Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dokumen berikut menjelaskan pola perutean yang berbeda yang dapat Anda gunakan dengan tujuan perutean Virtual WAN untuk memeriksa lalu lintas yang menuju internet.
Latar Belakang
Tujuan perutean Virtual WAN memungkinkan Anda mengirim lalu lintas privat dan internet ke solusi keamanan yang diterapkan di hub Virtual WAN.
Tabel berikut ini meringkas dua mode berbeda yang menentukan cara Virtual WAN memeriksa dan merutekan lalu lintas yang terikat internet:
| Pengaturan | Lalu lintas internet |
|---|---|
| Akses Langsung | Dirutekan langsung ke Internet setelah inspeksi. |
| Terowongan Paksa | Dirutekan melalui rute hop berikutnya yang ditunjuk (0.0.0.0/0 yang dipelajari dari lokal, dari rute Network Virtual Appliance (NVA) atau Virtual WAN statis) setelah inspeksi. Jika tidak ada rute 0.0.0.0/0 yang dipelajari dari lokal, NVA, atau rute statis pada koneksi Virtual Network, lalu lintas yang terikat Internet diblokir. |
Availability
Bagian ini menjelaskan ketersediaan akses langsung dan mode terowongan paksa . Pastikan Anda memahami perbedaan antara dua mode dan memeriksa bagian yang terkait dengan konfigurasi yang Anda maksudkan.
Akses Langsung
Tabel berikut menunjukkan status ketersediaan dalam pengamanan akses Internet melalui akses langsung dan konfigurasi kebijakan perutean Internet.
| Solusi keamanan | Kedudukan |
|---|---|
| Azure Firewall | Umumnya Tersedia di Azure Public dan Azure Government. |
| Firewall NVA di Virtual WAN Hub | Umumnya Tersedia di wilayah tempat Perangkat Jaringan Virtual tersedia. |
| Perangkat lunak sebagai layanan di Hub Virtual WAN | Umumnya Tersedia di wilayah tempat Palo Alto Cloud NGFW tersedia. |
Terowongan paksa
Tabel berikut menunjukkan status ketersediaan pengamanan akses Internet dengan penerowongan paksa melalui konfigurasi kebijakan perutean privat.
| Solusi keamanan | Kedudukan |
|---|---|
| Azure Firewall | Umumnya Tersedia di Azure Public dan Azure Government. |
| Firewall NVA di Virtual WAN Hub | Umumnya Tersedia di wilayah tempat Perangkat Jaringan Virtual tersedia. |
| Perangkat lunak sebagai layanan di Hub Virtual WAN | Umumnya Tersedia di wilayah tempat Palo Alto Cloud NGFW tersedia. |
Batasan yang Diketahui
Konfigurasi Terowongan Paksa:
- Terowongan paksa memerlukan konfigurasi tujuan perutean tertentu.
- Destination-NAT (DNAT) untuk solusi keamanan yang disebarkan di hub Virtual WAN tidak didukung untuk hub Virtual WAN yang dikonfigurasi dalam mode perutean internet Tunel Paksa. Koneksi masuk untuk lalu lintas DNAT berasal dari Internet. Namun, mode terowongan paksa mengharuskan lalu lintas kembali melalui lokasi lokal atau NVA. Pola rute ini menghasilkan rute asimetris.
- Lalu lintas dari infrastruktur lokal yang ditujukan untuk alamat IP publik dari akun penyimpanan Azure yang disebarkan di wilayah Azure yang sama dengan hub Virtual WAN mengabaikan solusi keamanan di hub. Untuk detail selengkapnya tentang masalah, lihat Masalah umum Virtual WAN.
- Lokal tidak dapat mengiklankan rute terowongan paksa yang lebih spesifik dari 0.0.0.0/0. Mengumumkan rute yang lebih spesifik seperti 0.0.0.0/1 dan 128.0.0.0/1 dari lingkungan lokal dapat menyebabkan blackhole dalam trafik manajemen untuk Azure Firewall atau NVA yang terintegrasi dengan Hub Virtual.
