Penerowongan paksa Azure Firewall
Saat mengonfigurasi Azure Firewall baru, Anda dapat merutekan semua lalu lintas yang terikat Internet ke hop berikutnya yang ditunjuk alih-alih langsung ke Internet. Misalnya, Anda dapat memiliki rute default yang diiklankan melalui BGP atau menggunakan Rute yang Ditentukan Pengguna (UDR) untuk memaksa lalu lintas ke firewall tepi lokal atau appliance virtual jaringan (NVA) lainnya untuk memproses lalu lintas jaringan sebelum diteruskan ke Internet. Untuk mendukung konfigurasi ini, Anda harus membuat Azure Firewall dengan Firewall Management NIC diaktifkan.
Anda mungkin lebih suka tidak mengekspos alamat IP publik langsung ke Internet. Dalam hal ini, Anda dapat menyebarkan Azure Firewall dengan NIC Manajemen diaktifkan tanpa alamat IP publik. Saat NIC Manajemen diaktifkan, NIC membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa terowongan ke firewall lain atau diblokir.
Azure Firewall menyediakan mengirimkan otomatis untuk semua lalu lintas keluar ke alamat IP publik. Azure Firewall tidak melakukan SNAT ketika alamat IP tujuan merupakan rentang alamat IP privat per IANA RFC 1918. Logika ini berfungsi dengan sempurna saat Anda keluar langsung ke Internet. Namun, dengan penerowongan paksa dikonfigurasi, lalu lintas yang terikat Internet mungkin Di-SNAT ke salah satu alamat IP privat firewall di AzureFirewallSubnet. Ini menyembunyikan alamat sumber dari firewall lokal Anda. Anda dapat mengonfigurasi Azure Firewall agar tidak SNAT, terlepas dari alamat IP tujuan dengan menambahkan 0.0.0.0/0 sebagai rentang alamat IP privat Anda. Dengan konfigurasi ini, Azure Firewall tidak akan pernah bisa keluar langsung ke Internet. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.
Azure Firewall juga mendukung penerowongan terpisah, yang merupakan kemampuan untuk merutekan lalu lintas secara selektif. Misalnya, Anda dapat mengonfigurasi Azure Firewall untuk mengarahkan semua lalu lintas ke jaringan lokal Anda saat merutekan lalu lintas ke Internet untuk aktivasi KMS, memastikan server KMS diaktifkan. Anda dapat melakukan ini menggunakan tabel rute di AzureFirewallSubnet. Untuk informasi selengkapnya, lihat Mengonfigurasi Azure Firewall dalam mode Penerowongan Paksa - Microsoft Community Hub.
Penting
Jika Anda menyebarkan Azure Firewall di dalam Hub Virtual WAN (Hub Virtual Aman), mengiklankan rute default melalui Rute Ekspres atau VPN Gateway saat ini tidak didukung. Hal ini sedang diselidiki.
Penting
DNAT tidak didukung dengan penerowongan paksa diaktifkan. Firewall yang disebarkan dengan mengaktifkan Penerowongan Paksa tidak dapat mendukung akses masuk dari Internet karena perutean asimetris. Namun, firewall dengan Management NIC masih mendukung DNAT.
Konfigurasi penerowongan paksa
Ketika NIC Manajemen Firewall diaktifkan, AzureFirewallSubnet sekarang dapat menyertakan rute ke firewall lokal atau NVA apa pun untuk memproses lalu lintas sebelum diteruskan ke Internet. Anda juga dapat menerbitkan rute ini melalui BGP ke AzureFirewallSubnet jika rute gateway Propagate diaktifkan pada subnet ini.
Misalnya, Anda dapat membuat rute default di AzureFirewallSubnet dengan gateway VPN Anda sebagai hop berikutnya untuk sampai ke perangkat lokal Anda. Atau Anda dapat mengaktifkan Menyebarkan rute gateway untuk mendapatkan rute yang sesuai ke jaringan lokal.
Jika Anda mengonfigurasi penerowongan paksa, lalu lintas yang terikat Internet di-SNAT ke salah satu alamat IP privat firewall di AzureFirewallSubnet, menyembunyikan sumber dari firewall lokal Anda.
Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan pribadi, Azure Firewall mengirimkan lalu lintas ke salah satu alamat IP pribadi firewall di AzureFirewallSubnet. Namun, Anda dapat mengonfigurasi Azure Firewall untuk tidak mengirimkan rentang alamat IP publik Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.