Vynucené tunelování služby Azure Firewall

Při konfiguraci nové služby Azure Firewall můžete nastavit směrování veškerého provozu směřujícího na internet do vyhrazeného dalšího segmentu směrování místo toho, aby se přenášel přímo na internet. Můžete mít například výchozí trasu inzerovanou přes protokol BGP nebo pomocí tras definovaných uživatelem (UDR) k vynucení provozu do místní hraniční brány firewall nebo jiného síťového virtuálního zařízení (NVA) ke zpracování síťového provozu před jeho předáním do internetu. Pokud chcete tuto konfiguraci podporovat, musíte vytvořit bránu Azure Firewall s povolenou síťovým rozhraním pro správu brány firewall.

Možná nechcete zveřejnit veřejnou IP adresu přímo na internetu. V takovém případě můžete nasadit službu Azure Firewall s povolenou síťovým rozhraním pro správu bez veřejné IP adresy. Když je síťová karta pro správu povolená, vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Veřejnou IP adresu používá výhradně platforma Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování na jinou bránu firewall nebo zablokovat.

Azure Firewall poskytuje automatický SNAT pro veškerý odchozí provoz na veřejné IP adresy. Azure Firewall nepoužívá SNAT v případě, že se cílová IP adresa nachází v rozsahu privátních IP adres podle standardu IANA RFC 1918. Tato logika funguje dokonale, když dojde přímo k internetu. Pokud je ale nakonfigurované vynucené tunelování, provoz směřující na internet může být SNAT na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Tím se zdrojová adresa skryje z místní brány firewall. Bránu Azure Firewall můžete nakonfigurovat tak, aby nebyla SNAT bez ohledu na cílovou IP adresu, a to tak, že jako rozsah privátníCH IP adres přidáte adresu 0.0.0.0/0 . Díky této konfiguraci nemůže Azure Firewall nikdy přejít přímo na internet. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Azure Firewall také podporuje rozdělené tunelování, což je schopnost selektivně směrovat provoz. Azure Firewall můžete například nakonfigurovat tak, aby směroval veškerý provoz do místní sítě při směrování provozu do internetu pro aktivaci Služby správy klíčů a zajistili aktivaci serveru Služby správy klíčů. Můžete to provést pomocí směrovacích tabulek v AzureFirewallSubnetu. Další informace najdete v tématu Konfigurace služby Azure Firewall v režimu vynuceného tunelování – Microsoft Community Hub.

Konfigurace vynucených tunelů

Pokud je síťová karta pro správu brány firewall povolená, azureFirewallSubnet teď může zahrnovat trasy do jakékoli místní brány firewall nebo síťového virtuálního zařízení, které budou zpracovávat provoz před předáním do internetu. Tyto trasy můžete publikovat také prostřednictvím protokolu BGP do AzureFirewallSubnet , pokud je v této podsíti povolené šíření tras brány.

Jako další segment směrování můžete například vytvořit výchozí trasu ve službě AzureFirewallSubnet s bránou VPN, abyste se dostali k místnímu zařízení. Nebo můžete povolit rozšíření tras brány, abyste získali příslušné trasy do místní sítě.

Pokud nakonfigurujete vynucené tunelování, provoz vázaný na internet se nastaví na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu a skryje zdroj z místní brány firewall.

Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall ale můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Související obsah

• Síťová karta pro správu služby Azure Firewall