Compartilhar via

Proteção do acesso à internet com intenção de roteamento

O documento a seguir descreve diferentes padrões de roteamento que você pode usar com a intenção de roteamento da WAN Virtual para inspecionar o tráfego com destino à Internet.

Contexto

A intenção de roteamento da WAN Virtual permite enviar tráfego privado e da Internet para soluções de segurança implantadas no hub da WAN Virtual.

A tabela a seguir resume os dois modos diferentes que definem como a WAN Virtual inspeciona e roteia o tráfego associado à Internet:

Mode Tráfego de Internet
Acesso Direto Roteado diretamente para a Internet após a inspeção.
Túnel Forçado Roteado por meio de um próximo salto designado (rota 0.0.0.0/0 aprendida no local, de uma Solução de Virtualização de Rede (NVA) ou uma rota estática da WAN Virtual) após inspeção. Se nenhuma rota 0.0.0.0/0 for aprendida no local, uma NVA ou uma rota estática em uma conexão de Rede Virtual, o tráfego com destino à Internet será bloqueado.

Disponibilidade

Esta seção descreve a disponibilidade do acesso direto e do modo de túnel forçado . Entenda a diferença entre os dois modos e verifique a seção relacionada à configuração pretendida.

Acesso Direto

A tabela a seguir mostra o status de disponibilidade da proteção do acesso à Internet com acesso direto configurando a política de roteamento da Internet.

Solução de segurança Situação
Firewall do Azure Disponível Geralmente nas Nuvens Públicas e Governamentais do Azure.
Firewall NVA no hub da WAN Virtual Disponibilidade geral na nuvem pública do Azure
Software como serviço no Hub de WAN Virtual Disponibilidade geral na nuvem pública do Azure

Túnel forçado

A tabela a seguir mostra o status de disponibilidade da proteção do acesso à Internet com túnel forçado configurando a política de roteamento privado.

Importante

A configuração de hubs de WAN Virtual no modo de túnel forçado está sendo implantada progressivamente em todas as regiões do Azure. A lista atual de regiões disponíveis é: Austrália Central, Sul do Brasil, Índia Central, Leste da Ásia, Leste dos EUA, Oeste da Índia, Coreia Central, Sul da Malásia, Oeste da Malásia, Catar Central, Sul do Reino Unido e Centro-Oeste dos EUA. Se você tiver dúvidas sobre a disponibilidade da região, contate virtual-wan-forced-tunnel@microsoft.com ou sua equipe de conta da Microsoft.

Solução de segurança Situação
Firewall do Azure Geralmente disponível em regiões do Azure selecionadas (consulte a observação acima).
Firewall NVA no hub da WAN Virtual Visualização pública em regiões do Azure selecionadas (consulte a observação acima).
Software como serviço no Hub de WAN Virtual Visualização pública em regiões do Azure selecionadas (consulte a observação acima).

Limitações conhecidas

  • Configuração do Túnel Forçado:

