Túnel forçado do Firewall do Azure
Quando configura um novo Firewall do Azure, você pode rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, você pode ter uma rota padrão anunciada via BGP ou usando rotas definidas pelo usuário (UDRs) para forçar o tráfego para um firewall de borda local ou outra solução de virtualização de rede (NVA) para processar o tráfego de rede antes que ele seja passado para a Internet. Para dar suporte a esta configuração, você deve criar um Firewall do Azure com a NIC de Gerenciamento de Firewall habilitada.
Talvez você prefira não expor um endereço IP público diretamente à Internet. Neste caso, você pode implantar o Firewall do Azure com a NIC de Gerenciamento habilitada sem um endereço IP público. Quando a NIC de Gerenciamento está habilitada, ela cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para as suas operações. O endereço IP público é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro firewall ou bloqueado.
O Firewall do Azure fornece o SNAT automático para todo o tráfego de saída para endereços IP públicos. O Firewall do Azure não usa SNAT quando o endereço IP de destino é um intervalo de endereços IP privados de acordo com o IANA RFC 1918. Essa lógica funciona perfeitamente quando você destina a saída diretamente para a Internet. No entanto, com o túnel forçado configurado, o tráfego associado à Internet pode ser alocado em portas SNAT para um dos endereços IP privados de firewall na AzureFirewallSubnet. Isso oculta o endereço de origem do firewall local. É possível configurar o Firewall do Azure para nunca realizar SNAT, qualquer que seja o endereço IP de destino, adicionando 0.0.0.0/0 como seu intervalo de endereços IP privados. Com essa configuração, o Firewall do Azure nunca poderá rotear o tráfego diretamente para a Internet. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.
O Firewall do Azure também dá suporte ao túnel dividido, que é a capacidade de rotear seletivamente o tráfego. Por exemplo, você pode configurar o Firewall do Azure para direcionar todo o tráfego para a sua rede local enquanto roteia o tráfego para a Internet para ativação do KMS, garantindo que o servidor KMS seja ativado. Você pode fazer isso usando tabelas de rotas no AzureFirewallSubnet. Para obter mais informações, confira Configurar o Firewall do Azure no modo Túnel Forçado – Microsoft Community Hub.
Importante
Se você implantar o Firewall do Azure dentro de um Hub WAN Virtual (Hub Virtual Seguro), não há suporte para anunciar a rota padrão no Express Route ou Gateway de VPN no momento. Uma correção está sendo investigada.
Importante
O DNAT não é compatível com o túnel forçado habilitado. Os firewalls implantados com o Túnel Forçado habilitado não são compatíveis com acesso de entrada proveniente da Internet devido ao roteamento assimétrico. No entanto, firewalls com uma NIC de gerenciamento ainda dão suporte a DNAT.
Configuração de túnel forçado
Quando a NIC de Gerenciamento de Firewall está habilitada, o AzureFirewallSubnet agora pode incluir rotas para qualquer firewall local ou NVA para processar o tráfego antes de ser passado para a Internet. Você também pode publicar essas rotas via BGP no AzureFirewallSubnet se a opção Propagar rotas do gateway estiver habilitada nessa sub-rede.
Por exemplo, você pode criar uma rota padrão no AzureFirewallSubnet com seu gateway de VPN como o próximo salto para chegar ao dispositivo local. Ou você pode habilitar a opção Propagar rotas do gateway para obter as rotas apropriadas para a rede local.
Se você configurar o túnel forçado, o tráfego associado à Internet será alocado em portas SNAT para um dos endereços IP privados de firewall no AzureFirewallSubnet, ocultando a origem do firewall local.
Se a sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure realiza SNAT do tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.