- Ketika rute 0.0.0.0/0 dikonfigurasi sebagai rute statis pada koneksi Virtual Network, pengaturan melewati lompatan berikutnya yang dikonfigurasi pada koneksi Virtual Network diabaikan dan dianggap sudah diatur ke bypass/equals. Ini berarti bahwa lalu lintas yang ditujukan untuk alamat IP dalam koneksi Virtual Network dengan rute statis 0.0.0.0/0 yang dikonfigurasi akan diperiksa oleh appliance keamanan di Hub Virtual dan dirutekan langsung ke IP tujuan di Spoke Virtual Network. Lalu lintas akan mengabaikan IP hop berikutnya yang dikonfigurasi dalam rute statis. Untuk contoh terperinci perilaku perutean ini, lihat perilaku lalu lintas dengan Bypass Next Hop IP diaktifkan dalam dokumen Bypass IP hop berikutnya.
- Rute default yang dipelajari dari ExpressRoute tidak dapat diiklankan ke sirkuit ExpressRoute lain. Ini berarti Anda tidak dapat mengonfigurasi Virtual WAN untuk merutekan lalu lintas Internet dari satu sirkuit ExpressRoute ke sirkuit ExpressRoute lain untuk keluar.
- Jika tidak ada rute 0.0.0.0/0 yang dipelajari dari lingkungan lokal atau rute statis yang dikonfigurasi untuk mengarahkan ke NVA di jaringan Spoke, rute efektif pada solusi keamanan salah menampilkan 0.0.0.0/0 dengan lompatan berikutnya Internet. Karena lalu lintas Internet tidak diteruskan ke solusi keamanan di hub ketika mode terowongan paksa dikonfigurasi tanpa 0.0.0.0/0 eksplisit yang diperoleh dari lokal atau dikonfigurasi sebagai rute statis, rute efektif tidak boleh berisi rute 0.0.0.0/0.
Akses Langsung:
- Lalu lintas dari infrastruktur lokal yang ditujukan untuk alamat IP publik dari akun penyimpanan Azure yang disebarkan di wilayah Azure yang sama dengan hub Virtual WAN mengabaikan solusi keamanan di hub. Untuk detail selengkapnya tentang batasan ini dan potensi mitigasi, lihat Masalah umum Virtual WAN.
Masalah portal:
- Saat hub dikonfigurasi dalam mode Terowongan Paksa, Azure Firewall Manager tidak menampilkan Lalu Lintas Internet sebagai aman untuk koneksi dengan benar. Selain itu, Azure Firewall Manager tidak memungkinkan Anda mengubah status koneksi yang aman. Untuk mengubah status aman , ubah pengaturan aktifkan keamanan internet atau sebarkan rute default pada koneksi.
Akses langsung
Ketika Virtual WAN dikonfigurasi untuk merutekan lalu lintas langsung ke Internet, Virtual WAN menerapkan rute default statis 0.0.0.0/0 pada solusi keamanan dengan Hop Internet berikutnya. Konfigurasi ini adalah satu-satunya cara untuk memastikan solusi keamanan merutekan lalu lintas langsung ke internet.
Rute default statis ini memiliki prioritas yang lebih tinggi daripada rute default apa pun yang dipelajari dari lokal, dari NVA atau dikonfigurasi sebagai rute statis pada Virtual Network spoke. Namun, awalan yang lebih spesifik yang diiklankan dari lokasi fisik (0.0.0.0/1 dan 128.0.0.0/1) dianggap sebagai prioritas lebih tinggi untuk lalu lintas Internet karena kecocokan awalan terpanjang.
Rute efektif
Jika Anda memiliki kebijakan perutean privat yang dikonfigurasi di hub Virtual WAN, Anda dapat melihat rute efektif pada solusi keamanan hop berikutnya. Untuk penyebaran yang dikonfigurasi dengan akses langsung, rute efektif pada solusi keamanan hop berikutnya akan berisi rute 0.0.0.0/0 dengan hop berikutnya Internet.
