Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve cenários básicos de rotas estáticas que enviam tráfego da WAN Virtual para o Azure Firewall no hub virtual.
Overview
Este documento resume cenários básicos para encaminhar tráfego da WAN Virtual para o Azure Firewall usando rotas estáticas. O documento não cobre aintenção de encaminhamento.
O documento contém também notas sobre como o Azure Firewall Manager configura o encaminhamento em WAN Virtual. Existem dois modos de encaminhamento configuráveis no Azure Firewall Manager:
- Inter-hub definido como desligado: Utiliza rotas estáticas para direcionar o tráfego para o Azure Firewall dentro do Hub Virtual local sem intenção de roteamento. Esta configuração está coberta por este documento.
- Inter-hub definido para ligado: Ativa a intenção de encaminhamento no concentrador da WAN Virtual. Esta configuração não está abrangida por este documento.
Inspeção de tráfego privado: Branch-to-Rede Virtual e Rede Virtual-to-Rede Virtual via Azure Firewall
Note
Nesta configuração, Azure Firewall Manager configura o defaultRouteTable para ter uma rota estática chamada private_traffic.
Padrões de tráfego
- Rede Privada (Rede Virtual e no local) inspecionada pelo Azure Firewall.
Configuration
Propriedades do roteamento de ligações:
| Tipo de ligação | Tabela de rotas associada | Tabela de rotas propagadas |
|---|---|---|
| Ligações a ramais | Tabela de Roteamento Padrão | nenhumRouteTable |
| Ligações de rede virtual | Tabela de Roteamento Padrão | nenhumRouteTable |
Tabela de rotas WAN Virtual: defaultRouteTable
Note
Se alguma das suas redes privadas utilizar espaços de endereçamento não RFC1918, certifique-se de que os intervalos de endereços correspondentes estão incluídos na rota estática private_traffic para que o tráfego destinado a essas redes seja corretamente encaminhado para Azure Firewall para inspeção.
| Prefixo de Destino | Próxima Etapa |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 | Azure Firewall no hub local |
Inspeção do tráfego da Internet pelo Azure Firewall
Note
Nesta configuração, Azure Firewall Manager espera que o defaultRouteTable tenha uma única rota estática chamada internet_traffic. Além disso, uma ligação WAN Virtual aprende a rota por defeito (0.0.0.0/0) se as definições de Ativar Segurança da Internet ou Propagar rotas predefinidas estiverem definidas como verdadeira. Azure Firewall Manager usa esta definição para mostrar se o tráfego de internet de uma ligação está seguro.
Padrões de tráfego
- O tráfego da Internet é inspecionado pelo Azure Firewall.
- O tráfego privado (entre redes locais e Redes Virtuais) não é inspecionado pelo Azure Firewall.
Configuration
| Tipo de ligação | Tabela de rotas associada | Tabelas de rotas propagadas | Rótulos de rota propagados |
|---|---|---|---|
| Ligações a ramais | Tabela de Roteamento Padrão | Tabela de Roteamento Padrão | - |
| Ligações de rede virtual | Tabela de Roteamento Padrão | Tabela de Roteamento Padrão | - |
Tabela de rotas WAN Virtual: defaultRouteTable
| Prefixo de Destino | Próxima Etapa |
|---|---|
| 0.0.0.0/0 | Azure Firewall no hub local |
Inspeção de tráfego privado e Internet
Note
Nesta configuração, Azure Firewall Manager espera que o defaultRouteTable tenha uma única rota estática chamada all_traffic.
Para garantir que o tráfego inter-hub e branch-to-branch é inspecionado pela Azure Firewall, utilize intenções e políticas de encaminhamento.
Padrões de tráfego
- O tráfego privado (entre redes locais e redes virtuais) é inspecionado pelo Azure Firewall.
- O tráfego da Internet é inspecionado pelo Azure Firewall.
- O tráfego de sucursal para sucursal não é inspecionado por Azure Firewall.
Configuration
| Tipo de ligação | Tabela de rotas associada | Tabelas de rotas propagadas |
|---|---|---|
| Ligações a ramais | Tabela de Roteamento Padrão | none |
| Ligações de rede virtual | Tabela de Roteamento Padrão | none |
Tabela de rotas WAN Virtual: defaultRouteTable
Note
Nesta configuração, Azure Firewall Manager espera que o defaultRouteTable tenha uma única rota estática chamada all_traffic.
| Prefixo de Destino | Próxima Etapa |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall no hub local |
Inspeção local do hub com encaminhamento direto entre hubs
Para garantir que o tráfego inter-hub seja inspecionado pelo Azure Firewall, utilize a intenção e as políticas de encaminhamento.
Padrões de tráfego
- O tráfego inter-hub contorna o Azure Firewall (encaminhado diretamente) através do hub WAN Virtual.
- Tráfego local (no mesmo hub) entre Redes Virtuais e on-premises inspecionado pelo Azure Firewall.
- O tráfego de internet utiliza o Azure Firewall local para inspeção e separação.
Note
Use rótulos de tabelas de roteamento da WAN Virtual para agrupar hubs na WAN Virtual e reduzir a complexidade das operações. Este design de rede não é configurável via Azure Firewall Manager.
Hub de Configuração 1
| Tipo de ligação | Tabela de rotas associada | Tabelas de rotas propagadas | Rótulos de rota propagados |
|---|---|---|---|
| Ligações a ramais | Tabela de Roteamento Padrão | defaultRouteTable (Hub 2) | - |
| Ligações de rede virtual | Tabela de Roteamento Padrão | defaultRouteTable (Hub 2) | - |
tabela de rotas do WAN Virtual Hub 1: defaultRouteTable
| Prefixo de Destino | Próxima Etapa |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall no Hub 1 |
Hub de Configuração 2
| Tipo de ligação | Tabela de rotas associada | Tabelas de rotas propagadas | Rótulos de rota propagados |
|---|---|---|---|
| Ligações a ramais | Tabela de Roteamento Padrão | defaultRouteTable (Hub 1) | - |
| Ligações de rede virtual | Tabela de Roteamento Padrão | defaultRouteTable (Hub 1) | - |
Tabela de rotas WAN Virtual Hub 2: defaultRouteTable
| Prefixo de Destino | Próxima Etapa |
|---|---|
| 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 0.0.0.0/0 | Azure Firewall no Hub 2 |