Wymuszone tunelowanie usługi Azure Firewall
Podczas konfigurowania nowej zapory Azure Firewall można skierować cały ruch internetowy do wyznaczonego następnego przeskoku, zamiast bezpośrednio do Internetu. Na przykład może istnieć trasa domyślna anonsowana za pośrednictwem protokołu BGP lub trasa zdefiniowana przez użytkownika (UDR), aby wymusić ruch do lokalnej zapory brzegowej lub innego wirtualnego urządzenia sieciowego (WUS) do przetwarzania ruchu sieciowego przed przekazaniem go do Internetu. Aby obsługiwać tę konfigurację, należy utworzyć usługę Azure Firewall z włączoną konfiguracją wymuszonego tunelowania. Jest to obowiązkowe wymaganie, aby uniknąć przerw w działaniu usługi.
Jeśli masz wcześniej istniejącą zaporę, musisz zatrzymać/uruchomić zaporę w trybie wymuszonego tunelowania, aby obsługiwać tę konfigurację. Zatrzymywanie/uruchamianie zapory może służyć do konfigurowania wymuszonego tunelowania zapory bez konieczności ponownego wdrażania nowej zapory. Należy to zrobić w godzinach konserwacji, aby uniknąć zakłóceń. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Firewall dotyczące zatrzymywania i ponownego uruchamiania zapory w trybie wymuszonego tunelowania.
Możesz nie ujawniać publicznego adresu IP bezpośrednio w Internecie. W takim przypadku możesz wdrożyć usługę Azure Firewall w trybie wymuszonego tunelowania bez publicznego adresu IP. Ta konfiguracja tworzy interfejs zarządzania z publicznym adresem IP używanym przez usługę Azure Firewall do wykonywania operacji. Publiczny adres IP jest używany wyłącznie przez platformę Azure i nie może być używany w żadnym innym celu. Sieć ścieżek danych dzierżawy można skonfigurować bez publicznego adresu IP, a ruch internetowy może zostać wymuszony przez tunel do innej zapory lub zablokowany.
Usługa Azure Firewall zapewnia automatyczną nat dla całego ruchu wychodzącego do publicznych adresów IP. Usługa Azure Firewall nie zapewnia usługi SNAT, gdy docelowy adres IP jest z zakresu prywatnych adresów IP zgodnie z normą IANA RFC 1918. Ta logika działa doskonale, gdy ruch wychodzący bezpośrednio do Internetu. Jednak w przypadku włączonego wymuszonego tunelowania ruch związany z Internetem jest kierowany do jednego z prywatnych adresów IP zapory w podsieci AzureFirewallSubnet. Spowoduje to ukrycie adresu źródłowego z zapory lokalnej. Usługę Azure Firewall można skonfigurować tak, aby nie niezależnie od docelowego adresu IP, dodając adres 0.0.0.0/0 jako zakres prywatnych adresów IP. W przypadku tej konfiguracji usługa Azure Firewall nigdy nie może przedostać się bezpośrednio do Internetu. Aby uzyskać więcej informacji, zobacz Usługa SNAT dla zakresów prywatnych adresów IP w usłudze Azure Firewall.
Ważne
Jeśli wdrożysz usługę Azure Firewall w koncentratorze usługi Virtual WAN (zabezpieczony koncentrator wirtualny), anonsowanie trasy domyślnej za pośrednictwem usługi Express Route lub vpn Gateway nie jest obecnie obsługiwane. Trwa badanie poprawki.
Ważne
Funkcja DNAT nie jest obsługiwana z włączonym wymuszonym tunelowaniem. Zapory wdrożone z włączonym wymuszonym tunelowaniem nie mogą obsługiwać dostępu przychodzącego z Internetu z powodu routingu asymetrycznego.
Konfiguracja wymuszonego tunelowania
Wymuszone tunelowanie można skonfigurować podczas tworzenia zapory, włączając tryb wymuszonego tunelowania, jak pokazano na poniższym zrzucie ekranu. Aby obsługiwać wymuszone tunelowanie, ruch zarządzania usługami jest oddzielony od ruchu klientów. Inna dedykowana podsieć o nazwie AzureFirewallManagementSubnet (minimalny rozmiar podsieci /26) jest wymagana z własnym skojarzonym publicznym adresem IP. Ten publiczny adres IP jest przeznaczony dla ruchu zarządzania. Jest ona używana wyłącznie przez platformę Azure i nie może być używana do żadnego innego celu.
W trybie wymuszonego tunelowania usługa Azure Firewall obejmuje podsieć zarządzania (AzureFirewallManagementSubnet) na potrzeby operacyjne . Domyślnie usługa kojarzy tabelę routingu dostarczaną przez system z podsiecią zarządzania. Jedyną trasą dozwoloną w tej podsieci jest trasa domyślna do Internetu, a trasy bramy propagacji muszą być wyłączone. Unikaj kojarzenia tabel tras klienta z podsiecią Zarządzanie podczas tworzenia zapory.
W ramach tej konfiguracji podsieć AzureFirewallSubnet może teraz obejmować trasy do dowolnej lokalnej zapory lub urządzenia WUS do przetwarzania ruchu przed przekazaniem go do Internetu. Możesz również opublikować te trasy za pośrednictwem protokołu BGP do podsieci AzureFirewallSubnet , jeśli w tej podsieci włączono propagację tras bramy.
Możesz na przykład utworzyć trasę domyślną w podsieci AzureFirewallSubnet z bramą sieci VPN jako następny przeskok, aby przejść do urządzenia lokalnego. Możesz też włączyć propagację tras bramy, aby uzyskać odpowiednie trasy do sieci lokalnej.
Jeśli włączysz wymuszone tunelowanie, ruch związany z Internetem jest kierowany do jednego z prywatnych adresów IP zapory w podsieci AzureFirewallSubnet, ukrywając źródło z zapory lokalnej.
Jeśli organizacja używa publicznego zakresu adresów IP dla sieci prywatnych, usługa Azure Firewall SNATs ruchu do jednego z prywatnych adresów IP zapory w podsieci AzureFirewallSubnet. Można jednak skonfigurować usługę Azure Firewall tak, aby nie sNAT twój zakres publicznych adresów IP. Aby uzyskać więcej informacji, zobacz Usługa SNAT dla zakresów prywatnych adresów IP w usłudze Azure Firewall.
Po skonfigurowaniu usługi Azure Firewall do obsługi wymuszonego tunelowania nie można cofnąć konfiguracji. Jeśli usuniesz wszystkie inne konfiguracje adresów IP w zaporze, konfiguracja adresu IP zarządzania zostanie również usunięta, a zapora zostanie cofnięta. Nie można usunąć publicznego adresu IP przypisanego do konfiguracji adresu IP zarządzania, ale można przypisać inny publiczny adres IP.