Azure Firewall kényszerített alagútba helyezés

Amikor új Azure Firewallt konfigurál, az összes internetes forgalmat átirányíthatja egy kijelölt következő ugrásra a közvetlen internetkapcsolat helyett. Előfordulhat például, hogy egy alapértelmezett útvonal a BGP-n keresztül van meghirdetve, vagy felhasználói útvonalak (UDR-ek) használatával kényszerítheti a forgalmat egy helyszíni peremhálózati tűzfalra vagy más hálózati virtuális berendezésre (NVA) a hálózati forgalom feldolgozásához, mielőtt az átkerülne az internetre. A konfiguráció támogatásához létre kell hoznia egy Azure Firewallt, amelyen engedélyezve van a tűzfalkezelési hálózati adapter.

Előfordulhat, hogy nem szeretne nyilvános IP-címet közvetlenül az interneten elérhetővé tenni. Ebben az esetben az Azure Firewallt úgy helyezheti üzembe, hogy a felügyeleti hálózati adapter nyilvános IP-cím nélkül engedélyezve van. Ha a felügyeleti hálózati adapter engedélyezve van, létrehoz egy nyilvános IP-címmel rendelkező felügyeleti felületet, amelyet az Azure Firewall használ a műveleteihez. A nyilvános IP-címet kizárólag az Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési útvonal hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható vagy blokkolható.

Az Azure Firewall automatikus SNAT-t biztosít a nyilvános IP-címek felé irányuló kimenő forgalomhoz. Az Azure Firewall nem végez forráshálózati címfordítást, ha a cél IP-cím egy IANA RFC 1918 szerinti magánhálózati IP-cím. Ez a logika tökéletesen működik, ha közvetlenül az internetre irányítja a forgalmat. A kényszerített bújtatás konfigurálásával azonban előfordulhat, hogy az internethez kötött forgalom az AzureFirewallSubnet egyik magánhálózati tűzfal IP-címére van beállítva. Ezzel elrejti a forráscímet a helyszíni tűzfalról. Az Azure Firewall úgy konfigurálható, hogy a cél IP-címétől függetlenül ne SNAT-t használjon, ha a 0.0.0.0/0-t adja hozzá privát IP-címtartományként. Ezzel a konfigurációval az Azure Firewall soha nem tud közvetlenül az internetre kibocsátani. További információért tekintse meg az Azure Firewall SNAT magánhálózati IP-címtartományairól szóló részt.

Az Azure Firewall támogatja a megosztott bújtatást is, amely lehetővé teszi a forgalom szelektív irányítását. Konfigurálhatja például az Azure Firewallt úgy, hogy az összes forgalmat a helyszíni hálózatra irányítsa, miközben a KMS-aktiváláshoz az internetre irányítja a forgalmat, biztosítva a KMS-kiszolgáló aktiválását. Ezt az AzureFirewallSubnet útvonaltábláival teheti meg. További információ: Az Azure Firewall konfigurálása kényszerített bújtatási módban – Microsoft Community Hub.

Kényszerített bújtatás konfigurálása

Ha engedélyezve van a tűzfalkezelési hálózati adapter, az AzureFirewallSubnet mostantól bármilyen helyszíni tűzfalra vagy NVA-ra irányuló útvonalakat is tartalmazhat a forgalom feldolgozásához, mielőtt az átkerül az internetre. Ezeket az útvonalakat BGP-n keresztül is közzéteheti az AzureFirewallSubneten , ha ezen az alhálózaton engedélyezve van az átjáróútvonalak propagálása.

Létrehozhat például egy alapértelmezett útvonalat az AzureFirewallSubneten a VPN-átjáróval a következő ugrásként a helyszíni eszköz eléréséhez. Vagy engedélyezheti az átjáróútvonalak propagálását a helyszíni hálózat megfelelő útvonalainak lekéréséhez.

Ha kényszerített bújtatást konfigurál, az internethez kötött forgalom az AzureFirewallSubnet egyik magánhálózati tűzfal IP-címére lesz beállítva, elrejtve a forrást a helyszíni tűzfalból.

Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, az Azure Firewall SNATs a forgalmat az AzureFirewallSubnet egyik magánhálózati tűzfal IP-címére irányítja. Az Azure Firewallt azonban úgy is konfigurálhatja, hogy ne sNAT-t állítsa be a nyilvános IP-címtartományba. További információért tekintse meg az Azure Firewall SNAT magánhálózati IP-címtartományairól szóló részt.

Kapcsolódó tartalom

• Azure Firewall Management NIC