    • O túnel forçado requer uma configuração de intenção de roteamento específica.
    • Destination-NAT (DNAT) para soluções de segurança implantadas no hub de WAN Virtual não tem suporte para hubs de WAN Virtual configurados com o modo de roteamento de Internet do Túnel Forçado. A conexão de entrada para o tráfego DNAT é originária da Internet. No entanto, o modo de túnel forçado força o tráfego de retorno por meio de uma NVA ou no local. Esse padrão de roteamento resulta em roteamento assimétrico.
    • O tráfego local com destino ao endereço IP público de uma conta de armazenamento do Azure implantada na mesma região do Azure que o hub da WAN Virtual ignora a solução de segurança no hub. Para obter mais detalhes sobre o problema, consulte problemas conhecidos da WAN Virtual.
    • O local não pode anunciar rotas de túnel forçado mais específicas que 0.0.0.0/0. Anunciar rotas mais específicas, como 0.0.0.0/1 e 128.0.0.0/1 a partir das instalações locais, pode causar perda de tráfego de gerenciamento para o Firewall do Azure ou NVAs integrados ao Hub Virtual.
    • Quando uma rota 0.0.0.0/0 é configurada como uma rota estática em uma conexão de Rede Virtual, a configuração do próximo salto de bypass configurada na conexão de Rede Virtual é ignorada e será considerada pela WAN Virtual como bypass/igual. Isso significa que o tráfego destinado a endereços IP na conexão de Rede Virtual com a rota estática 0.0.0.0/0 configurada será inspecionado pelo dispositivo de segurança no Hub Virtual e roteado diretamente para o IP de destino na Rede Virtual spoke. O tráfego ignorará o IP do próximo salto configurado na rota estática. Para obter um exemplo detalhado desse comportamento de roteamento, consulte o comportamento de tráfego com bypass do próximo salto habilitado no documento bypass do próximo salto.
    • A rota padrão aprendida com o ExpressRoute não pode ser anunciada para outro circuito do ExpressRoute. Isso significa que você não pode configurar a WAN Virtual para rotear o tráfego da Internet de um circuito do ExpressRoute para outro circuito do ExpressRoute para saída.
    • Se não houver rota 0.0.0.0/0 aprendida no local ou uma rota estática configurada para apontar para uma NVA em uma Rede spoke, as rotas efetivas na solução de segurança exibem incorretamente 0.0.0.0/0 com próximo salto Internet. Como o tráfego da Internet não é encaminhado para a solução de segurança no hub quando o modo de túnel forçado é configurado sem uma rota 0.0.0.0/0 explícita aprendida no local ou configurada como uma rota estática, as rotas efetivas não devem conter uma rota 0.0.0.0/0.

  • Acesso Direto:

    • O tráfego local com destino ao endereço IP público de uma conta de armazenamento do Azure implantada na mesma região do Azure que o hub da WAN Virtual ignora a solução de segurança no hub. Para obter mais detalhes sobre essa limitação e possíveis mitigações, consulte problemas conhecidos da WAN Virtual.

  • Problemas no portal:

    • Quando um hub é configurado no modo Túnel Forçado, o Gerenciador de Firewall do Azure não exibe corretamente o Tráfego de Internet como protegido para conexões. Além disso, o Gerenciador de Firewall do Azure não permite que você altere o status seguro das conexões. Para modificar o status seguro, altere a configuração de habilitar a segurança da Internet ou a de propagar a rota padrão na conexão.

Acesso direto

Quando a WAN Virtual está configurada para rotear o tráfego diretamente para a Internet, a WAN Virtual aplica uma rota padrão estática 0.0.0.0/0 na solução de segurança com o próximo salto da Internet. Essa configuração é a única maneira de garantir que a solução de segurança encaminhe o tráfego diretamente para a Internet.

Captura de tela que mostra o acesso direto.

Essa rota padrão estática tem prioridade maior do que qualquer rota padrão aprendida no local, de uma NVA ou configurada como uma rota estática em uma Rede Virtual spoke. No entanto, prefixos mais específicos anunciados no local (0.0.0.0/1 e 128.0.0.0/1) são considerados de prioridade mais alta para tráfego da Internet devido à correspondência de prefixo mais longo.

Rotas efetivas

Se você tiver políticas de roteamento privado configuradas no hub da WAN Virtual, poderá exibir as rotas efetivas na próxima solução de segurança. Para implantações configuradas com acesso direto, as rotas efetivas na solução de segurança no próximo salto conterão a rota 0.0.0.0/0 com o próximo salto Internet.

Túnel forçado

Quando a WAN Virtual é configurada no modo de túnel forçado, a rota padrão de prioridade mais alta selecionada pelo hub wan virtual com base na preferência de roteamento de hub é usada pela solução de segurança para encaminhar o tráfego da Internet.

Captura de tela que mostra o túnel obrigatório.

