Compartilhar via


Configurar o túnel forçado para conexões Site a Site

Este artigo ajuda a compreender como as conexões IPsec para túneis forçados para Site a Site (S2S) funcionam. Por padrão, o tráfego vinculado à Internet de suas cargas de trabalho e VMs em uma rede virtual é enviado diretamente para a Internet.

Um túnel forçado permite redirecionar ou "forçar" todo o tráfego direcionado à Internet de volta para você no local por meio de um túnel VPN S2S para inspeção e auditoria. Esse é um requisito crítico de segurança para a maioria das políticas de TI empresariais. O acesso não autorizado à Internet pode levar à divulgação de informações ou outros tipos de violações de segurança.

O exemplo a seguir mostra todo o tráfego sendo forçado por meio do gateway de VPN de volta ao local para inspeção e auditoria.

Diagram shows forced tunneling.

Métodos de configuração para túnel forçado

Há algumas maneiras diferentes de configurar o túnel forçado.

Configurar usando o BGP

Você pode configurar o túnel forçado para o Gateway de VPN por meio do BGP. Você precisa anunciar uma rota padrão de 0.0.0.0/0 via BGP de seu local para o Azure para que todo o tráfego do Azure seja enviado por meio do túnel S2S do Gateway de VPN.

Configurar usando Site Padrão

Você pode configurar o túnel forçado definindo o Site Padrão para o gateway de VPN baseado em rota. Para ver as etapas, confira Túnel forçado por meio do Site Padrão.

  • Você atribui um Site Padrão para o gateway de rede virtual usando o PowerShell.
  • O dispositivo VPN local deve ser configurado usando 0.0.0.0/0 como seletores de tráfego.

Roteamento do tráfego associado à Internet em sub-redes específicas

Por padrão, todo o tráfego associado à Internet vai diretamente para a Internet se você não tiver o túnel forçado configurado. Quando o túnel forçado é configurado, todo o tráfego associado à Internet é enviado para seu local interno.

Em alguns casos, pode ser interessante que o tráfego associado à Internet somente de determinadas sub-redes (mas nem todas elas) passe da infraestrutura de rede do Azure diretamente para a Internet, em vez de passar em seu local interno. Esse cenário pode ser configurado usando uma combinação de túnel forçado e UDRs (rotas definidas pelo usuário) personalizadas da rede virtual. Para ver as etapas, confira Rotear o tráfego associado à Internet em sub-redes específicas.

Próximas etapas