Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden grundlegende szenarien für statische Routen beschrieben, die Virtual WAN Datenverkehr an Azure Firewall im virtuellen Hub senden.
Overview
In diesem Dokument werden grundlegende Szenarien für das Routing Virtual WAN Datenverkehrs zu Azure Firewall mithilfe statischer Routen zusammengefasst. Das Dokument deckt keineRoutingabsicht ab.
Das Dokument enthält außerdem Hinweise dazu, wie Azure Firewall Manager Routing in Virtual WAN konfiguriert. Es gibt zwei konfigurierbare Routingmodi in Azure Firewall Manager:
- Inter-Hub ist deaktiviert: Verwendet statische Routen, um den Datenverkehr ohne Routing-Absicht an die Azure Firewall innerhalb des lokalen virtuellen Hubs zu leiten. Diese Konfiguration wird von diesem Dokument abgedeckt.
- Inter-Hub auf Ein festgelegt: Aktiviert Routing-Intent auf dem Virtual WAN Hub. Diese Konfiguration wird von diesem Dokument nicht abgedeckt.
Private Datenverkehrsprüfung: Branch-to-Virtual Network und Virtual Network-to-Virtual Network über Azure Firewall
Note
In dieser Konfiguration konfiguriert Azure Firewall Manager die defaultRouteTable so, dass eine statische Route namens private_traffic vorhanden ist.
Verkehrsmuster
- Private Netzwerke (virtuelle und lokale) werden von der Azure-Firewall überprüft.
Configuration
Verbindungsroutingeigenschaften:
| Verbindungstyp | Zugeordnete Routentabelle | Propagierte Routentabelle |
|---|---|---|
| Verzweigungsverbindungen | defaultRouteTable | noneRouteTable |
| Virtuelle Netzwerkverbindungen | defaultRouteTable | noneRouteTable |
Virtuelle WAN-Routentabelle: Standardroutentabelle
Note
Wenn eines Ihrer privaten Netzwerke nicht RFC1918 Adressräume verwendet, stellen Sie sicher, dass die entsprechenden Adressbereiche in der statischen Route private_traffic enthalten sind, damit der für diese Netzwerke bestimmte Datenverkehr zur Überprüfung ordnungsgemäß an Azure Firewall weitergeleitet wird.
| Zielpräfix | Nächster Hop |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall im lokalen Hub |
Internet-Datenverkehrsüberprüfung durch Azure Firewall
Note
In dieser Konfiguration erwartet Azure Firewall Manager, dass die defaultRouteTable eine einzelne statische Route namens internet_traffic hat. Darüber hinaus lernt eine Virtual WAN Verbindung die Standardroute (0.0.0.0/0/0), wenn die Einstellung "Internetsicherheit aktivieren" oder "Standardrouteneinstellung verteilen" auf true festgelegt ist. Azure Firewall Manager verwendet diese Einstellung, um anzuzeigen, ob der Internetdatenverkehr einer Verbindung secured ist.
Verkehrsmuster
- Internetdatenverkehr wird von Azure Firewall geprüft.
- Privater Datenverkehr (zwischen lokalen und virtuellen Netzwerken) wird nicht von Azure Firewall überprüft.
Configuration
| Verbindungstyp | Zugeordnete Routentabelle | Verbreitete Routentabelle(n) | Verteilte Routenbeschriftungen |
|---|---|---|---|
| Verzweigungsverbindungen | defaultRouteTable | defaultRouteTable | - |
| Virtuelle Netzwerkverbindungen | defaultRouteTable | defaultRouteTable | - |
Virtuelle WAN-Routentabelle: Standardroutentabelle
| Zielpräfix | Nächster Hop |
|---|---|
| 0.0.0.0/0 | Azure Firewall im lokalen Hub |
Private und Internet-Datenverkehrsüberprüfung
Note
In dieser Konfiguration erwartet Azure Firewall Manager, dass die defaultRouteTable eine einzelne statische Route mit dem Namen all_traffic hat.
Verwenden Sie Routingabsichten und -richtlinien, um sicherzustellen, dass der Datenverkehr zwischen Hubs und Zweigstellen von der Azure Firewall überprüft wird.
Verkehrsmuster
- Privater Datenverkehr (zwischen lokalen und virtuellen Netzwerken) wird von Azure Firewall überprüft.
- Internetdatenverkehr wird von Azure Firewall geprüft.
- Branch-zu-Branch-Datenverkehr wird nicht von der Azure-Firewall überprüft.
Configuration
| Verbindungstyp | Zugeordnete Routentabelle | Verbreitete Routentabelle(n) |
|---|---|---|
| Zweigverbindungen | defaultRouteTable | nichts |
| Virtuelle Netzwerkverbindungen | defaultRouteTable | nichts |
Virtuelle WAN-Routentabelle: defaultRouteTable
Note
In dieser Konfiguration erwartet Azure Firewall Manager, dass die defaultRouteTable eine einzelne statische Route mit dem Namen all_traffic hat.
| Zielpräfix | Nächster Hop |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall im lokalen Hub |
Inspektion am lokalen Hub, wobei der Verkehr zwischen den Hubs direkt geroutet wird
Verwenden Sie Routing-Intent und Routenrichtlinien, um sicherzustellen, dass der Datenverkehr zwischen Hubs von Azure Firewall inspiziert wird.
Verkehrsmuster
- Der Datenverkehr zwischen Hubs umgeht die Azure Firewall (wird direkt geroutet) über den Virtual WAN Hub.
- Lokaler Datenverkehr im selben Hub zwischen virtuellen Netzwerken und lokalen Systemen, der von der Azure-Firewall überprüft wird.
- Der Internet-Datenverkehr nutzt die lokale Azure Firewall zur Überprüfung und Umleitung.
Note
Verwenden Sie Virtual WAN Routentabellenbeschriftungen, um Hubs über die Virtual WAN zu gruppieren, um die Betriebskomplexität zu verringern. Dieses Netzwerkdesign ist nicht über Azure Firewall Manager konfigurierbar.
Konfigurations-Hub 1
| Verbindungstyp | Zugeordnete Routentabelle | Verbreitete Routentabelle(n) | Verteilte Routenbeschriftungen |
|---|---|---|---|
| Verzweigungsverbindungen | defaultRouteTable | defaultRouteTable (Hub 2) | - |
| Virtuelle Netzwerkverbindungen | defaultRouteTable | defaultRouteTable (Hub 2) | - |
Virtual WAN Routing-Tabelle Hub 1: defaultRouteTable
| Zielpräfix | Nächster Hop |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall in Hub 1 |
Configuration Hub 2
| Verbindungstyp | Zugeordnete Routentabelle | Verbreitete Routentabelle(n) | Verteilte Routenbeschriftungen |
|---|---|---|---|
| Verzweigungsverbindungen | defaultRouteTable | defaultRouteTable (Hub 1) | - |
| Virtuelle Netzwerkverbindungen | defaultRouteTable | defaultRouteTable (Hub 1) | - |
Virtual WAN Routing-Tabelle Hub 2: defaultRouteTable
| Zielpräfix | Nächster Hop |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall in Hub 2 |