O túnel forçado instrui a WAN Virtual a esperar que o tráfego da Internet seja roteado para um próximo salto designado em vez de diretamente para a Internet. Portanto, se não houver rotas padrão aprendidas dinamicamente no local ou configuradas como uma rota estática em conexões de Rede Virtual, o tráfego da Internet será descartado pela plataforma do Azure e não será encaminhado para a solução de segurança no hub.

A solução de segurança no hub da WAN Virtual não encaminhará o tráfego para a Internet diretamente como um caminho de backup.

Fontes com suporte da rota padrão

Observação

O 0.0.0.0/0 não se propaga através dos Hubs Virtuais. Isso significa que uma conexão local deve ser usada para Hubs Virtuais configurados para acesso à Internet por meio de túnel forçado.

A rota padrão pode ser aprendida com as seguintes fontes.

  • ExpressRoute
  • VPN site a site (dinâmica ou estática)
  • NVA no hub
  • NVA na filial
  • Rota estática em uma conexão de Rede Virtual (com a rota estática propagada definida como ON)

A rota padrão não pode ser configurada da seguinte maneira:

  • Rota estática na defaultRouteTable com próxima conexão de Rede Virtual

Rotas efetivas

Para implantações configuradas com túnel forçado, as rotas efetivas na solução de segurança do próximo salto conterão a rota 0.0.0.0/0 com o próximo salto como a rota padrão selecionada aprendida no local ou configurada como uma rota estática em uma conexão de Rede Virtual.

Configurações

As seções a seguir descrevem as configurações necessárias para rotear o tráfego da Internet no modo de túnel forçado ou de acesso direto.

Configuração de roteamento de WAN Virtual

Observação

O modo de roteamento de tráfego da Internet com túnel forçado está disponível apenas para hubs da WAN Virtual que utilizam intenção de roteamento com políticas de roteamento privado. Os hubs que não usam a intenção de roteamento ou usam políticas de roteamento da Internet só podem utilizar o modo de acesso direto.

A tabela a seguir resume a configuração necessária para rotear o tráfego usando os dois modos de roteamento de tráfego da Internet diferentes.

Mode Política de Roteamento Privado Prefixos adicionais Política de Roteamento da Internet
Acesso Direto Opcional Nenhum necessário Obrigatório
Túnel Forçado Obrigatório 0.0.0.0/0 Não

Etapas de configuração no portal de intenção de roteamento

Observação

O portal do Azure executa validações para garantir que as implantações estejam no modo de túnel forçado ou no modo de acesso direto. Isso significa que, se o modo de túnel forçado estiver habilitado, você não poderá adicionar uma política de Internet diretamente. Para migrar do modo de túnel forçado para o modo de acesso direto, execute as seguintes etapas na ordem: remover a rota estática 0.0.0.0/0 de prefixos adicionais, habilitar a política de Internet e salvar.

A seção a seguir descreve como configurar a intenção de roteamento para configurar o túnel forçado e o acesso direto usando a intenção de roteamento de WAN Virtual e as políticas do portal do Azure. Essas etapas se aplicam ao Firewall do Azure, às Soluções de Virtualização de Rede ou a soluções de software como serviço implantadas no hub de WAN Virtual.

  1. Navegue até o Hub Virtual implantado com uma solução de segurança.
  2. Em Roteamento, selecione Políticas de Roteamento e Intenção de Roteamento.

Túnel forçado

  1. Selecione sua solução de segurança preferida como o recurso de próximo salto para o tráfego privado. Não selecione nada para o tráfego da Internet. Captura de tela que mostra como selecionar o firewall.
  2. Adicione a rota 0.0.0.0/0 a prefixos adicionais. Captura de tela que mostra como adicionar a rota padrão a prefixos adicionais.
  3. Salve sua configuração.

Acesso direto

  1. Selecione sua solução de segurança preferida como o recurso de próximo salto para o tráfego da Internet. Opcionalmente, selecione sua solução de segurança preferida como o recurso de próximo salto para o tráfego privado. Captura de tela que mostra como selecionar ambas as políticas.
  2. Salve sua configuração.

