التوجيه الإجباري لأسفل لـ Azure Firewall
عندما تقوم بتكوين Azure Firewall، يُمكنك توجيه جميع عمليات النقل المرتبطة بالإنترنت إلى وثبة تالية معينة بدلاً من الانتقال مباشرة إلى الإنترنت. على سبيل المثال، قد يكون لديك مسار افتراضي معلن عنه عبر BGP أو استخدام مسار معرف من قبل المستخدم (UDR) لفرض حركة المرور إلى جدار حماية حافة محلي أو جهاز ظاهري آخر للشبكة (NVA) لمعالجة حركة مرور الشبكة قبل تمريرها إلى الإنترنت. لدعم هذا التكوين، يجب إنشاء جدار حماية Azure مع تمكين تكوين النفق القسري. وهذا شرط إلزامي لتجنب تعطيل الخدمة.
إذا كان لديك جدار حماية موجود مسبقا، فيجب إيقاف/بدء تشغيل جدار الحماية في وضع النفق القسري لدعم هذا التكوين. يمكن استخدام إيقاف/بدء جدار الحماية لتكوين نفق إجباري لجدار الحماية دون الحاجة إلى إعادة توزيع جدار حماية جديد. يجب عليك القيام بذلك أثناء ساعات الصيانة لتجنب الاضطرابات. لمزيد من المعلومات، راجع الأسئلة المتداولة حول Azure Firewall حول إيقاف جدار الحماية وإعادة تشغيله في وضع النفق القسري.
قد تفضل عدم عرض عنوان IP عام مباشرة على الإنترنت. في هذه الحالة، يمكنك نشر Azure Firewall في وضع الاتصال النفقي القسري دون عنوان IP عام. ينشئ هذا التكوين واجهة إدارة بعنوان IP عام يستخدمه Azure Firewall لعملياته. يتم استخدام عنوان IP العام حصريا من قبل النظام الأساسي Azure ولا يمكن استخدامه لأي غرض آخر. يمكن تكوين شبكة مسار بيانات المستأجر دون عنوان IP عام، ويمكن فرض نقل بيانات الإنترنت نفقيا إلى جدار حماية آخر أو حظرها.
يوفر Azure Firewall SNAT تلقائياً لجميع حركات المرور الصادرة إلى عناوين IP العامة. لا يقوم Azure Firewall بترجمة عنوان شبكة المصدر عندما يكون عنوان IP الوجهة نطاق عنوان IP خاص لكل IANA RFC 1918. يعمل هذا المنطق بشكل مثالي عندما توجه حركة المرور مباشرة إلى الإنترنت. إذا قمت بتمكين التوجيه الإجباري، فإن حركة المرور المرتبطة بالإنترنت سيتم تحويلها إلى أحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. يؤدّي ذلك إلى إخفاء عنوان المصدر من جدار الحماية المحلي. بإمكانك تكوين Azure Firewall لعدم تحويل عنوان شبكة المصدر بغض النظر عن عنوان IP الوجهة عن طريق إضافة0.0.0.0/0 كنطاق عناوين IP الخاص بك. باستخدام هذا التكوين، لا يمكن لـ Azure Firewall الخروج مباشرةً إلى الإنترنت. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.
هام
إذا قمت بنشر جدار حماية Azure داخل مركز WAN الظاهري (مركز ظاهري آمن)، فإن الإعلان عن المسار الافتراضي عبر Express Route أو بوابة VPN غير مدعوم حاليا. ويجري التحقيق في عملية الإصلاح.
هام
DNAT غير مدعوم مع تمكين الاتصال النفقي القسري. لا يمكن أن تدعم جدران الحماية المنشورة مع تمكين الاتصال النفقي القسري الوصول الوارد من الإنترنت بسبب التوجيه غير المتماثل.
تكوين التوجيه الإجباري لأسفل
يمكنك تكوين النفق القسري أثناء إنشاء جدار الحماية عن طريق تمكين وضع النفق القسري كما هو موضح في لقطة الشاشة التالية. لدعم التوجيه الإجباري لأسفل، يتم فصل حركة Service Management عن حركة العميل. مطلوب شبكة فرعية مخصصة أخرى تسمى AzureFirewallManagementSubnet (الحد الأدنى لحجم الشبكة الفرعية /26) مع عنوان IP العام المقترن بها. يعتبر عنوان IP العام هذا لإدارة نسبة استخدام الشبكة. يتم استخدامه حصريا من قبل النظام الأساسي ل Azure ولا يمكن استخدامه لأي غرض آخر.
في وضع النفق القسري، تتضمن خدمة جدار حماية Azure الشبكة الفرعية للإدارة (AzureFirewallManagementSubnet) لأغراض التشغيل الخاصة بها. بشكل افتراضي، تربط الخدمة جدول مسار يوفره النظام بالشبكة الفرعية للإدارة. يكون المسار الوحيد المسموح به على هذه الشبكة الفرعية هو المسار الافتراضي إلى الإنترنت ويجب تعطيل مسارات نشر البوابة. تجنب إقران جداول مسارات العميل بشبكة الإدارة الفرعية عند إنشاء جدار الحماية.
ضمن هذا التكوين، يُمكن لـ AzureFirewallSubnet الآن تضمين المسارات إلى أي جدار حماية داخلي أو NVA إلى نسبة استخدام شبكة العملية قبل تمريرها إلى الإنترنت. يمكنك أيضا نشر هذه المسارات عبر BGP إلى AzureFirewallSubnet إذا تم تمكين نشر مسارات البوابة على هذه الشبكة الفرعية.
على سبيل المثال، يمكنك إنشاء مسار افتراضي على AzureFirewallSubnet باستخدام بوابة VPN كوثبة تالية للوصول إلى جهازك الداخلي. أو يمكنك تمكين نشر مسارات البوابة للحصول على المسارات المناسبة إلى شبكة الاتصال الداخلية.
إذا قمت بتمكين التوجيه الإجباري لأسفل، فإن حركة المرور المرتبطة بالإنترنت يتم SNATed إلى أحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet، مما يؤدي إلى إخفاء المصدر من جدار الحماية الداخلي.
إذا كانت مؤسستك تستخدم نطاق عنوان IP عام للشبكات الخاصة، فإن جدار حماية Azure Firewall يقوم بترجمة عنوان شبكة المصدر SNAT لحركة المرور لأحد عناوين IP الخاصة بجدار الحماية في AzureFirewallSubnet. ومع ذلك، يمكنك تكوين جدار حماية Azure بحيث ليس SNAT نطاق عناوين IP العام الخاص بك. لمزيد من المعلومات، راجع نطاقات عناوين IP الخاصة بـ Azure Firewall SNAT.
بمجرد تكوين جدار حماية Azure لدعم التوجيه الإجباري لأسفل، لا يمكنك التراجع عن التكوين. إذا قمت بإزالة جميع تكوينات IP الأخرى على جدار الحماية الخاص بك، تتم إزالة تكوين IP للإدارة أيضا، ويتم إلغاء تخصيص جدار الحماية. لا يمكن إزالة عنوان IP العام المعين لتكوين عنوان IP للإدارة، ولكن يمكنك تعيين عنوان IP عام مختلف.