التوجيه الإجباري لأسفل لـ Azure Firewall
عندما تقوم بتكوين Azure Firewall، يُمكنك توجيه جميع عمليات النقل المرتبطة بالإنترنت إلى وثبة تالية معينة بدلاً من الانتقال مباشرة إلى الإنترنت. على سبيل المثال، قد يكون لديك مسار افتراضي معلن عنه عبر BGP أو استخدام المسارات المعرفة من قبل المستخدم (UDRs) لفرض حركة المرور إلى جدار حماية حافة محلي أو جهاز ظاهري آخر للشبكة (NVA) لمعالجة حركة مرور الشبكة قبل تمريرها إلى الإنترنت. لدعم هذا التكوين، يجب إنشاء جدار حماية Azure مع تمكين Firewall Management NIC.
قد تفضل عدم عرض عنوان IP عام مباشرة على الإنترنت. في هذه الحالة، يمكنك نشر جدار حماية Azure مع تمكين Management NIC دون عنوان IP عام. عند تمكين Management NIC، فإنه ينشئ واجهة إدارة بعنوان IP عام يستخدمه Azure Firewall لعملياته. يتم استخدام عنوان IP العام حصريا من قبل النظام الأساسي Azure ولا يمكن استخدامه لأي غرض آخر. يمكن تكوين شبكة مسار بيانات المستأجر دون عنوان IP عام، ويمكن فرض نقل بيانات الإنترنت نفقيا إلى جدار حماية آخر أو حظرها.
يوفر Azure Firewall SNAT تلقائياً لجميع حركات المرور الصادرة إلى عناوين IP العامة. لا يقوم Azure Firewall بترجمة عنوان شبكة المصدر عندما يكون عنوان IP الوجهة نطاق عنوان IP خاص لكل IANA RFC 1918. يعمل هذا المنطق بشكل مثالي عندما توجه حركة المرور مباشرة إلى الإنترنت. ومع ذلك، مع تكوين النفق القسري، قد تكون نسبة استخدام الشبكة المرتبطة بالإنترنت SNATed إلى أحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. يؤدّي ذلك إلى إخفاء عنوان المصدر من جدار الحماية المحلي. بإمكانك تكوين Azure Firewall لعدم تحويل عنوان شبكة المصدر بغض النظر عن عنوان IP الوجهة عن طريق إضافة0.0.0.0/0 كنطاق عناوين IP الخاص بك. باستخدام هذا التكوين، لا يمكن لـ Azure Firewall الخروج مباشرةً إلى الإنترنت. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.
يدعم Azure Firewall أيضا تقسيم النفق، وهو القدرة على توجيه نسبة استخدام الشبكة بشكل انتقائي. على سبيل المثال، يمكنك تكوين جدار حماية Azure لتوجيه كل نسبة استخدام الشبكة إلى شبكتك المحلية أثناء توجيه نسبة استخدام الشبكة إلى الإنترنت لتنشيط KMS، ما يضمن تنشيط خادم KMS. يمكنك القيام بذلك باستخدام جداول التوجيه على AzureFirewallSubnet. لمزيد من المعلومات، راجع تكوين Azure Firewall في وضع Forced Tunneling - Microsoft Community Hub.
هام
إذا قمت بنشر جدار حماية Azure داخل مركز WAN الظاهري (مركز ظاهري آمن)، فإن الإعلان عن المسار الافتراضي عبر Express Route أو بوابة VPN غير مدعوم حاليا. ويجري التحقيق في عملية الإصلاح.
هام
DNAT غير مدعوم مع تمكين الاتصال النفقي القسري. إن جدران الحماية التي نُشرت أثناء تمكين الاتصال النفقي القسري لا يمكن أن تدعم الوصول الوارد من الإنترنت بسبب التوجيه غير المتماثل. ومع ذلك، لا تزال جدران الحماية مع Management NIC تدعم DNAT.
تكوين التوجيه الإجباري لأسفل
عند تمكين Firewall Management NIC، يمكن الآن ل AzureFirewallSubnet تضمين مسارات إلى أي جدار حماية محلي أو NVA لمعالجة حركة المرور قبل تمريرها إلى الإنترنت. يمكنك أيضا نشر هذه المسارات عبر BGP إلى AzureFirewallSubnet إذا تم تمكين نشر مسارات البوابة على هذه الشبكة الفرعية.
على سبيل المثال، يمكنك إنشاء مسار افتراضي على AzureFirewallSubnet باستخدام بوابة VPN كوثبة تالية للوصول إلى جهازك الداخلي. أو يمكنك تمكين نشر مسارات البوابة للحصول على المسارات المناسبة إلى شبكة الاتصال الداخلية.
إذا قمت بتكوين الاتصال النفقي القسري، فإن نسبة استخدام الشبكة المرتبطة بالإنترنت هي SNATed إلى أحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet، مع إخفاء المصدر من جدار الحماية المحلي.
إذا كانت مؤسستك تستخدم نطاق عنوان IP عام للشبكات الخاصة، فإن جدار حماية Azure Firewall يقوم بترجمة عنوان شبكة المصدر SNAT لحركة المرور لأحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. ومع ذلك، يمكنك تكوين جدار حماية Azure بحيث ليس SNAT نطاق عناوين IP العام الخاص بك. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.