Etapas de configuração no Gerenciador de Firewall do Azure

Observação

O portal do Azure executa validações para garantir que as implantações estejam no modo de túnel forçado ou no modo de acesso direto. Isso significa que, se o modo de túnel forçado estiver habilitado, você não poderá adicionar uma política de Internet diretamente. Para migrar do modo de túnel forçado para o modo de acesso direto, execute as seguintes etapas na ordem: remover a rota estática 0.0.0.0/0 de prefixos adicionais, habilitar a política de Internet e salvar.

A seção a seguir descreve como configurar a intenção de roteamento para configurar o túnel forçado e o acesso direto usando a intenção de roteamento de WAN Virtual e as políticas do Gerenciador de Firewall do Azure. Essas etapas se aplicam somente ao Firewall do Azure no hub de WAN Virtual.

  1. Navegue até o hub de WAN Virtual.
  2. Selecione o Firewall do Azure e o Gerenciador de Firewall em Segurança e selecione seu hub de WAN Virtual.
  3. Selecione a configuração de segurança em Configurações.

Túnel forçado

  1. Defina o Tráfego Privado para Enviar por meio do Firewall do Azure e Inter-hub para habilitado.
  2. Adicione a rota 0.0.0.0/0 a prefixos adicionais.
  3. Salve sua configuração.

Acesso direto

  1. Defina o Tráfego da Internet para Firewall do Azure e Inter-hub como habilitado. Opcionalmente, defina o Tráfego Privado para Enviar por meio do Firewall do Azure e do Inter hub como habilitado.
  2. Salve sua configuração.

Outras metodologias de configuração (Terraform, CLI, PowerShell, REST, Bicep)

As seguintes configurações JSON representam exemplos de estruturas de roteamento do Azure Resource Manager para WAN Virtual, configuradas para modos de acesso direto ou túnel forçado. Essas configurações JSON podem ser personalizadas para seu ambiente/configuração específica e usadas para derivar a configuração correta do Terraform, da CLI, do PowerShell ou do Bicep.

Túnel forçado

O exemplo a seguir de um JSON mostra um recurso de "routing intent" configurado com política de roteamento privado.

{
  "name": "<>",
  "id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
  "properties": {
    "routingPolicies": [
      {
        "name": "PrivateTraffic",
        "destinations": [
          "PrivateTraffic"
        ],
        "nextHop": "<security solution resource URI>"
      }
    ]
  },
  "type": "Microsoft.Network/virtualHubs/routingIntent"
}

O exemplo de JSON a seguir mostra uma configuração de tabela de rotas padrão de exemplo com rotas de política de roteamento privado e prefixo adicional (0.0.0.0/0) adicionado na tabela de rotas padrão.

{
  "name": "defaultRouteTable",
  "id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
  "properties": {
    "routes": [
      {
        "name": "_policy_PrivateTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "private_traffic",
        "destinationType": "CIDR",
        "destinations": [
          "0.0.0.0/0"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      }
    ],
    "labels": [
      "default"
    ]
  },
  "type": "Microsoft.Network/virtualHubs/hubRouteTables"
}

Acesso direto

O exemplo de JSON a seguir mostra um recurso de intenção de roteamento configurado com políticas de roteamento da Internet e privadas.

{
  "name": "<>",
  "id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
  "properties": {
    "routingPolicies": [
      {
        "name": "PrivateTraffic",
        "destinations": [
          "PrivateTraffic"
        ],
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "PublicTraffic",
        "destinations": [
          "Internet"
        ],
        "nextHop": "<security solution resource URI>"
      }
    ]
  },
  "type": "Microsoft.Network/virtualHubs/routingIntent"
}

O exemplo de JSON a seguir mostra uma configuração de tabela de rotas padrão de exemplo com rotas de política de roteamento privado e de Internet.

