Tvingad händelsedirigering nedåt i Azure Firewall
När du konfigurerar en ny Azure Firewall-instans kan du dirigera all trafik till internet via ett särskilt nästa hopp i stället för att den går direkt till internet. Du kan till exempel ha en standardväg som annonseras via BGP eller använda användardefinierade vägar (UDR) för att tvinga trafik till en lokal gränsbrandvägg eller annan virtuell nätverksinstallation (NVA) för att bearbeta nätverkstrafik innan den skickas till Internet. För att stödja den här konfigurationen måste du skapa en Azure Firewall med nätverkskortet för brandväggshantering aktiverat.
Du kanske föredrar att inte exponera en offentlig IP-adress direkt till Internet. I det här fallet kan du distribuera Azure Firewall med hanteringskortet aktiverat utan en offentlig IP-adress. När nätverkskortet för hantering är aktiverat skapar det ett hanteringsgränssnitt med en offentlig IP-adress som används av Azure Firewall för dess åtgärder. Den offentliga IP-adressen används uteslutande av Azure-plattformen och kan inte användas i något annat syfte. Nätverket för klientdatasökväg kan konfigureras utan en offentlig IP-adress, och Internettrafik kan tvingas tunneltrafik till en annan brandvägg eller blockeras.
Azure Firewall tillhandahåller automatisk SNAT för all utgående trafik till offentliga IP-adresser. Azure Firewall kör inte SNAT när IP-måladressen är ett privat IP-adressintervall enligt IANA RFC 1918. Den här logiken fungerar perfekt när du går ut direkt till Internet. Men med tvingad tunneltrafik konfigurerad kan Internetbunden trafik vara SNATed till en av brandväggens privata IP-adresser i AzureFirewallSubnet. Detta döljer källadressen från din lokala brandvägg. Du kan konfigurera Azure Firewall så att den inte är SNAT oavsett målets IP-adress genom att lägga till 0.0.0.0/0 som ditt privata IP-adressintervall. Med den här konfigurationen kan Azure Firewall aldrig utgående direkt till Internet. Mer information finns i avsnittet om Azure Firewall och SNAT med privata IP-adressintervall.
Azure Firewall stöder också delade tunnlar, vilket är möjligheten att selektivt dirigera trafik. Du kan till exempel konfigurera Azure Firewall för att dirigera all trafik till ditt lokala nätverk medan du dirigerar trafik till Internet för KMS-aktivering, vilket säkerställer att KMS-servern är aktiverad. Du kan göra detta med hjälp av routningstabeller i AzureFirewallSubnet. Mer information finns i Konfigurera Azure Firewall i läget tvingad tunneltrafik – Microsoft Community Hub.
Viktigt!
Om du distribuerar Azure Firewall i en Virtuell WAN-hubb (säker virtuell hubb) stöds för närvarande inte annonsering av standardvägen via Express Route eller VPN Gateway. En korrigering håller på att undersökas.
Viktigt!
DNAT stöds inte med tvingad tunneltrafik aktiverad. Brandväggar som distribueras med tvingad tunneltrafik aktiverat kan inte stödja inkommande åtkomst från Internet på grund av asymmetrisk routning. Brandväggar med ett nätverkskort för hantering stöder dock fortfarande DNAT.
Konfiguration av tvingad tunneltrafik
När nätverkskortet för brandväggshantering är aktiverat kan AzureFirewallSubnet nu inkludera vägar till valfri lokal brandvägg eller NVA för att bearbeta trafik innan det skickas till Internet. Du kan också publicera dessa vägar via BGP till AzureFirewallSubnet om Spridning av gatewayvägar är aktiverat i det här undernätet.
Du kan till exempel skapa en standardväg i AzureFirewallSubnet med din VPN-gateway som nästa hopp för att komma till din lokala enhet. Eller så kan du aktivera Sprid gatewayvägar för att hämta lämpliga vägar till det lokala nätverket.
Om du konfigurerar tvingad tunneltrafik är Internetbunden trafik SNATed till en av brandväggens privata IP-adresser i AzureFirewallSubnet, vilket döljer källan från din lokala brandvägg.
Om din organisation använder ett offentligt IP-adressintervall för privata nätverk använder Azure Firewall SNAT trafiken till en av brandväggens privata IP-adresser i AzureFirewallSubnet. Du kan dock konfigurera Azure Firewall till att inte SNAT ditt offentliga IP-adressintervall. Mer information finns i avsnittet om Azure Firewall och SNAT med privata IP-adressintervall.