Compartir a través de

Asegurando el acceso a Internet con intención de enrutamiento

En el siguiente documento se describen diferentes patrones de enrutamiento que puede utilizar con la intención de enrutamiento de WAN virtual para inspeccionar el tráfico destinado a Internet.

Contexto

La intención de enrutamiento en Virtual WAN permite enviar el tráfico privado y de Internet a soluciones de seguridad implementadas en el centro de conectividad de Virtual WAN.

En la tabla siguiente se resumen los dos modos diferentes que definen cómo Virtual WAN inspecciona y enruta el tráfico enlazado a Internet:

Mode Tráfico de Internet
Acceso directo Enrutado directamente a Internet después de la inspección.
Túnel forzado Enrutado a través de una ruta designada de próximo salto (ruta 0.0.0.0/0 aprendida desde el entorno local, desde una aplicación virtual de red (NVA) o rutas estáticas de Virtual WAN) tras la inspección. Si no se aprende ninguna ruta 0.0.0.0/0 desde el entorno local, NVA o una ruta estática en una conexión de red virtual, se bloquea el tráfico dirigido a Internet.

Disponibilidad

En esta sección se describe la disponibilidad del acceso directo y el modo de túnel forzado . Asegúrese de comprender la diferencia entre los dos modos y comprobar la sección relacionada con la configuración prevista.

Acceso directo

En la tabla siguiente se muestra el estado de disponibilidad de proteger el acceso a Internet con acceso directo mediante la configuración de la directiva de enrutamiento de Internet.

Solución de seguridad Estado
Azure Firewall Disponible con carácter general en nubes públicas y de Azure Government.
Aplicación virtual de red (NVA) de firewall en el centro de conectividad de Virtual WAN Disponible con carácter general en las regiones en las que están disponibles las aplicaciones virtuales de red .
Software como Servicio (SaaS) en el hub de WAN Virtual Generalmente disponible en regiones donde Palo Alto Cloud NGFW está disponible.

Túnel forzado

En la tabla siguiente se muestra el estado de disponibilidad de proteger el acceso a Internet con tunelización forzada mediante la configuración de la directiva de enrutamiento privado.

Importante

La configuración de centros de Virtual WAN en modo de túnel forzado se implementa en Azure Pública. La implementación está en curso para Azure Government. Si tiene alguna pregunta sobre la disponibilidad de la región, póngase en contacto con virtual-wan-forced-tunnel@microsoft.com o el equipo de su cuenta de Microsoft.

Solución de seguridad Estado
Azure Firewall Generalmente disponible en Azure Público.
Aplicación virtual de red (NVA) de firewall en el centro de conectividad de Virtual WAN Versión preliminar pública en regiones en las que están disponibles las aplicaciones virtuales de red .
Software como Servicio (SaaS) en el hub de WAN Virtual Versión preliminar pública en regiones donde Palo Alto Cloud NGFW está disponible.

Limitaciones conocidas

  • Configuración de túnel forzado:

