Tunneling forzato di Firewall di Azure
Quando si configura una nuova istanza di Firewall di Azure, è possibile instradare tutto il traffico associato a Internet a un hop successivo designato anziché passare direttamente a Internet. Ad esempio, si potrebbe avere una route predefinita annunciata tramite BGP o usando route definita dall'utente per forzare il traffico verso un firewall perimetrale locale o un'altra appliance virtuale di rete per elaborare il traffico di rete prima che venga passato a Internet. Per supportare questa configurazione, è necessario creare Firewall di Azure con la configurazione del tunneling forzato abilitata. Si tratta di un requisito obbligatorio per evitare interruzioni del servizio.
Se si dispone di un firewall preesistente, è necessario arrestare/avviare il firewall in modalità di tunneling forzato per supportare questa configurazione. L'arresto o l'avvio del firewall può essere usato per configurare il tunneling forzato del firewall senza la necessità di ridistribuirne uno nuovo. È consigliabile eseguire questa operazione durante le ore di manutenzione per evitare interruzioni. Per altre informazioni, vedere le domande frequenti Firewall di Azure sull'arresto e il riavvio di un firewall in modalità di tunneling forzato.
Potrebbe essere preferibile non esporre un indirizzo IP pubblico direttamente a Internet. In questo caso, è possibile distribuire Firewall di Azure in modalità tunneling forzato senza un indirizzo IP pubblico. Questa configurazione crea un'interfaccia di gestione con un indirizzo IP pubblico usato da Firewall di Azure per le operazioni. L'indirizzo IP pubblico viene usato esclusivamente dalla piattaforma Azure e non può essere usato per altri scopi. La rete del percorso dati tenant può essere configurata senza un indirizzo IP pubblico e il traffico Internet può essere sottoposto a tunneling forzato a un altro firewall o bloccato.
Firewall di Azure fornisce SNAT automatico per tutto il traffico in uscita verso indirizzi IP pubblici. Firewall di Azure non usa SNAT quando l'indirizzo IP di destinazione è un intervallo di indirizzi IP privati, in conformità allo standard IANA RFC 1918. Questa logica funziona perfettamente quando si egresse direttamente a Internet. Tuttavia, con il tunneling forzato abilitato, il traffico associato a Internet è SNATed a uno degli indirizzi IP privati del firewall in AzureFirewallSubnet. In questo modo l'indirizzo di origine viene nascosto dal firewall locale. È possibile configurare Firewall di Azure in modo che non SNAT indipendentemente dall'indirizzo IP di destinazione aggiungendo 0.0.0.0/0 come intervallo di indirizzi IP privati. Con questa configurazione, Firewall di Azure non può mai passare direttamente a Internet. Per altre informazioni, vedere Intervalli di indirizzi IP privati SNAT di Firewall di Azure.
Importante
Se si distribuisce Firewall di Azure all'interno di un hub rete WAN virtuale (hub virtuale protetto), la pubblicità della route predefinita su ExpressRoute o Gateway VPN non è attualmente supportata. È in corso la ricerca di una correzione.
Importante
DNAT non è supportato con il tunneling forzato abilitato. I firewall distribuiti con il tunneling forzato abilitato non possono supportare l'accesso in ingresso da Internet a causa del routing asimmetrico.
Configurazione del tunneling forzato
È possibile configurare il tunneling forzato durante la creazione del firewall abilitando la modalità di tunneling forzato, come illustrato nello screenshot seguente. Per supportare il tunneling forzato, il traffico di gestione dei servizi è separato dal traffico dei clienti. Un'altra subnet dedicata denominata AzureFirewallManagementSubnet (dimensione minima subnet /26) è necessaria con il proprio indirizzo IP pubblico associato. Questo indirizzo IP pubblico è destinato al traffico di gestione. Viene usato esclusivamente dalla piattaforma Azure e non può essere usato per altri scopi.
In modalità di tunneling forzato, il servizio Firewall di Azure incorpora la subnet di gestione (AzureFirewallManagementSubnet) ai fini operativi. Per impostazione predefinita, il servizio associa una tabella di route fornita dal sistema alla subnet di gestione. L'unica route consentita in questa subnet è una route predefinita verso Internet e le route del gateway propagate devono essere disabilitate. Evitare di associare le tabelle di route dei clienti alla subnet di gestione quando si crea il firewall.
All'interno di questa configurazione, AzureFirewallSubnet può ora includere route a qualsiasi firewall locale o appliance virtuale di rete per elaborare il traffico prima che venga passato a Internet. È anche possibile pubblicare queste route tramite BGP in AzureFirewallSubnet se la propagazione delle route del gateway è abilitata in questa subnet.
Ad esempio, è possibile creare una route predefinita in AzureFirewallSubnet con il gateway VPN come hop successivo per accedere al dispositivo locale. Oppure è possibile abilitare l'opzione Propaga route del gateway per ottenere le route appropriate per la rete locale.
Se si abilita il tunneling forzato, il traffico associato a Internet viene SNATed a uno degli indirizzi IP privati del firewall in AzureFirewallSubnet, nascondendo l'origine dal firewall locale.
Se l'organizzazione usa un intervallo di indirizzi IP pubblici per le reti private, Firewall di Azure invierà il traffico tramite SNAT a uno degli indirizzi IP privati firewall in AzureFirewallSubnet. Tuttavia, è possibile configurare Firewall di Azure in modo che non SNAT l'intervallo di indirizzi IP pubblici. Per altre informazioni, vedere Intervalli di indirizzi IP privati SNAT di Firewall di Azure.
Dopo aver configurato Firewall di Azure per supportare il tunneling forzato, non è possibile annullare la configurazione. Se si rimuovono tutte le altre configurazioni IP nel firewall, la configurazione IP di gestione viene rimossa e il firewall viene deallocato. Non è possibile rimuovere l'indirizzo IP pubblico assegnato alla configurazione IP di gestione, ma è possibile assegnare un indirizzo IP pubblico diverso.