Azure Güvenlik Duvarı zorlamalı tüneli

Yeni bir Azure Güvenlik Duvarı yapılandırırken internete giden tüm trafiği doğrudan internete gitmek yerine belirlenmiş bir atlamaya gidecek şekilde yönlendirebilirsiniz. Örneğin, şirket içi uç güvenlik duvarına veya diğer ağ sanal gerecine (NVA) giden trafiği İnternet'e geçirilmeden önce işlemeye zorlamak için BGP aracılığıyla veya Kullanıcı Tanımlı Yollar (UDF) kullanarak tanıtılan varsayılan bir yolunuz olabilir. Bu yapılandırmayı desteklemek için Güvenlik Duvarı Yönetimi NIC'sinin etkinleştirildiği bir Azure Güvenlik Duvarı oluşturmanız gerekir.

Genel IP adresini doğrudan İnternet'te kullanıma sunmamak isteyebilirsiniz. Bu durumda, genel IP adresi olmadan Yönetim NIC'sini etkinleştirerek Azure Güvenlik Duvarı dağıtabilirsiniz. Yönetim NIC'i etkinleştirildiğinde, Azure Güvenlik Duvarı tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Genel IP adresi yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı genel IP adresi olmadan yapılandırılabilir ve İnternet trafiği başka bir güvenlik duvarına zorlamalı tünel oluşturulabilir veya engellenebilir.

Azure Güvenlik Duvarı, genel IP adreslerine giden tüm trafik için otomatik SNAT sağlar. Azure Güvenlik Duvarı, IANA RFC 1918’e göre hedef IP adresi bir özel IP adres aralığı olduğunda SNAT işlemi yapmaz. Bu mantık, doğrudan İnternet'e çıkış yaptığınızda mükemmel çalışır. Ancak zorlamalı tünel yapılandırıldığında, İnternet'e bağlı trafik AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine SNATed olabilir. Bu, kaynak adresi şirket içi güvenlik duvarınızdan gizler. Özel IP adresi aralığınız olarak 0.0.0.0/0 ekleyerek hedef IP adresinden bağımsız olarak Azure Güvenlik Duvarı SNAT olmayacak şekilde yapılandırabilirsiniz. Bu yapılandırmayla Azure Güvenlik Duvarı hiçbir zaman doğrudan İnternet'e çıkış yapamayacaktır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT özel IP adres aralıkları.

Azure Güvenlik Duvarı, trafiği seçmeli olarak yönlendirme özelliği olan bölünmüş tüneli de destekler. Örneğin, KMS etkinleştirmesi için trafiği İnternet'e yönlendirerek KMS sunucusunun etkinleştirildiğinden emin olurken, Azure Güvenlik Duvarı tüm trafiği şirket içi ağınıza yönlendirecek şekilde yapılandırabilirsiniz. Bunu AzureFirewallSubnet üzerindeki yol tablolarını kullanarak yapabilirsiniz. Daha fazla bilgi için bkz. Zorlamalı Tünel modunda Azure Güvenlik Duvarı yapılandırma - Microsoft Community Hub.

Zorlamalı tünel yapılandırması

Güvenlik Duvarı Yönetimi NIC etkinleştirildiğinde, AzureFirewallSubnet artık İnternet'e geçirilmeden önce trafiği işlemek için herhangi bir şirket içi güvenlik duvarına veya NVA'ya giden yolları içerebilir. Bu alt ağda Yay ağ geçidi yolları etkinleştirildiyse bu yolları BGP aracılığıyla AzureFirewallSubnet'e de yayımlayabilirsiniz.

Örneğin, şirket içi cihazınıza ulaşmak için sonraki atlama olarak VPN ağ geçidinizle AzureFirewallSubnet'te varsayılan bir yol oluşturabilirsiniz. Ya da şirket içi ağa uygun yolları almak için Ağ geçidi yollarını yay'ı etkinleştirebilirsiniz.

Zorlamalı tünel yapılandırırsanız, İnternet'e bağlı trafik AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine SNATed olur ve kaynağı şirket içi güvenlik duvarınızdan gizler.

Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Güvenlik Duvarı Trafiği AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine yönlendirir. Ancak, Azure Güvenlik Duvarı genel IP adresi aralığınızı SNAT olmayacak şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT özel IP adres aralıkları.

İlgili içerik

• Azure Güvenlik Duvarı Yönetimi NIC