Geforceerde tunneling van Azure Firewall
Wanneer u een nieuwe Azure-firewall configureert, kunt u al het internetverkeer routeren naar een aangewezen volgende hop in plaats van rechtstreeks naar internet. U hebt bijvoorbeeld een standaardroute die wordt aangekondigd via BGP of met behulp van door de gebruiker gedefinieerde route (UDR) om verkeer naar een on-premises edge-firewall of een ander virtueel netwerkapparaat (NVA) af te dwingen om netwerkverkeer te verwerken voordat het wordt doorgegeven aan internet. Ter ondersteuning van deze configuratie moet u Azure Firewall maken waarvoor de configuratie voor geforceerde tunneling is ingeschakeld. Dit is een verplichte vereiste om serviceonderbreking te voorkomen.
Als u een bestaande firewall hebt, moet u de firewall stoppen/starten in de modus voor geforceerde tunneling om deze configuratie te ondersteunen. Het stoppen/starten van de firewall kan worden gebruikt om geforceerde tunneling van de firewall te configureren zonder dat u een nieuwe opnieuw hoeft te implementeren. U moet dit doen tijdens onderhoudsuren om onderbrekingen te voorkomen. Zie de veelgestelde vragen over het stoppen en opnieuw opstarten van een firewall in de modus voor geforceerde tunneling voor meer informatie.
Mogelijk wilt u liever geen openbaar IP-adres rechtstreeks beschikbaar maken op internet. In dit geval kunt u Azure Firewall implementeren in de modus voor geforceerde tunneling zonder een openbaar IP-adres. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Het openbare IP-adres wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor andere doeleinden. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of geblokkeerd.
Azure Firewall biedt automatische SNAT voor al het uitgaande verkeer naar openbare IP-adressen. Op basis van IANA RFC 1918 biedt Azure Firewall geen SNAT wanneer het doel-IP-adres een privé-IP-adresbereik is. Deze logica werkt perfect wanneer u rechtstreeks naar internet gaat. Als geforceerde tunneling is ingeschakeld, is internetverkeer echter SNATed naar een van de privé-IP-adressen van de firewall in het AzureFirewallSubnet. Hiermee verbergt u het bronadres van uw on-premises firewall. U kunt Azure Firewall zo configureren dat deze niet SNAT is, ongeacht het doel-IP-adres door 0.0.0.0/0 toe te voegen als uw privé-IP-adresbereik. Met deze configuratie kan Azure Firewall nooit rechtstreeks naar internet gaan. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.
Belangrijk
Als u Azure Firewall implementeert in een Virtual WAN-hub (beveiligde virtuele hub), wordt het adverteren van de standaardroute via Express Route of VPN Gateway momenteel niet ondersteund. Er wordt een oplossing onderzocht.
Belangrijk
DNAT wordt niet ondersteund met geforceerde tunneling ingeschakeld. Firewalls die zijn geïmplementeerd met geforceerde tunneling, kunnen geen ondersteuning bieden voor binnenkomende toegang vanaf internet vanwege asymmetrische routering.
Configuratie van geforceerde tunneling
U kunt geforceerde tunneling configureren tijdens het maken van de firewall door de modus geforceerde tunneling in te schakelen, zoals wordt weergegeven in de volgende schermopname. Service Management-verkeer wordt gescheiden van klantverkeer om geforceerde tunneling te ondersteunen. Een ander toegewezen subnet met de naam AzureFirewallManagementSubnet (minimale subnetgrootte /26) is vereist met een eigen gekoppeld openbaar IP-adres. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel.
In de modus voor geforceerde tunneling bevat de Azure Firewall-service het beheersubnet (AzureFirewallManagementSubnet) voor operationele doeleinden. Standaard koppelt de service een door het systeem geleverde routetabel aan het subnet Beheer. De enige route die op dit subnet is toegestaan, is een standaardroute naar internet en gatewayroutes doorgeven moet worden uitgeschakeld. Vermijd het koppelen van routeringstabellen van klanten aan het beheersubnet wanneer u de firewall maakt.
Binnen deze configuratie kan het AzureFirewallSubnet nu routes naar elke on-premises firewall of NVA bevatten om verkeer te verwerken voordat het wordt doorgegeven aan internet. U kunt deze routes ook publiceren via BGP naar AzureFirewallSubnet als Gatewayroutes doorgeven is ingeschakeld op dit subnet.
U kunt bijvoorbeeld een standaardroute maken op het AzureFirewallSubnet met uw VPN-gateway als de volgende hop om naar uw on-premises apparaat te gaan. U kunt ook gatewayroutes doorgeven inschakelen om de juiste routes naar het on-premises netwerk op te halen.
Als u geforceerde tunneling inschakelt, wordt internetverkeer via SNATed naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet, waarbij de bron van uw on-premises firewall wordt verborgen.
Als uw organisatie een openbaar IP-adresbereik gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet gebruikt. U kunt Azure Firewall echter zo configureren dat het bereik van uw openbare IP-adres niet SNAT is. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.
Zodra u Azure Firewall hebt geconfigureerd ter ondersteuning van geforceerde tunneling, kunt u de configuratie niet ongedaan maken. Als u alle andere IP-configuraties op uw firewall verwijdert, wordt de IP-beheerconfiguratie ook verwijderd en wordt de toewijzing van de firewall ongedaan gemaakt. Het openbare IP-adres dat is toegewezen aan de beheer-IP-configuratie kan niet worden verwijderd, maar u kunt een ander openbaar IP-adres toewijzen.