Azure 防火牆強制通道
當您設定新的 Azure 防火牆時,您可以將所有網際網路繫結流量路由傳送至指定的下一個躍點,而不是直接前往網際網路。 例如,您可以透過 BGP 公告預設路由,或使用使用者定義的路由 (UDR) 強制流量流向內部部署邊緣防火牆或其他網路虛擬設備 #NVA,以在傳送至因特網之前處理網路流量。 若要支援此設定,您必須建立已啟用防火牆管理 NIC 的 Azure 防火牆。
您可能偏好不直接向網際網路公開公用 IP 位址。 在此情況下,您可以部署 Azure 防火牆 啟用管理 NIC,而不需要公用 IP 位址。 啟用管理 NIC 時,它會使用 Azure 防火牆 用於其作業的公用 IP 位址來建立管理介面。 此公用 IP 位址是由 Azure 平台專用,無法用於任何其他用途。 租用戶資料路徑網路可以在不使用公用 IP 位址的情況下設定,且可以強制通道傳送網際網路流量至另一個防火牆或將其封鎖。
Azure 防火牆會針對傳至公用 IP 位址的所有輸出流量,提供自動 SNAT。 目的地 IP 位址為 IANA RFC 1918 的私人 IP 位址範圍時,Azure 防火牆不會進行 SNAT 轉譯。 當您直接輸出至網際網路時,此邏輯會正常運作。 不過,設定強制通道時,因特網系結流量可能會 SNATed 到 AzureFirewallSubnet 中的其中一個防火牆私人 IP 位址。 這會隱藏來自內部部署防火牆的來源位址。 您可以藉由將 0.0.0.0/0 新增為私人 IP 位址範圍,將 Azure 防火牆設定為非 SNAT,而不管目的地 IP 位址為何。 使用此設定時,Azure 防火牆永遠不會直接輸出至網際網路。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人 IP 位址範圍。
Azure 防火牆 也支援分割通道,這是選擇性地路由流量的能力。 例如,您可以設定 Azure 防火牆 將所有流量導向內部部署網路,同時將流量路由傳送至因特網以進行 KMS 啟用,確保 KMS 伺服器已啟用。 您可以使用 AzureFirewallSubnet 上的路由表來執行此動作。 如需詳細資訊,請參閱在強制通道模式中設定 Azure 防火牆 - Microsoft社群中樞。
重要
如果您在虛擬 WAN 中心 (安全虛擬中心) 內部部署 Azure 防火牆,則目前不支援透過 Express Route 或 VPN 閘道公告預設路由。 我們正在調查提供修正程式的可能性。
重要
啟用強制通道時不支援 DNAT。 因為非對稱式路由,部署了強制通道的防火牆無法支援來自網際網路的輸入存取。 不過,具有管理 NIC 的防火牆仍支援DNAT。
強制通道設定
啟用防火牆管理 NIC 時, AzureFirewallSubnet 現在可以包含任何內部部署防火牆或 NVA 的路由,以在流量傳遞至因特網之前處理流量。 如果已在此子網路啟用傳播閘道路由,您也可以透過 BGP 將這些路由發佈到 AzureFirewallSubnet。
例如,您可以在 AzureFirewallSubnet 上建立預設路由,並以您的 VPN 閘道作為下一個躍點,以進入您的內部部署裝置。 或者,您可以啟用傳播閘道路由,以取得通往內部部署網路的適當路由。
如果您設定強制通道,因特網系結流量會 SNATed 到 AzureFirewallSubnet 中的其中一個防火牆私人 IP 位址,並隱藏內部部署防火牆的來源。
如果您的組織使用私人網路的公用 IP 位址範圍,Azure 防火牆會將流量 SNAT 轉譯到 AzureFirewallSubnet 其中一個防火牆私人 IP 位址。 然而,您可以將 Azure 防火牆設定為不要 SNAT 公用 IP 位址範圍。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人 IP 位址範圍。