Terowongan paksa
Ketika Virtual WAN dikonfigurasi dalam mode terowongan paksa, rute default prioritas tertinggi yang dipilih oleh hub Virtual WAN berdasarkan preferensi rute hub digunakan oleh solusi keamanan untuk meneruskan lalu lintas internet.
Tunneling paksa menginstruksikan Virtual WAN untuk mengharapkan lalu lintas Internet dirutekan ke hop berikutnya yang ditunjuk, bukan langsung ke Internet. Oleh karena itu, Jika tidak ada rute default yang dipelajari secara dinamis dari lokal atau dikonfigurasi sebagai rute statis pada koneksi Virtual Network, lalu lintas Internet akan dihilangkan oleh platform Azure dan tidak akan diteruskan ke solusi keamanan di hub.
Solusi keamanan di hub Virtual WAN tidak akan meneruskan lalu lintas ke Internet secara langsung sebagai jalur cadangan.
Sumber rute default yang didukung
Nota
0.0.0.0/0 tidak menyebar di seluruh Hub Virtual. Ini berarti koneksi lokal harus digunakan untuk Hub Virtual yang dikonfigurasi untuk akses Internet melalui terowongan paksa.
Rute default dapat dipelajari dari sumber berikut.
- ExpressRoute
- VPN situs-ke-situs (dinamis atau statis)
- NVA di pusat
- NVA dalam speke
- Rute statis pada koneksi Virtual Network (dengan rute statis sebarkan diatur ke AKTIF)
Rute default tidak dapat dikonfigurasi dengan cara berikut:
- Rute statis di defaultRouteTable dengan koneksi Virtual Network hop berikutnya
Rute efektif
Untuk penyebaran yang dikonfigurasi dengan terowongan paksa, rute efektif pada solusi keamanan lompatan berikutnya akan berisi rute 0.0.0.0/0 dengan lompatan berikutnya sebagai rute default yang dipilih, yang diperoleh dari on-premises atau dikonfigurasi sebagai rute statis pada koneksi Jaringan Virtual.
Konfigurasi
Bagian berikut menjelaskan konfigurasi yang diperlukan untuk merutekan lalu lintas internet dalam akses langsung atau mode terowongan paksa.
Konfigurasi Perutean Virtual WAN
Nota
Mode perutean lalu lintas Internet terowongan paksa hanya tersedia untuk hub Virtual WAN yang menggunakan niat perutean dengan kebijakan perutean privat. Hub yang tidak menggunakan tujuan perutean atau menggunakan kebijakan perutean internet hanya dapat mengakses dalam mode langsung.
Tabel berikut ini meringkas konfigurasi yang diperlukan untuk merutekan lalu lintas menggunakan dua mode perutean lalu lintas Internet yang berbeda.
| Pengaturan | Kebijakan Perutean Privat | Awalan Tambahan | Kebijakan Perutean Internet |
|---|---|---|---|
| Akses Langsung | Fakultatif | Tidak diperlukan | Diperlukan |
| Terowongan Paksa | Diperlukan | 0.0.0.0/0 | Tidak. |
Langkah-langkah konfigurasi di portal niat perutean
Nota
Portal Microsoft Azure melakukan validasi untuk memastikan penyebaran berada dalam mode terowongan paksa atau mode akses langsung. Ini berarti bahwa jika mode terowongan paksa diaktifkan, Anda tidak akan dapat menambahkan kebijakan Internet secara langsung. Untuk bermigrasi dari mode terowongan paksa ke mode akses langsung, jalankan langkah-langkah berikut secara berurutan: hapus rute statis 0.0.0.0/0 dari awalan tambahan, aktifkan kebijakan internet, dan simpan.
