Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W poniższym dokumencie opisano różne wzorce routingu, których można używać z intencją routingu usługi Virtual WAN w celu sprawdzenia ruchu powiązanego z Internetem.
Kontekst
Cel routingu usługi Virtual WAN umożliwia wysyłanie ruchu prywatnego i internetowego do rozwiązań zabezpieczających wdrożonych w hubie usługi Virtual WAN.
Poniższa tabela zawiera podsumowanie dwóch różnych trybów definiujących sposób inspekcji i kierowania ruchu powiązanego z Internetem przez usługę Virtual WAN:
| Mode | Ruch internetowy |
|---|---|
| Bezpośredni dostęp | Kierowane bezpośrednio do Internetu po inspekcji. |
| Wymuszony tunel | Trasa kierowana za pośrednictwem wyznaczonego następnego przeskoku (0.0.0.0/0— trasa otrzymana ze środowiska lokalnego, z wirtualnego urządzenia sieciowego (WUS) lub statycznej trasy w Wirtualnej Sieci Rozległej) po przeprowadzeniu inspekcji. Jeśli nie nauczono się trasy 0.0.0.0/0 z lokalnej infrastruktury, urządzenia NVA (Network Virtual Appliance) lub trasę statyczną na połączeniu sieci wirtualnej, ruch skierowany do Internetu zostanie zablokowany. |
Availability
W tej sekcji opisano dostępność bezpośredniego dostępu i trybu wymuszonego tunelowania. Upewnij się, że rozumiesz różnicę między dwoma trybami i sprawdź sekcję powiązaną z konfiguracją.
Bezpośredni dostęp
W poniższej tabeli przedstawiono stan dostępności zabezpieczania dostępu do Internetu z bezpośrednim dostępem przez skonfigurowanie zasad routingu internetowego.
| Rozwiązanie zabezpieczeń | Status |
|---|---|
| Azure Firewall | Generalnie dostępne w chmurach Azure Public i Azure Government. |
| Zapora NVA w koncentratorze sieci Virtual WAN | Ogólnie dostępne w regionach, w których są dostępne wirtualne urządzenia sieciowe . |
| Oprogramowanie jako usługa w centrum sieci Virtual WAN | Dostępne w regionach, gdzie jest dostępna aplikacja Palo Alto Cloud NGFW. |
Wymuszony tunel
W poniższej tabeli przedstawiono stan dostępności zabezpieczania dostępu do Internetu poprzez wymuszone tunelowanie poprzez konfigurację zasad routingu prywatnego.
Ważne
Konfigurowanie koncentratorów usługi Virtual WAN w trybie wymuszonego tunelu jest wdrażane w publicznej wersji platformy Azure. Wdrażanie jest w toku dla platformy Azure Government. Jeśli masz jakiekolwiek pytania dotyczące dostępności regionu, skontaktuj się z virtual-wan-forced-tunnel@microsoft.com lub z zespołem ds. kont Microsoft.
| Rozwiązanie zabezpieczeń | Status |
|---|---|
| Azure Firewall | Ogólnie dostępne w publicznej wersji platformy Azure. |
| Zapora NVA w koncentratorze sieci Virtual WAN | Publiczna wersja zapoznawcza w regionach, w których są dostępne wirtualne urządzenia sieciowe . |
| Oprogramowanie jako usługa w centrum sieci Virtual WAN | Publiczna wersja zapoznawcza w regionach, w których jest dostępna aplikacja Palo Alto Cloud NGFW. |
Znane ograniczenia
Konfiguracja wymuszonego tunelu:
- Wymuszony tunel wymaga określonej konfiguracji intencji routingu.
- Destination-NAT (DNAT) dla rozwiązań zabezpieczeń wdrożonych w koncentratorze usługi Virtual WAN nie jest obsługiwane w przypadku koncentratorów usługi Virtual WAN skonfigurowanych z trybem wymuszonego tunelowania internetowego. Połączenie przychodzące dla ruchu DNAT pochodzi z Internetu. Jednak wymuszony tryb tunelowania wymusza zwracanie ruchu za pośrednictwem lokalnych zasobów lub urządzenia NVA. Ten schemat routingu skutkuje asymetrycznym routingiem.
- Ruch ze środowiska lokalnego przeznaczony dla publicznego adresu IP konta usługi Azure Storage wdrożonego w tym samym regionie usługi Azure, co węzeł usługi Virtual WAN, pomija rozwiązania zabezpieczeń w węźle. Aby uzyskać więcej informacji na temat problemów, sprawdź znane problemy Virtual WAN.