    • El túnel forzado requiere una configuración específica de intención de enrutamiento.
    • Destination-NAT (DNAT) para las soluciones de seguridad implementadas en el centro de conectividad de Virtual WAN no se admite para centros de conectividad de Virtual WAN configurados con el modo de enrutamiento forzado de Internet. La conexión entrante para el tráfico DNAT se origina desde Internet. Sin embargo, el modo de túnel forzado fuerza a devolver el tráfico a través de un entorno local o una aplicación virtual de red. Este patrón de enrutamiento da como resultado el enrutamiento asimétrico.
    • El tráfico desde el entorno local dirigido a la dirección IP pública de una cuenta de almacenamiento de Azure implementada en la misma región de Azure en la que el centro de conectividad de Virtual WAN pasa por alto la solución de seguridad en el centro de conectividad. Para más información sobre el problema, consulte Problemas conocidos de Virtual WAN.
    • El entorno local no puede anunciar rutas de túnel forzadas más específicas que 0.0.0.0/0. La publicidad de rutas más específicas, como 0.0.0.0/1 y 128.0.0.0/1 desde el entorno local, puede hacer que el tráfico de administración quede en un agujero negro en Azure Firewall o en las NVA integradas en el Hub Virtual.
    • Cuando se configura una ruta 0.0.0.0/0 como una ruta estática en una conexión de red virtual, la opción de "omitir el próximo salto" configurada en la conexión de red virtual se ignora y se considera establecida como "bypass/equals". Esto significa que el tráfico destinado a direcciones IP dentro de la conexión de red virtual con la ruta estática configurada 0.0.0.0/0 se inspeccionará mediante el dispositivo de seguridad del centro virtual y se enrutará directamente a la dirección IP de destino en la red virtual de radio. El tráfico pasará por alto la dirección IP del próximo salto configurada en la ruta estática. Para obtener un ejemplo detallado de este comportamiento de enrutamiento, consulte comportamiento del tráfico con Bypass Next Hop IP habilitado en el documento Bypass Next Hop IP.
    • La ruta predeterminada aprendida de ExpressRoute no se puede anunciar a otro circuito ExpressRoute. Esto significa que no se puede configurar Virtual WAN para enrutar el tráfico de Internet desde un circuito ExpressRoute a otro circuito ExpressRoute para la salida.
    • Si no hay ninguna ruta 0.0.0.0/0 aprendida desde las instalaciones o una ruta estática configurada para que apunte a una NVA en una red de radio, las rutas efectivas de la solución de seguridad muestran incorrectamente 0.0.0.0/0 con el próximo salto Internet. Como el tráfico de Internet no se reenvía a la solución de seguridad en el centro cuando el modo de túnel forzado está configurado sin una ruta explícita 0.0.0.0/0 aprendida desde el entorno local o configurada como una ruta estática, las rutas efectivas no deben contener una ruta 0.0.0.0/0 explícita.

  • Acceso directo:

    • El tráfico desde el entorno local dirigido a la dirección IP pública de una cuenta de almacenamiento de Azure implementada en la misma región de Azure en la que el centro de conectividad de Virtual WAN pasa por alto la solución de seguridad en el centro de conectividad. Para más información sobre esta limitación y posibles mitigaciones, consulte Problemas conocidos de Virtual WAN.

  • Problemas del portal:

    • Cuando un centro está configurado en modo túnel forzado, Azure Firewall Manager no muestra correctamente el tráfico de Internet como protegido para las conexiones. Además, Azure Firewall Manager no permite cambiar el estado protegido de las conexiones. Para modificar el estado protegido, cambie la configuración de habilitar la seguridad de Internet o la configuración de propagación de la ruta predeterminada en la conexión.

Acceso directo

Cuando Virtual WAN está configurado para dirigir el tráfico directamente a Internet, Virtual WAN aplica una ruta estática predeterminada 0.0.0.0/0 en la solución de seguridad con el próximo salto al Internet. Esta configuración es la única manera de garantizar que la solución de seguridad enruta el tráfico directamente a Internet.

Captura de pantalla que muestra el acceso directo.

Esta ruta predeterminada estática tiene mayor prioridad que cualquier ruta predeterminada aprendida en local, desde una NVA o configurada como una ruta estática en una red virtual conectada. Sin embargo, los prefijos más específicos anunciados desde el entorno local (0.0.0.0/1 y 128.0.0.0/1) se consideran de mayor prioridad para el tráfico de Internet, debido a la coincidencia más larga del prefijo.

Rutas eficaces

Si tiene directivas de enrutamiento privadas configuradas en el centro de conectividad de Virtual WAN, puede ver las rutas efectivas en la solución de seguridad del siguiente salto. En el caso de las implementaciones configuradas con acceso directo, las rutas efectivas en la solución de seguridad de próximo salto contendrán la ruta 0.0.0.0/0 con próximo salto Internet.

Túnel forzado

Cuando Virtual WAN está configurado en modo de túnel forzado, la ruta predeterminada de prioridad más alta seleccionada por el concentrador de Virtual WAN en función de la preferencia de enrutamiento de concentrador es utilizada por la solución de seguridad para reenviar el tráfico de Internet.

