Azure Firewall Forced Tunneling
Yeni bir Azure Firewall yapılandırdığınızda, internete bağlı tüm trafiği doğrudan internete gitmek yerine belirlenmiş bir sonraki sıçramaya yönlendirebilirsiniz. Örneğin, trafiği internet’e geçmeden önce ağ trafiğini işlemek üzere şirket içi uç güvenlik duvarına veya başka bir ağ sanal cihazına (NVA) zorlamak için BGP aracılığıyla veya Kullanıcı Tanımlı Yol (UDR) kullanılarak tanıtılan varsayılan bir rotanız olabilir. Bu yapılandırmayı desteklemek için, Forced Tunneling yapılandırmasının etkin olduğu Azure Firewall oluşturmanız gerekir. Bu, hizmet kesintisini önlemek için zorunlu bir gerekliliktir. Bu önceden var olan bir güvenlik duvarıysa, bu yapılandırmayı desteklemek için güvenlik duvarını Forced Tunneling modunda yeniden oluşturmanız gerekir.
Azure Firewall , genel IP adreslerine giden tüm trafik için otomatik SNAT sağlar. Hedef IP adresi, IANA RFC 1918’e göre özel bir IP adresi aralığı olduğunda Azure Firewall SNAT yapmaz. Bu mantık, doğrudan internet’e çıktığınızda mükemmel şekilde çalışır. Ancak, Forced Tunneling oluşturma etkinleştirildiğinde, internet’e bağlı trafik AzureFirewallSubnet’teki güvenlik duvarı özel IP adreslerinden birine SNAT’lanır. Bu, kaynak adresini şirket içi güvenlik duvarınızdan gizler. Özel IP adresi aralığınız olarak 0.0.0.0/0 ekleyerek Azure Firewall hedef IP adresinden bağımsız olarak SNAT olmayacak şekilde yapılandırabilirsiniz. Bu yapılandırmayla Azure Firewall hiçbir zaman doğrudan internete çıkamaz.
Aşağıda gösterildiği gibi Forced Tunneling modunu etkinleştirerek Firewall oluşturma sırasında Forced Tunneling’i yapılandırabilirsiniz. Zorunlu tünellemeyi desteklemek için Hizmet Yönetimi trafiği müşteri trafiğinden ayrılır. Kendi ilişkili genel IP adresiyle AzureFirewallManagementSubnet (minimum alt ağ boyutu/26) adlı ek bir ayrılmış alt ağ gerekir. Bu genel IP adresi, yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz.
Forced Tunneling Oluşturma modunda, Azure Firewall hizmeti, operasyonel amaçları için Yönetim alt ağını (AzureFirewallManagementSubnet) içerir. Varsayılan olarak hizmet, sistem tarafından sağlanan bir rota tablosunu Yönetim alt ağıyla ilişkilendirir. Bu alt ağda izin verilen tek yol, internete giden varsayılan bir yoldur ve Ağ geçidi yollarını yayma devre dışı bırakılmalıdır. Güvenlik duvarını oluştururken müşteri rota tablolarını Yönetim alt ağıyla ilişkilendirmekten kaçının.