- Lokalnie nie można rozgłaszać tras wymuszonego tunelu bardziej szczegółowe niż 0.0.0.0/0. Anonsowanie bardziej szczegółowych tras, takich jak 0.0.0.0/1 i 128.0.0.0/1 ze środowiska lokalnego, może spowodować zaciemnienie ruchu związanego z zarządzaniem dla usługi Azure Firewall lub urządzeń WUS zintegrowanych z koncentratorem wirtualnym.
- Gdy trasa 0.0.0.0/0 jest skonfigurowana jako trasa statyczna w połączeniu sieci wirtualnej, ustawienie pomiń następny przeskok skonfigurowane w połączeniu sieci wirtualnej jest ignorowane i uważane za ustawione na pominięcie/jest równe. Oznacza to, że ruch przeznaczony dla adresów IP w ramach połączenia sieci wirtualnej ze skonfigurowaną trasą statyczną 0.0.0.0/0 będzie sprawdzany przez urządzenie zabezpieczeń w koncentratorze wirtualnym i kierowany bezpośrednio do docelowego adresu IP w wirtualnej sieci szprychowej. Ruch będzie omijać następny przeskok IP skonfigurowany w trasie statycznej. Aby zapoznać się ze szczegółowym przykładem tego zachowania routingu, zobacz Zachowanie ruchu z włączonym adresem IP pominięcia następnego przeskoku w dokumencie IP pominięcia następnego przeskoku.
- Trasa domyślna poznana z usługi ExpressRoute nie może być rozgłaszana do innego obwodu usługi ExpressRoute. Oznacza to, że nie można skonfigurować usługi Virtual WAN do kierowania ruchu internetowego z jednego obwodu usługi ExpressRoute do innego obwodu usługi ExpressRoute na potrzeby ruchu wychodzącego.
- Jeśli nie ma trasy 0.0.0.0/0 nauczonej ze środowiska lokalnego ani trasy statycznej skonfigurowanej tak, aby wskazywała na NVA podłączonej do sieci szprych, skuteczne trasy w rozwiązaniu zabezpieczeń błędnie wyświetlają 0.0.0.0/0 z Internetem jako następny przeskok. Ponieważ ruch internetowy nie jest przekazywany do rozwiązania zabezpieczeń w hubie, gdy tryb wymuszonego tunelu jest skonfigurowany bez jawnej trasy 0.0.0.0/0 zebranej z infrastruktury lokalnej lub skonfigurowanej jako trasa statyczna, obowiązujące trasy nie powinny zawierać trasy 0.0.0.0/0.
Bezpośredni dostęp:
- Ruch ze środowiska lokalnego przeznaczony dla publicznego adresu IP konta usługi Azure Storage wdrożonego w tym samym regionie usługi Azure, co węzeł usługi Virtual WAN, pomija rozwiązania zabezpieczeń w węźle. Aby uzyskać więcej informacji na temat tego ograniczenia i potencjalnych środków zaradczych, zobacz znane problemy Virtual WAN.
Problemy z portalem:
- Kiedy hub jest skonfigurowany w trybie wymuszonego tunelu, usługa Azure Firewall Manager nie wyświetla prawidłowo ruchu internetowego jako zabezpieczonego dla połączeń. Ponadto usługa Azure Firewall Manager nie umożliwia zmiany stanu zabezpieczonych połączeń. Aby zmodyfikować stan zabezpieczony , zmień ustawienie włącz zabezpieczenia internetowe lub propaguj domyślne ustawienie trasy na połączeniu.
Bezpośredni dostęp
Gdy usługa Virtual WAN jest skonfigurowana do kierowania ruchu bezpośrednio do Internetu, usługa Virtual WAN stosuje statyczną trasę domyślną 0.0.0.0/0 w rozwiązaniu zabezpieczeń z następnym przeskokiem Internet. Ta konfiguracja jest jedynym sposobem zapewnienia, że rozwiązanie zabezpieczeń kieruje ruch bezpośrednio do Internetu.
Ta statyczna trasa domyślna ma wyższy priorytet niż jakakolwiek trasa domyślna nauczona ze środowiska lokalnego, z urządzenia NVA lub skonfigurowana jako trasa statyczna w sieci wirtualnej typu spoke. Jednak bardziej szczegółowe prefiksy anonsowane ze środowiska lokalnego (0.0.0.0/1 i 128.0.0.0/1) są uznawane za mające wyższy priorytet dla ruchu internetowego z uwagi na najdłuższe dopasowanie prefiksu.