{
  "name": "defaultRouteTable",
  "id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
  "properties": {
    "routes": [
      {
        "name": "_policy_PrivateTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      },
      {
        "name": "_policy_PublicTraffic",
        "destinationType": "CIDR",
        "destinations": [
          "0.0.0.0/0"
        ],
        "nextHopType": "ResourceId",
        "nextHop": "<security solution resource URI>"
      }
    ],
    "labels": [
      "default"
    ]
  },
  "type": "Microsoft.Network/virtualHubs/hubRouteTables"
}

Configurar conexões para aprender a rota padrão (0.0.0.0/0)

Para conexões que precisam de acesso à Internet por meio da WAN Virtual, verifique se Habilitar a segurança da Internet ou propagar a rota padrão está definido como true. Essa configuração instrui a WAN Virtual a anunciar a rota padrão para essa conexão.

Observação especial para hubs de túnel forçado

Para hubs configurados no modo de túnel forçado, verifique se Habilitar a segurança da Internet ou propagar a rota padrão está definido como false na conexão local do ExpressRoute ou VPN e rede Virtual que anuncia a rota 0.0.0.0/0 para a WAN Virtual. Isso garante que a WAN Virtual aprenda corretamente a rota de 0.0.0.0/0 do ambiente local e também impede circuitos de roteamento inesperados.

Configurações da solução de segurança

A seção a seguir descreve as diferenças na configuração da solução de segurança para acesso direto e modos de roteamento de túnel forçado.

Acesso direto

A seção a seguir descreve as considerações de configuração necessárias para garantir que as soluções de segurança no hub de WAN Virtual possam encaminhar pacotes diretamente para a Internet.

Firewall do Azure:

  • Verifique se Source-NAT (SNAT) está ativado para todas as configurações de tráfego de rede não RFC1918.
  • Evite o esgotamento da porta SNAT garantindo que endereços IP públicos suficientes sejam alocados para sua implantação do Firewall do Azure.

Solução SaaS ou NVAs integradas:

As recomendações a seguir são recomendações de linha de base genéricas. Entre em contato com seu provedor para obter diretrizes completas.

  • Documentação do provedor de referência para garantir:
    • A tabela de rotas interna na solução NVA ou SaaS tem 0.0.0.0/0 configurado corretamente para encaminhar o tráfego da Internet para fora da interface externa.
    • O SNAT está configurado para as soluções NVA ou SaaS para todas as configurações de tráfego de rede não RFC 1918.
  • Verifique se endereços IP públicos suficientes são alocados para sua implantação de NVA ou SaaS para evitar o esgotamento da porta SNAT.

Túnel forçado

A seção a seguir descreve as considerações de configuração necessárias para garantir que as soluções de segurança no hub de WAN Virtual possam encaminhar pacotes associados à Internet para o local ou uma NVA que esteja anunciando a rota 0.0.0.0/0 para a WAN Virtual.

Firewall do Azure:

  • Configurar Source-NAT (SNAT).
    • Preservar o IP de origem original do tráfego da Internet: desative o SNAT para todas as configurações de tráfego.
    • Tráfego de internet via SNAT para o IP privado da instância de Firewall: ative o SNAT para intervalos de tráfego que não sejam RFC 1918.

Solução SaaS ou NVAs integradas:

As recomendações a seguir são recomendações de linha de base genéricas. Entre em contato com seu provedor para obter diretrizes completas.

  • Documentação do provedor de referência para garantir:
    • A tabela de rotas interna na solução NVA ou SaaS tem 0.0.0.0/0 configurado corretamente para encaminhar o tráfego da Internet para fora da interface interna.
    • A configuração da tabela de rotas interna garante que o tráfego de gerenciamento e o tráfego VPN/SDWAN sejam roteado para fora da Interace externa.
    • Configure o SNAT adequadamente dependendo se o IP de origem original do tráfego precisa ou não ser preservado.
  • Last updated on