Captura de pantalla que muestra el túnel forzado.

La tunelización forzada indica a Virtual WAN que espere que el tráfico de Internet se enrute a un próximo salto designado en lugar de directamente a Internet. Por lo tanto, si no hay rutas predeterminadas aprendidas dinámicamente desde el entorno local o configurados como una ruta estática en las conexiones de red virtual, la plataforma Azure quitará el tráfico de Internet y no se reenviará a la solución de seguridad del centro.

La solución de seguridad en el centro de Virtual WAN no reenvía el tráfico a Internet directamente como una ruta de respaldo.

Orígenes admitidos de la ruta predeterminada

Nota:

La versión 0.0.0.0/0 no se propaga entre centros de conectividad virtuales. Esto significa que se debe usar una conexión local para centros virtuales configurados para el acceso a Internet a través del túnel forzado.

La ruta predeterminada se puede aprender de los siguientes orígenes.

  • ExpressRoute
  • VPN de sitio a sitio (dinámica o estática)
  • NVA en el centro
  • NVA en el radio
  • Ruta estática en una conexión de red virtual (con propagación de la ruta estática establecida en ON)

La ruta predeterminada no se puede configurar de la siguiente manera:

  • Ruta estática en defaultRouteTable con conexión de red virtual para el siguiente salto

Rutas eficaces

En el caso de las implementaciones configuradas con túnel forzado, las rutas efectivas en la solución de seguridad del próximo salto contendrán la ruta 0.0.0.0/0 con el próximo salto como la ruta predeterminada seleccionada aprendida desde el entorno local o configurada como una ruta estática en una conexión de red virtual.

Configurations

En las secciones siguientes se describen las configuraciones necesarias para enrutar el tráfico de Internet en modo de acceso directo o túnel forzado.

Configuración de enrutamiento de Virtual WAN

Nota:

El modo de enrutamiento de tráfico de Internet de túnel forzado solo está disponible para centros de conectividad de Virtual WAN que utilizan el propósito de enrutamiento con directivas de enrutamiento privadas. Los centros que no usan el intento de enrutamiento o usan políticas de enrutamiento de Internet solo pueden usar el modo de acceso directo.

En la tabla siguiente se resume la configuración necesaria para enrutar el tráfico mediante los dos modos de enrutamiento de tráfico de Internet diferentes.

Mode Política de enrutamiento privado Prefijos adicionales Directiva de enrutamiento de Internet
Acceso directo Opcional Ninguno requerido Obligatorio
Túnel forzado Obligatorio 0.0.0.0/0 No

Pasos de configuración en el portal de intenciones de enrutamiento

Nota:

Azure Portal realiza validaciones para asegurarse de que las implementaciones están en modo de túnel forzado o en modo de acceso directo. Esto significa que si el modo de túnel forzado está habilitado, no podrá agregar una directiva de Internet directamente. Para migrar desde el modo de túnel forzado al modo de acceso directo, ejecute los pasos siguientes en orden: quite la ruta estática 0.0.0.0/0 de prefijos adicionales, habilite la directiva de Internet y guarde.

En la sección siguiente se describe cómo configurar la intención de enrutamiento para configurar el túnel forzado y el acceso directo mediante la intención de enrutamiento de Virtual WAN y las directivas de Azure Portal. Estos pasos se aplican a Azure Firewall, aplicaciones virtuales de red o soluciones de software como servicio implementadas en el centro de Virtual WAN.

  1. Dirígete a tu Centro Virtual que se ha implementado con una solución de seguridad.
  2. En Enrutamiento, seleccione Intención de enrutamiento y Directivas de enrutamiento.

Túnel forzado

  1. Seleccione la solución de seguridad preferida como recurso de próximo salto para el tráfico privado. No seleccione nada para el tráfico de Internet. Captura de pantalla que muestra cómo seleccionar el firewall.
  2. Agregue la ruta 0.0.0.0/0 a prefijos adicionales. Captura de pantalla que muestra cómo agregar una ruta predeterminada a prefijos adicionales.
  3. Guarde la configuración.