Obowiązujące trasy
Jeśli masz zasady routingu prywatnego skonfigurowane w koncentratorze usługi Virtual WAN, możesz wyświetlić obowiązujące trasy w rozwiązaniu zabezpieczeń następnego przeskoku. W przypadku wdrożeń skonfigurowanych z bezpośrednim dostępem efektywne trasy w rozwiązaniu zabezpieczeń następnego przeskoku będą zawierać trasę 0.0.0.0/0 z następnym przeskokiem Internet.
Wymuszony tunel
Gdy usługa Virtual WAN jest skonfigurowana w trybie wymuszonego tunelowania, domyślna trasa o najwyższym priorytecie wybrana przez centrum Usługi Virtual WAN na podstawie preferencji routingu koncentratora jest używana przez rozwiązanie zabezpieczeń do przekazywania ruchu internetowego.
Wymuszone tunelowanie sprawia, że Virtual WAN oczekuje, iż ruch internetowy będzie kierowany do określonego następnego przeskoku zamiast bezpośrednio do Internetu. Jeśli nie są uczoone dynamicznie tras domyślnych z lokalnej infrastruktury lub skonfigurowane jako trasa statyczna w połączeniach sieci wirtualnej, ruch internetowy zostanie zablokowany przez platformę Azure i nie zostanie przekazany do rozwiązania zabezpieczeń w centrum.
Rozwiązanie zabezpieczeń w koncentratorze usługi Virtual WAN nie będzie bezpośrednio przekazywać ruch do Internetu jako ścieżkę zapasową.
Obsługiwane źródła trasy domyślnej
Uwaga / Notatka
0.0.0.0/0 nie jest propagowane przez węzły wirtualne. Oznacza to, że do koncentratorów wirtualnych skonfigurowanych do uzyskiwania dostępu do Internetu za pomocą tunelu wymuszonego należy używać połączenia lokalnego.
Trasę domyślną można poznać z następujących źródeł.
- ExpressRoute
- Sieć VPN typu lokacja-lokacja (dynamiczna lub statyczna)
- NVA w hubie
- NVA w szprychowej architekturze
- Trasa statyczna w połączeniu sieci wirtualnej (z propagacją trasy statycznej ustawioną na WŁ.)
Nie można skonfigurować trasy domyślnej w następujący sposób:
- Trasa statyczna w domyślnej tabeli routingu z połączeniem sieci wirtualnej do następnego skoku
Obowiązujące trasy
W przypadku wdrożeń skonfigurowanych z wykorzystaniem wymuszonego tunelu, obowiązujące trasy w rozwiązaniu zabezpieczeń dla kolejnego przeskoku będą zawierać trasę 0.0.0.0/0 z kolejnym przeskokiem, gdzie wybrana trasa domyślna zostanie nauczona z lokalnej infrastruktury lub skonfigurowana jako trasa statyczna w połączeniu z siecią wirtualną.
Konfiguracje
W poniższych sekcjach opisano konfiguracje niezbędne do kierowania ruchu internetowego w trybie bezpośredniego dostępu lub wymuszonego tunelu.
Konfiguracja routingu usługi Virtual WAN
Uwaga / Notatka
Tryb wymuszonego tunelowania ruchu internetowego jest dostępny tylko dla koncentratorów Virtual WAN, które używają intencji routingu z prywatnymi zasadami routingu. Centra, które nie korzystają z intencji routingu lub używają zasad routingu internetowego, mogą korzystać tylko z trybu bezpośredniego dostępu.
Poniższa tabela zawiera podsumowanie konfiguracji potrzebnej do kierowania ruchu przy użyciu dwóch różnych trybów routingu ruchu internetowego.
| Mode | Zasady routingu prywatnego | Dodatkowe prefiksy | Zasady routingu internetowego |
|---|---|---|---|
| Bezpośredni dostęp | Opcjonalnie | Nie wymagane | Required |
| Wymuszony tunel | Required | 0.0.0.0/0 | Nie. |
Kroki konfiguracji w portalu intencji routingu
Uwaga / Notatka
Portal Azure przeprowadza walidacje w celu upewnienia się, że wdrożenia są w trybie wymuszonego tunelu lub w trybie bezpośredniego dostępu. Oznacza to, że jeśli tryb wymuszonego tunelu jest włączony, nie będzie można bezpośrednio dodać polityki internetowej. Aby przeprowadzić migrację z trybu tunelu wymuszonego do trybu bezpośredniego dostępu, wykonaj następujące kroki w następującej kolejności: usuń trasę statyczną 0.0.0.0/0 z dodatkowych prefiksów, włącz politykę internetową i zapisz ustawienia.