Bagian berikut menjelaskan cara mengonfigurasi niat perutean untuk mengatur terowongan paksa dan akses langsung menggunakan niat perutean dan kebijakan Virtual WAN di portal Azure. Langkah-langkah ini berlaku untuk Azure Firewall, Network Virtual Appliances, atau solusi software-as-a-service yang disebarkan di hub Virtual WAN.
- Arahkan ke Hub Virtual Anda yang diterapkan dengan solusi keamanan.
- Di bawah Perutean, pilih Niat Perutean dan Kebijakan Perutean.
Terowongan paksa
- Pilih solusi keamanan yang Anda inginkan sebagai tujuan berikutnya untuk lalu lintas privat.
Jangan pilih apa pun untuk lalu lintas Internet.
- Tambahkan rute 0.0.0.0/0 ke awalan tambahan.
- Simpan konfigurasi Anda.
Akses langsung
- Pilih solusi keamanan pilihan Anda sebagai sumber daya hop berikutnya untuk lalu lintas Internet. Secara opsional, pilih solusi keamanan pilihan Anda sebagai titik loncat berikutnya untuk Lalu lintas privat.
- Simpan konfigurasi Anda.
Langkah-langkah konfigurasi di Azure Firewall Manager
Nota
Portal Microsoft Azure melakukan validasi untuk memastikan penyebaran berada dalam mode terowongan paksa atau mode akses langsung. Ini berarti bahwa jika mode terowongan paksa diaktifkan, Anda tidak akan dapat menambahkan kebijakan Internet secara langsung. Untuk bermigrasi dari mode terowongan paksa ke mode akses langsung, jalankan langkah-langkah berikut secara berurutan: hapus rute statis 0.0.0.0/0 dari awalan tambahan, aktifkan kebijakan internet dan simpan.
Bagian berikut menjelaskan cara mengonfigurasi niat perutean untuk mengonfigurasi terowongan paksa dan akses langsung menggunakan niat perutean Virtual WAN dan kebijakan Azure Firewall Manager. Langkah-langkah ini hanya berlaku untuk Azure Firewall di hub Virtual WAN.
- Navigasikan ke hub Virtual WAN Anda.
- Pilih Azure Firewall dan Firewall Manager di bawah Keamanan dan pilih hub Virtual WAN Anda.
- Pilih Konfigurasi keamanan di bawah Pengaturan.
Terowongan paksa
- Atur Lalu Lintas Privat ke Kirim melalui Azure Firewall dan Inter-hub diaktifkan.
- Tambahkan rute 0.0.0.0/0 ke awalan tambahan.
- Simpan konfigurasi Anda.
Akses langsung
- Atur Lalu Lintas Internet ke Azure Firewall dan Inter-hub diaktifkan. Secara opsional, atur Lalu Lintas Privat menjadi Kirim melalui Azure Firewall dan aktifkan Inter-hub.
- Simpan konfigurasi Anda.
Metodologi konfigurasi lainnya (Terraform, CLI, PowerShell, REST, Bicep)
Konfigurasi JSON berikut mewakili contoh representasi sumber daya Azure Resource Manager dari konstruksi perutean Virtual WAN yang dikonfigurasi untuk akses langsung atau mode terowongan paksa. Konfigurasi JSON ini dapat disesuaikan dengan lingkungan/konfigurasi spesifik Anda dan digunakan untuk mendapatkan konfigurasi Terraform, CLI, PowerShell, atau Bicep yang benar.
Terowongan paksa
Contoh JSON berikut menunjukkan sumber daya niat perutean sampel, yang dikonfigurasi dengan kebijakan perutean privat.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Contoh JSON berikut menunjukkan contoh konfigurasi tabel rute default dengan rute kebijakan perutean privat dan awalan tambahan (0.0.0.0/0) yang ditambahkan dalam tabel rute default.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Akses langsung
Contoh JSON berikut menunjukkan contoh sumber daya tujuan routing yang dikonfigurasi dengan kebijakan routing internet dan privat.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Contoh JSON berikut menunjukkan contoh konfigurasi tabel rute default dengan rute kebijakan perutean privat dan internet.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Konfigurasikan koneksi untuk mendeteksi rute default (0.0.0.0/0)
Untuk koneksi yang memerlukan akses Internet melalui Virtual WAN, pastikan Aktifkan keamanan internet atau sebarkan rute default diatur ke true. Konfigurasi ini menginstruksikan Virtual WAN untuk mengiklankan rute default ke koneksi tersebut.
