Configurar o túnel forçado para conexões Site a Site
Este artigo ajuda a compreender como as conexões IPsec para túneis forçados para Site a Site (S2S) funcionam. Por padrão, o tráfego vinculado à Internet de suas cargas de trabalho e VMs em uma rede virtual é enviado diretamente para a Internet.
Um túnel forçado permite redirecionar ou "forçar" todo o tráfego direcionado à Internet de volta para você no local por meio de um túnel VPN S2S para inspeção e auditoria. Esse é um requisito crítico de segurança para a maioria das políticas de TI empresariais. O acesso não autorizado à Internet pode levar à divulgação de informações ou outros tipos de violações de segurança.
O exemplo a seguir mostra todo o tráfego sendo forçado por meio do gateway de VPN de volta ao local para inspeção e auditoria.
Métodos de configuração para túnel forçado
Há algumas maneiras diferentes de configurar o túnel forçado.
Configurar usando o BGP
Você pode configurar o túnel forçado para o Gateway de VPN por meio do BGP. Você precisa anunciar uma rota padrão de 0.0.0.0/0 via BGP de seu local para o Azure para que todo o tráfego do Azure seja enviado por meio do túnel S2S do Gateway de VPN.
Configurar usando Site Padrão
Você pode configurar o túnel forçado definindo o Site Padrão para o gateway de VPN baseado em rota. Para ver as etapas, confira Túnel forçado por meio do Site Padrão.
- Você atribui um Site Padrão para o gateway de rede virtual usando o PowerShell.
- O dispositivo VPN local deve ser configurado usando 0.0.0.0/0 como seletores de tráfego.
Roteamento do tráfego associado à Internet em sub-redes específicas
Por padrão, todo o tráfego associado à Internet vai diretamente para a Internet se você não tiver o túnel forçado configurado. Quando o túnel forçado é configurado, todo o tráfego associado à Internet é enviado para seu local interno.
Em alguns casos, pode ser interessante que o tráfego associado à Internet somente de determinadas sub-redes (mas nem todas elas) passe da infraestrutura de rede do Azure diretamente para a Internet, em vez de passar em seu local interno. Esse cenário pode ser configurado usando uma combinação de túnel forçado e UDRs (rotas definidas pelo usuário) personalizadas da rede virtual. Para ver as etapas, confira Rotear o tráfego associado à Internet em sub-redes específicas.
Próximas etapas
Veja como configurar o túnel forçado por meio de Site Padrão para conexões S2S do Gateway de VPN.
Para saber mais sobre roteamento de tráfego de rede virtual, consulte Roteamento de tráfego de VNET.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de