W poniższej sekcji opisano sposób konfigurowania intencji routingu, aby skonfigurować wymuszony tunel i bezpośredni dostęp, korzystając z intencji routingu Virtual WAN i zasad w portalu Azure. Te kroki dotyczą usługi Azure Firewall, wirtualnych urządzeń sieciowych lub rozwiązań typu oprogramowanie jako usługa wdrożonych w koncentratorze usługi Virtual WAN.
- Przejdź do centrum wirtualnego wdrożonego przy użyciu rozwiązania zabezpieczeń.
- W obszarze Routing wybierz pozycję Intencje routingu i zasady routingu.
Wymuszony tunel
- Wybierz swoje preferowane rozwiązanie zabezpieczeń jako kolejny zasób przeskokowy dla ruchu prywatnego.
Nie wybieraj niczego dotyczącego ruchu internetowego.
- Dodaj trasę 0.0.0.0/0 do dodatkowych prefiksów.
- Zapisz konfigurację.
Bezpośredni dostęp
- Wybierz preferowane rozwiązanie bezpieczeństwa jako zasób kolejnego etapu dla ruchu internetowego. Opcjonalnie, wybierz preferowane rozwiązanie zabezpieczeń jako kolejny krok dla ruchu prywatnego.
- Zapisz konfigurację.
Kroki konfiguracji w usłudze Azure Firewall Manager
Uwaga / Notatka
Portal Azure przeprowadza walidacje w celu upewnienia się, że wdrożenia są w trybie wymuszonego tunelu lub w trybie bezpośredniego dostępu. Oznacza to, że jeśli tryb wymuszonego tunelu jest włączony, nie będzie można bezpośrednio dodać polityki internetowej. Aby przeprowadzić migrację z trybu wymuszonego tunelu do trybu bezpośredniego dostępu, wykonaj kroki w kolejności: usuń trasę statyczną 0.0.0.0/0 z dodatkowych prefiksów, aktywuj politykę internetową i zapisz.
W poniższej sekcji opisano sposób konfigurowania intencji routingu w celu skonfigurowania wymuszonego tunelu i bezpośredniego dostępu przy użyciu intencji routingu usługi Virtual WAN i zasad usługi Azure Firewall Manager. Te kroki dotyczą tylko usługi Azure Firewall w koncentratorze usługi Virtual WAN.
- Przejdź do centrum usługi Virtual WAN.
- Wybierz Azure Firewall i Firewall Manager w sekcji Zabezpieczenia, a następnie wybierz koncentrator Virtual WAN.
- Wybierz pozycję Konfiguracja zabezpieczeń w obszarze Ustawienia.
Wymuszony tunel
- Ustaw opcję Ruch prywatny na Wysyłanie za pośrednictwem usługi Azure Firewall i między koncentratora , aby włączyć.
- Dodaj trasę 0.0.0.0/0 do dodatkowych prefiksów.
- Zapisz konfigurację.
Bezpośredni dostęp
- Ustaw Ruch internetowy na Zapora Azure i Inter-hub na włączony. Opcjonalnie ustaw Ruch prywatny na Wysyłanie za pośrednictwem usługi Azure Firewall i Przekazywanie pomiędzy koncentratorami na włączone.
- Zapisz konfigurację.
Inne metodologie konfiguracji (Terraform, cli, PowerShell, REST, Bicep)
Poniższe konfiguracje JSON reprezentują przykładowe reprezentacje zasobów usługi Azure Resource Manager w konstrukcjach routingu usługi Virtual WAN skonfigurowanych pod kątem bezpośredniego dostępu lub wymuszonego tunelu. Te konfiguracje JSON można dostosować do określonego środowiska/konfiguracji i użyć do uzyskania poprawnej konfiguracji programu Terraform, interfejsu wiersza polecenia, programu PowerShell lub Bicep.
Wymuszony tunel
Poniższy przykładowy kod JSON przedstawia przykładowy zasób intencji routingu skonfigurowany przy użyciu zasad routingu prywatnego.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Poniższy przykładowy kod JSON przedstawia przykładową domyślną konfigurację tabeli tras z trasami zasad routingu prywatnego i dodatkowym prefiksem (0.0.0.0/0) dodanym w domyślnej tabeli tras.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Bezpośredni dostęp
Poniższy przykładowy kod JSON przedstawia przykładowy zasób intencji routingu skonfigurowany zarówno z zasadami routingu internetowego, jak i prywatnego.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
Poniższy przykładowy kod JSON przedstawia przykładową domyślną konfigurację tabeli tras z trasami zasad routingu prywatnego i internetowego.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Konfigurowanie połączeń poznaj trasę domyślną (0.0.0.0/0)
W przypadku połączeń wymagających dostępu do Internetu za pośrednictwem wirtualnej sieci WAN upewnij się, że dla opcji Włącz zabezpieczenia internetowe lub propagacja trasy domyślnej jest ustawiona na true. Ta konfiguracja powoduje, że usługa Virtual WAN anonsuje trasę domyślną do tego połączenia.