Acceso directo

  1. Seleccione la solución de seguridad preferida como recurso de próximo salto para el tráfico de Internet. Opcionalmente, seleccione la solución de seguridad preferida como recurso de próximo salto para el tráfico privado. Captura de pantalla que muestra cómo seleccionar ambas directivas.
  2. Guarde la configuración.

Pasos de configuración en Azure Firewall Manager

Nota:

Azure Portal realiza validaciones para asegurarse de que las implementaciones están en modo de túnel forzado o en modo de acceso directo. Esto significa que si el modo de túnel forzado está habilitado, no podrá agregar una directiva de Internet directamente. Para migrar desde el modo de túnel forzado al modo de acceso directo, ejecute los pasos siguientes en orden: quite la ruta estática 0.0.0.0/0 de prefijos adicionales, habilite la directiva de Internet y guarde.

En la sección siguiente se describe cómo configurar la intención de enrutamiento para configurar el túnel forzado y el acceso directo mediante la intención de enrutamiento de Virtual WAN y las directivas de Azure Firewall Manager. Estos pasos solo se aplican a Azure Firewall en el centro de Virtual WAN.

  1. Navegue hasta su centro de conectividad de Virtual WAN.
  2. Seleccione Azure Firewall y Firewall Manager debajo de Seguridad y seleccione su centro de Virtual WAN.
  3. Seleccione Configuración de seguridad en Configuración.

Túnel forzado

  1. Establezca Tráfico privado en Enviar a través de Azure Firewall e Inter-hub en habilitado.
  2. Agregue la ruta 0.0.0.0/0 a prefijos adicionales.
  3. Guarde la configuración.

Acceso directo

  1. Establezca Tráfico de Internet en Azure Firewall e Inter-hub en habilitado. Opcionalmente, establezca Tráfico privado en Enviar a través de Azure Firewall e Inter-Hub en habilitado.
  2. Guarde la configuración.

Otras metodologías de configuración (Terraform, CLI, PowerShell, REST, Bicep)

Las siguientes configuraciones JSON representan representaciones de recursos de Azure Resource Manager de ejemplo de construcciones de enrutamiento de Virtual WAN configuradas para modos de túnel forzado o acceso directo. Estas configuraciones JSON se pueden personalizar en su entorno o configuración específicos y usarse para derivar la configuración correcta de Terraform, CLI, PowerShell o Bicep.

Túnel forzado

En el ejemplo siguiente JSON se muestra un recurso de intención de enrutamiento de ejemplo configurado con la directiva de enrutamiento privado.

{
  "name": "<>",
  "id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
  "properties": {
    "routingPolicies": [
      {
        "name": "PrivateTraffic",
        "destinations": [
          "PrivateTraffic"
        ],
        "nextHop": "<security solution resource URI>"
      }
    ]
  },
  "type": "Microsoft.Network/virtualHubs/routingIntent"
}

En el siguiente ejemplo JSON se muestra una configuración de tabla de rutas predeterminada de ejemplo con rutas de directiva de enrutamiento privado y prefijo adicional (0.0.0.0/0) agregado en la tabla de rutas predeterminada.

{
  "name": "defaultRouteTable",
  "id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
  "properties": {
    "routes": [
      {
        "name": "_policy_PrivateTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "private_traffic",
        "destinationType": "CIDR",
        "destinations": [
          "0.0.0.0/0"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      }
    ],
    "labels": [
      "default"
    ]
  },
  "type": "Microsoft.Network/virtualHubs/hubRouteTables"
}

Acceso directo

En el siguiente ejemplo JSON se muestra un recurso de intención de enrutamiento de ejemplo configurado con la directiva de enrutamiento privado e Internet.

{
  "name": "<>",
  "id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
  "properties": {
    "routingPolicies": [
      {
        "name": "PrivateTraffic",
        "destinations": [
          "PrivateTraffic"
        ],
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "PublicTraffic",
        "destinations": [
          "Internet"
        ],
        "nextHop": "<security solution resource URI>"
      }
    ]
  },
  "type": "Microsoft.Network/virtualHubs/routingIntent"
}

En el ejemplo siguiente JSON se muestra una configuración de tabla de rutas predeterminada de ejemplo con rutas de directiva de enrutamiento de Internet y privadas.

