Túnel forçado do Firewall do Azure
Quando configura um novo Firewall do Azure, você pode rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, você pode ter uma rota padrão anunciada via BGP ou usando a UDR (rota definida pelo usuário) a fim de forçar o tráfego de rede para um firewall de borda local ou outro NVA (dispositivo virtual de rede). Com isso, você o processa antes da transmissão para a Internet. Para dar suporte a essa configuração, você precisa criar o Firewall do Azure com a configuração de túnel forçado habilitada. Esse é um requisito obrigatório para evitar a interrupção do serviço.
Se esse for um firewall pré-existente, você precisará recriá-lo no modo túnel forçado para dar suporte a essa configuração. É possível parar/iniciar o firewall para configurar o túnel forçado do firewall sem a necessidade de reimplantar um novo. Você deve fazer isso durante o horário de manutenção para evitar interrupções. Para obter mais informações, confira as Perguntas frequentes do Firewall do Azure sobre como interromper e reiniciar um firewall no modo de túnel forçado.
Talvez você prefira não expor um endereço IP público diretamente à Internet. Nesse caso, você pode implantar o Firewall do Azure no modo túnel forçado sem um endereço IP público. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. O endereço IP público é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro firewall ou bloqueado.
O Firewall do Azure fornece o SNAT automático para todo o tráfego de saída para endereços IP públicos. O Firewall do Azure não usa SNAT quando o endereço IP de destino é um intervalo de endereços IP privados de acordo com o IANA RFC 1918. Essa lógica funciona perfeitamente quando você destina a saída diretamente para a Internet. No entanto, com o túnel forçado habilitado, o tráfego destinado à Internet é enviado por SNAT para um dos endereços IP privados do firewall na AzureFirewallSubnet. Isso oculta o endereço de origem do firewall local. É possível configurar o Firewall do Azure para nunca realizar SNAT, qualquer que seja o endereço IP de destino, adicionando 0.0.0.0/0 como seu intervalo de endereços IP privados. Com essa configuração, o Firewall do Azure nunca poderá rotear o tráfego diretamente para a Internet. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.
Importante
Se você implantar o Firewall do Azure dentro de um Hub WAN Virtual (Hub Virtual Seguro), não há suporte para anunciar a rota padrão no Express Route ou Gateway de VPN no momento. Uma correção está sendo investigada.
Importante
O DNAT não é compatível com o túnel forçado habilitado. Os firewalls implantados com o túnel forçado habilitado não são compatíveis com acesso de entrada proveniente da Internet devido ao roteamento assimétrico.
Configuração de túnel forçado
Você pode configurar o modo de Túnel Forçado habilitando-o durante a criação do Firewall, conforme mostrado na captura de tela a seguir. Para dar suporte ao túnel forçado, o tráfego de Gerenciamento de Serviços é separado do tráfego do cliente. Outra sub-rede adicional dedicada denominada AzureFirewallManagementSubnet (tamanho mínimo de /26 da sub-rede) é necessária com seu próprio endereço IP público associado. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade.
No modo de túnel forçado, o serviço de Firewall do Azure incorpora a sub-rede de gerenciamento (AzureFirewallManagementSubnet) para as respectivas finalidades operacionais. Por padrão, o serviço associa uma tabela de rotas fornecida pelo sistema à sub-rede de gerenciamento. A única rota permitida nessa sub-rede é uma padrão para a Internet, e todas as rotas de propagação de gateway devem ser desabilitadas. Evite associar tabelas de rotas do cliente à sub-rede de gerenciamento ao criar o firewall.
Nessa configuração, o AzureFirewallSubnet pode então incluir rotas para qualquer firewall local ou NVA para processar o tráfego antes que ele seja passado para a Internet. Você também pode publicar essas rotas via BGP no AzureFirewallSubnet se a opção Propagar rotas do gateway estiver habilitada nessa sub-rede.
Por exemplo, você pode criar uma rota padrão no AzureFirewallSubnet com seu gateway de VPN como o próximo salto para chegar ao dispositivo local. Ou você pode habilitar a opção Propagar rotas do gateway para obter as rotas apropriadas para a rede local.
Se você tiver habilitado o túnel forçado, o tráfego de entrada na Internet será direcionado por SNAT a um dos endereços IP privados do firewall no AzureFirewallSubnet, ocultando a origem do seu firewall local.
Se a sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure realiza SNAT do tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.
Depois de configurar o Firewall do Azure para dar suporte ao túnel forçado, não é possível desfazer a configuração. Se remover todas as outras configurações de IP em seu firewall, a configuração de IP de gerenciamento também será removida e o firewall será desalocado. O endereço IP público atribuído à configuração de IP de gerenciamento não pode ser removido, mas você pode atribuir um endereço IP público diferente.