Szczególna uwaga dotycząca wymuszonych koncentratorów tuneli
W przypadku koncentratorów skonfigurowanych w trybie wymuszonego tunelu upewnij się, że opcja Włącz zabezpieczenia internetowe lub propagacja trasy domyślnej jest ustawiona na false w połączeniu lokalnej sieci ExpressRoute lub VPN i sieci wirtualnej, które przekazuje trasę 0.0.0.0/0 do Virtual WAN. Dzięki temu usługa Virtual WAN prawidłowo uczy się trasy 0.0.0.0/0 ze środowiska lokalnego, a także zapobiega wszelkim nieoczekiwanym pętlom routingu.
Konfiguracje rozwiązań zabezpieczeń
W poniższej sekcji opisano różnice w konfiguracji rozwiązania zabezpieczeń dla trybu routingu bezpośredniego i wymuszonego tunelowania.
Bezpośredni dostęp
W poniższej sekcji opisano zagadnienia dotyczące konfiguracji niezbędne do zapewnienia, że rozwiązania zabezpieczeń w koncentratorze usługi Virtual WAN mogą przekazywać pakiety bezpośrednio do Internetu.
Azure Firewall:
- Upewnij się, że Source-NAT (SNAT) jest włączony dla wszystkich konfiguracji ruchu sieciowego nieobjętego RFC1918.
- Unikaj wyczerpania portów SNAT, zapewniając wystarczającą liczbę publicznych adresów IP przydzielonych do wdrożenia usługi Azure Firewall.
Rozwiązanie SaaS lub zintegrowane NVAs:
Poniższe zalecenia to ogólne zalecenia dotyczące linii bazowej. Aby uzyskać pełne wskazówki, skontaktuj się z dostawcą.
- Dokumentacja dostawcy referencyjnego w celu zapewnienia:
- Wewnętrzna tabela tras w urządzeniu NVA lub rozwiązaniu SaaS ma prawidłowo skonfigurowaną trasę 0.0.0.0/0 do przekazywania ruchu internetowego z interfejsu zewnętrznego.
- Protokół SNAT jest skonfigurowany dla rozwiązań NVA lub SaaS we wszystkich konfiguracjach ruchu sieciowego, które nie są zgodne z RFC 1918.
- Upewnij się, że do wdrożenia NVA lub SaaS zostały przydzielone wystarczające publiczne adresy IP, aby uniknąć wyczerpania portów SNAT.
Wymuszony tunel
W poniższej sekcji opisano zagadnienia dotyczące konfiguracji niezbędne do zapewnienia, że rozwiązania zabezpieczeń w koncentratorze usługi Virtual WAN mogą przekazywać pakiety przeznaczone do Internetu do sieci lokalnej lub wirtualnego urządzenia sieciowego, które anonsuje trasę 0.0.0.0/0 do usługi Virtual WAN.
Azure Firewall:
- Konfigurowanie Source-NAT (SNAT).
- Zachowaj oryginalny źródłowy adres IP ruchu internetowego: wyłącz funkcję SNAT dla wszystkich konfiguracji ruchu.
- Ruch internetowy SNAT do prywatnego adresu IP instancji zapory: włącz SNAT dla zakresów innych niż RFC 1918.
Rozwiązanie SaaS lub zintegrowane NVAs:
Poniższe zalecenia to ogólne zalecenia dotyczące linii bazowej. Aby uzyskać pełne wskazówki, skontaktuj się z dostawcą.
- Dokumentacja dostawcy referencyjnego w celu zapewnienia:
- Tablica routingu w urządzeniu NVA lub rozwiązaniu SaaS ma prawidłowo skonfigurowane 0.0.0.0/0 do przekazywania ruchu internetowego z interfejsu wewnętrznego.
- Wewnętrzna konfiguracja tabeli tras gwarantuje, że ruch zarządzający i ruch VPN/SDWAN są kierowane przez zewnętrzny interfejs.
- Odpowiednio skonfiguruj protokół SNAT w zależności od tego, czy należy zachować oryginalny źródłowy adres IP ruchu.