Azure Firewall túnel forçado
Ao configurar um novo Azure Firewall, pode encaminhar todo o tráfego da Internet para um salto seguinte designado, em vez de ir diretamente para a Internet. Por exemplo, pode ter uma rota predefinida anunciada através de BGP ou através da Rota Definida pelo Utilizador (UDR) para forçar o tráfego para uma firewall no local ou outra aplicação virtual de rede (NVA) para processar o tráfego de rede antes de ser transmitido para a Internet. Para suportar esta configuração, tem de criar Azure Firewall com a configuração do Túnel Forçado ativada. Este é um requisito obrigatório para evitar a interrupção do serviço. Se esta for uma firewall pré-existente, tem de recriar a firewall no modo túnel forçado para suportar esta configuração. Para obter mais informações, veja as FAQ do Azure Firewall sobre como parar e reiniciar uma firewall no modo túnel forçado.
Alguns clientes preferem não expor um endereço IP público diretamente à Internet. Neste caso, pode implementar Azure Firewall no modo de Túnel Forçado sem um endereço IP público. Esta configuração cria uma interface de gestão com um endereço IP público que é utilizado pelo Azure Firewall para as respetivas operações. O endereço IP público é utilizado exclusivamente pela plataforma do Azure e não pode ser utilizado para qualquer outra finalidade. A rede de caminho de dados do inquilino pode ser configurada sem um endereço IP público e o tráfego de Internet pode ser forçado a fazer um túnel para outra Firewall ou completamente bloqueado.
Azure Firewall fornece SNAT automático para todo o tráfego de saída para endereços IP públicos. O Azure Firewall não realiza a SNAT quando o endereço IP de destino é um intervalo de endereços IP privados, em conformidade com a norma IANA RFC 1918. Esta lógica funciona perfeitamente quando acede diretamente à Internet. No entanto, com o túnel forçado ativado, o tráfego vinculado à Internet é SNATed para um dos endereços IP privados da firewall na AzureFirewallSubnet. Esta ação oculta o endereço de origem da firewall no local. Pode configurar Azure Firewall para não SNAT, independentemente do endereço IP de destino, adicionando 0.0.0.0/0 como intervalo de endereços IP privados. Com esta configuração, Azure Firewall nunca podem ser diretamente saídas para a Internet. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.
Importante
Se implementar Azure Firewall dentro de um Hub WAN Virtual (Hub Virtual Seguro), a publicidade da rota predefinida através do Express Route ou Gateway de VPN não é atualmente suportada. Está a ser investigada uma correção.
Importante
O DNAT não é suportado com o Túnel Forçado ativado. As firewalls implementadas com o Túnel Forçado ativado não suportam o acesso de entrada a partir da Internet devido ao encaminhamento assimétrico.
Configuração de túnel forçado
Pode configurar o Túnel Forçado durante a criação da Firewall ao ativar o modo túnel forçado, conforme mostrado abaixo. Para suportar o túnel forçado, o tráfego da Gestão de Serviços é separado do tráfego do cliente. É necessária uma sub-rede dedicada adicional denominada AzureFirewallManagementSubnet (tamanho mínimo da sub-rede /26) com o seu próprio endereço IP público associado. Este endereço IP público destina-se ao tráfego de gestão. É utilizado exclusivamente pela plataforma do Azure e não pode ser utilizado para qualquer outra finalidade.
No modo de Túnel Forçado, o serviço Azure Firewall incorpora a sub-rede de Gestão (AzureFirewallManagementSubnet) para fins operacionais. Por predefinição, o serviço associa uma tabela de rotas fornecida pelo sistema à sub-rede Gestão. A única rota permitida nesta sub-rede é uma rota predefinida para a Internet e As rotas de propagação do gateway têm de ser desativadas. Evite associar tabelas de rotas do cliente à sub-rede Gestão quando criar a firewall.
Nesta configuração, o AzureFirewallSubnet pode agora incluir rotas para qualquer firewall no local ou NVA para processar o tráfego antes de ser transmitido para a Internet. Também pode publicar estas rotas através de BGP no AzureFirewallSubnet se Propagar rotas de gateway estiver ativada nesta sub-rede.
Por exemplo, pode criar uma rota predefinida na AzureFirewallSubnet com o gateway de VPN como o próximo salto para aceder ao seu dispositivo no local. Em alternativa, pode ativar Propagar rotas de gateway para obter as rotas adequadas para a rede no local.
Se ativar o túnel forçado, o tráfego vinculado à Internet é SNATed para um dos endereços IP privados da firewall no AzureFirewallSubnet, ocultando a origem da firewall no local.
Se a sua organização utilizar um intervalo de endereços IP públicos para redes privadas, Azure Firewall SNATs o tráfego para um dos endereços IP privados da firewall no AzureFirewallSubnet. No entanto, pode configurar Azure Firewall para não SNAT no intervalo de endereços IP públicos. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.
Depois de configurar Azure Firewall para suportar túneis forçados, não pode anular a configuração. Se remover todas as outras configurações de IP na firewall, a configuração do IP de gestão também é removida e a firewall é desalocada. O endereço IP público atribuído à configuração do IP de gestão não pode ser removido, mas pode atribuir um endereço IP público diferente.