Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При настройке Брандмауэра Azure можно указать, чтобы весь интернет-трафик направлялся в назначенный узел следующего перехода, а не непосредственно в Интернет. Например, можно использовать маршрут по умолчанию, объявленный через BGP или используя определяемые пользователем маршруты (UDR), чтобы принудительно использовать трафик к локальному пограничному брандмауэру или другому сетевому виртуальному устройству (NVA), чтобы обработать сетевой трафик, прежде чем он перейдет в Интернет. Для поддержки этой конфигурации необходимо создать брандмауэр Azure с включенным сетевым интерфейсом управления брандмауэром.
Вы можете предпочесть не предоставлять общедоступный IP-адрес в открытый доступ в Интернете. В этом случае можно развернуть брандмауэр Azure с включенным сетевым интерфейсом управления без общедоступного IP-адреса. При включении сетевого интерфейса управления он создает интерфейс управления с общедоступным IP-адресом, который брандмауэр Azure использует для своих операций. Общедоступный IP-адрес используется исключительно платформой Azure и не может использоваться для других целей. Вы можете настроить сеть маршрута данных клиента без общедоступного IP-адреса, и вы можете принудительно туннелировать и блокировать Интернет-трафик.
Брандмауэр Azure обеспечивает автоматическое преобразование исходных сетевых адресов (SNAT) для всего исходящего трафика на общедоступные IP-адреса. Брандмауэр Azure не использует SNAT, в то время когда назначенный IP-адрес является IP-адресом частного диапазона согласно IANA RFC 1918. Эта логика идеально работает, когда вы выходите непосредственно в Интернет. Однако при настроенном принудительном туннелировании, трафик, направленный в Интернет, может быть преобразован в один из частных IP-адресов брандмауэра в AzureFirewallSubnet. Этот SNAT скрывает исходный адрес из локального брандмауэра. Чтобы запретить в брандмауэре Azure использовать SNAT независимо от IP-адреса назначения, укажите 0.0.0.0/0 в качестве диапазона частных IP-адресов. В этой конфигурации брандмауэр Azure не может маршрутизировать исходящий трафик напрямую в Интернет. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.
Брандмауэр Azure также поддерживает разделение туннелирования, что позволяет выборочно маршрутизировать трафик. Например, можно настроить Брандмауэр Azure на перенаправление всего трафика в локальную сеть, одновременно маршрутизируя трафик в Интернет для активации KMS, что гарантирует активацию сервера KMS. Это можно сделать с помощью таблиц маршрутов в AzureFirewallSubnet. Дополнительные сведения см. в статье о настройке Брандмауэр Azure в режиме принудительного туннелирования — Microsoft Community Hub.
Внимание
Принудительное туннелирование доступно для развертываний брандмауэра Azure в концентраторе виртуальной глобальной сети (защищенном виртуальном концентраторе), который использует намерение маршрутизации. Дополнительные сведения см. в шаблонах доступа к Интернету в Виртуальной глобальной сети .
Внимание
DNAT не поддерживается при включенной функции принудительного туннелирования. Брандмауэры, развернутые с поддержкой принудительного туннелирования, не могут поддерживать входящий доступ из Интернета из-за асимметричной маршрутизации. Однако брандмауэры с сетевым интерфейсом управления по-прежнему поддерживают DNAT.
Конфигурация с принудительным туннелированием
При включении сетевого интерфейса управления брандмауэром можно добавить маршруты к любому локальному брандмауэру или NVA в AzureFirewallSubnet для обработки трафика перед переходом в Интернет. Если включить распространение маршрутов шлюза в этой подсети, можно также опубликовать эти маршруты через BGP в AzureFirewallSubnet.
Например, можно создать маршрут по умолчанию для AzureFirewallSubnet с VPN-шлюзом в качестве следующего прыжка для перехода на локальное устройство. Также можно включить параметр Распространение маршрутов шлюзов, чтобы получить соответствующие маршруты для локальной сети.
Если вы настроите принудительное туннелирование, Azure Firewall выполняет SNAT для трафика, направленного в Интернет, на один из частных IP-адресов брандмауэра в AzureFirewallSubnet, что скрывает источник от вашего локального брандмауэра.
Если ваша организация использует диапазон общедоступных IP-адресов для частных сетей, брандмауэр Azure выполняет SNAT трафика на один из частных IP-адресов в AzureFirewallSubnet. Однако в настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступных IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.