Catatan khusus untuk hub terowongan paksa
Untuk hub yang dikonfigurasi dalam mode terowongan paksa, pastikan Aktifkan keamanan internet atau sebarkan rute default diatur ke false pada koneksi ExpressRoute atau VPN dan Virtual Network lokal yang mengiklankan rute 0.0.0.0/0 ke Virtual WAN. Ini memastikan Virtual WAN mempelajari rute 0.0.0.0/0 dengan benar dari lingkungan lokal dan juga mencegah loop perutean yang tidak terduga.
Konfigurasi solusi keamanan
Bagian berikut menjelaskan perbedaan konfigurasi solusi keamanan untuk akses langsung dan mode perutean terowongan paksa.
Akses langsung
Bagian berikut menjelaskan pertimbangan konfigurasi yang diperlukan untuk memastikan solusi keamanan di hub Virtual WAN dapat meneruskan paket ke Internet secara langsung.
Azure Firewall:
- Pastikan Source-NAT (SNAT)aktif untuk semua konfigurasi lalu lintas jaringan yang tidak RFC1918.
- Hindari kelelahan port SNAT dengan memastikan alamat IP Publik yang memadai dialokasikan untuk penyebaran Azure Firewall Anda.
Solusi SaaS atau NVA Terintegrasi:
Rekomendasi berikut adalah rekomendasi garis besar generik. Hubungi penyedia Anda untuk panduan lengkap.
- Dokumentasi penyedia referensi untuk memastikan:
- Tabel rute internal dalam solusi NVA atau SaaS memiliki 0.0.0.0/0 yang dikonfigurasi dengan benar untuk meneruskan lalu lintas internet dari antarmuka eksternal.
- SNAT dikonfigurasi untuk solusi NVA atau SaaS untuk semua konfigurasi lalu lintas jaringan non-RFC 1918.
- Pastikan alamat IP Publik yang memadai dialokasikan untuk penyebaran NVA atau SaaS Anda untuk menghindari kelelahan port SNAT.
Terowongan paksa
Bagian berikut menjelaskan pertimbangan konfigurasi yang diperlukan untuk memastikan bahwa solusi keamanan di hub Virtual WAN dapat meneruskan paket yang ditujukan ke internet ke on-premises atau ke perangkat NVA yang mengiklankan rute 0.0.0.0/0 ke Virtual WAN.
Azure Firewall:
- Konfigurasikan Source-NAT (SNAT).
- Mempertahankan IP sumber asli lalu lintas Internet: matikan SNAT untuk semua konfigurasi lalu lintas.
- Lalu lintas internet SNAT ke IP privat instans Firewall: aktifkan SNAT untuk rentang lalu lintas non-RFC 1918.
Solusi SaaS atau NVA Terintegrasi:
Rekomendasi berikut adalah rekomendasi garis besar generik. Hubungi penyedia Anda untuk panduan lengkap.
- Dokumentasi penyedia referensi untuk memastikan:
- Tabel rute internal dalam solusi NVA atau SaaS memiliki 0.0.0.0/0 yang dikonfigurasi dengan benar untuk meneruskan lalu lintas Internet dari antarmuka internal.
- Konfigurasi tabel rute internal memastikan lalu lintas manajemen dan lalu lintas VPN/SDWAN dirutekan keluar melalui interface eksternal.
- Konfigurasikan SNAT dengan tepat tergantung pada apakah IP sumber asli lalu lintas perlu dipertahankan atau tidak.