, Anda dapat membuat rute default di AzureFirewallSubnet dengan gateway VPN Anda sebagai hop berikutnya untuk sampai ke perangkat lokal Anda. Atau Anda dapat mengaktifkan Menyebarkan rute gateway untuk mendapatkan rute yang sesuai ke jaringan lokal.
Jika Anda mengonfigurasi penerowongan paksa, Azure Firewall menerapkan SNAT pada lalu lintas yang menuju Internet ke salah satu alamat IP privat firewall di AzureFirewallSubnet. Hal ini menyembunyikan sumber dari firewall lokal Anda.
Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan pribadi, Azure Firewall mengirimkan lalu lintas ke salah satu alamat IP pribadi firewall di AzureFirewallSubnet. Namun, Anda dapat mengonfigurasi Azure Firewall agar tidak melakukan SNAT pada rentang alamat IP publik Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.