{
  "name": "defaultRouteTable",
  "id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
  "properties": {
    "routes": [
      {
        "name": "_policy_PrivateTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "_policy_PublicTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "0.0.0.0/0"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      }
    ],
    "labels": [
      "default"
    ]
  },
  "type": "Microsoft.Network/virtualHubs/hubRouteTables"
}

Configuración de conexiones aprende la ruta predeterminada (0.0.0.0/0)

Para las conexiones que necesitan acceso a Internet a través de Virtual WAN, asegúrese de que habilitar la seguridad de Internet o propagar la ruta predeterminada está establecida en true. Esta configuración indica a Virtual WAN que anuncie la ruta predeterminada a esa conexión.

Nota especial para los concentradores de túnel forzado

En el caso de los centros configurados en modo de túnel forzado, asegúrese de que habilitar la seguridad de Internet o propagar la ruta predeterminada está establecida en false en la conexión de ExpressRoute local o VPN y red virtual que anuncia la ruta 0.0.0.0/0 a Virtual WAN. Esto garantiza que Virtual WAN aprenda correctamente la ruta 0.0.0.0/0 desde el entorno local y también evita los bucles de enrutamiento inesperados.

Configuraciones de soluciones de seguridad

En la sección siguiente se describen las diferencias en la configuración de la solución de seguridad para el acceso directo y los modos de enrutamiento de túnel forzado.

Acceso directo

En la sección siguiente se describen las consideraciones de configuración necesarias para garantizar que las soluciones de seguridad del centro de Virtual WAN puedan reenviar paquetes a Internet directamente.

Azure Firewall:

  • Asegúrese de queSource-NAT (SNAT) esté activado para todas las configuraciones de tráfico de red que no sean RFC1918.
  • Evite el agotamiento de puertos SNAT asegurándose de que se asignan suficientes direcciones IP públicas a la implementación de Azure Firewall.

Solución SaaS o NVA integradas:

Las siguientes recomendaciones son recomendaciones de línea base genéricas. Póngase en contacto con su proveedor para obtener instrucciones completas.

  • Documentación del proveedor de referencia para asegurarse de:
    • La tabla de rutas interna en la solución NVA o SaaS tiene 0.0.0.0/0 correctamente configurado para reenviar el tráfico de Internet fuera de la interfaz externa.
    • SNAT está configurado para las soluciones de NVA o SaaS para todas las configuraciones de tráfico de red que no sean RFC 1918.
  • Asegúrese de que se asignan suficientes direcciones IP públicas a la implementación de NVA o SaaS para evitar el agotamiento de puertos SNAT.

Túnel forzado

En la sección siguiente se describen las consideraciones de configuración necesarias para garantizar que las soluciones de seguridad del centro de Virtual WAN puedan reenviar paquetes enlazados a Internet a un entorno local o una aplicación virtual de red que anuncia la ruta 0.0.0.0/0 a Virtual WAN.

Azure Firewall:

  • Configurar Source-NAT (SNAT).
    • Conservar la dirección IP de origen original del tráfico de Internet: desactive SNAT para todas las configuraciones de tráfico.
    • Tráfico de Internet SNAT a la dirección IP privada de la instancia de Firewall: active SNAT para los intervalos de tráfico que no sean RFC 1918.

Solución SaaS o NVA integradas:

Las siguientes recomendaciones son recomendaciones de línea base genéricas. Póngase en contacto con su proveedor para obtener instrucciones completas.

  • Documentación del proveedor de referencia para asegurarse de:
    • La tabla de rutas interna en la solución NVA o SaaS tiene 0.0.0.0/0 correctamente configurado para reenviar el tráfico de Internet fuera de la interfaz interna.
    • La configuración de la tabla de rutas interna garantiza que el tráfico de administración y el tráfico VPN/SDWAN se enruta a la interfaz externa.
    • Configure SNAT de forma adecuada en función de si es necesario conservar o no la dirección IP de origen original del tráfico.
  • Last updated on