Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O documento seguinte descreve diferentes padrões de roteamento que pode usar com a intenção de roteamento do Virtual WAN para inspecionar o tráfego destinado à Internet.
Contexto geral
A funcionalidade de roteamento por intenção da Virtual WAN permite-lhe enviar tráfego privado e de Internet para soluções de segurança implementadas no hub da Virtual WAN.
A tabela seguinte resume os dois modos diferentes que definem como a Virtual WAN inspeciona e encaminha o tráfego que se dirige à internet:
| Mode | Tráfego de Internet |
|---|---|
| Acesso direto | Encaminhado diretamente para a Internet após inspeção. |
| Túnel Forçado | Encaminhado por um próximo salto designado via a rota (rota 0.0.0.0/0 conhecida no local, de um Network Virtual Appliance (NVA) ou de uma WAN Virtual estática) após inspeção. Se não for aprendida nenhuma rota 0.0.0.0/0 a partir de instalações locais, de um NVA ou de uma rota estática numa ligação de Rede Virtual, o tráfego dirigido à Internet é bloqueado. |
Disponibilidade
Esta secção descreve a disponibilidade de acesso direto e modo túnel forçado . Certifica-te de que compreendes a diferença entre os dois modos e verifica a secção relacionada com a configuração que pretendes.
Acesso direto
A tabela seguinte mostra o estado de disponibilidade da segurança do acesso à Internet com acesso direto através da configuração da política de encaminhamento da Internet.
| Solução de segurança | Situação |
|---|---|
| Azure Firewall | Geralmente disponível nas clouds públicas e governamentais Azure. |
| Firewall NVA no hub Virtual WAN | Geralmente disponível em regiões onde existem Appliances Virtuais de Rede . |
| Software como serviço no Virtual WAN Hub | Geralmente disponível em regiões onde o NGFW de Palo Alto Cloud está disponível. |
Túnel forçado
A tabela seguinte mostra a disponibilidade de assegurar o acesso à Internet com tunelamento forçado através da configuração da política de encaminhamento privado.
Importante
A configuração de hubs WAN virtuais em modo túnel forçado é implementada no Azure Public. A implementação do Azure Government está em curso. Se tiver alguma dúvida sobre a disponibilidade regional, contacte virtual-wan-forced-tunnel@microsoft.com a sua equipa de contas Microsoft.
| Solução de segurança | Situação |
|---|---|
| Azure Firewall | Geralmente disponível no Azure Public. |
| Firewall NVA no hub Virtual WAN | Pré-visualização pública em regiões onde existem Appliances Virtuais de Rede disponíveis. |
| Software como serviço no Virtual WAN Hub | Pré-visualização pública nas regiões onde o Palo Alto Cloud NGFW está disponível. |
Limitações conhecidas
Configuração de túnel forçado:
- O túnel forçado requer uma configuração específica de intenção de rota.
- Destination-NAT (DNAT) para soluções de segurança implementadas no hub WAN Virtual não é suportada para hubs WAN Virtual configurados com o modo de encaminhamento de internet por túnel forçado. A ligação de entrada para o tráfego DNAT tem origem na Internet. No entanto, o modo de túnel forçado obriga o tráfego de retorno a passar pelas instalações locais ou por um NVA. Este padrão de encaminhamento resulta num encaminhamento assimétrico.
- O tráfego proveniente de locais internos com destino ao endereço IP público de uma conta de armazenamento Azure implementada na mesma região Azure do hub WAN Virtual ignora a solução de segurança no hub. Para mais detalhes sobre o problema, consulte Problemas conhecidos da Virtual WAN.
- O local não pode anunciar rotas forçadas de túnel mais específicas do que 0.0.0.0/0. Anunciar rotas mais específicas como 0.0.0.0/1 e 128.0.0.0/1 a partir das instalações locais pode causar interrupções no tráfego de gestão para o Azure Firewall ou NVAs integrados no Virtual Hub.
- Quando uma rota 0.0.0.0/0 é configurada como rota estática numa ligação de Rede Virtual, a definição de bypass do próximo hop configurada na ligação de Rede Virtual é ignorada e considerada definida como bypass/equals. Isto significa que o tráfego destinado a endereços IP dentro da conexão de Rede Virtual com a rota estática configurada 0.0.0.0/0 será inspecionado pelo dispositivo de segurança no Hub Virtual e encaminhado diretamente para o IP de destino na Rede Virtual secundária. O tráfego irá ignorar o IP do próximo salto configurado na rota estática. Para um exemplo detalhado deste comportamento de encaminhamento, veja comportamento de tráfego com Bypass Next Hop IP ativado no documento de bypass next hop IP .
- A rota padrão aprendida com o ExpressRoute não pode ser anunciada para outro circuito ExpressRoute. Isto significa que não pode configurar a Virtual WAN para encaminhar tráfego da Internet de um circuito ExpressRoute para outro circuito ExpressRoute para saída.
- Se não houver rotas 0.0.0.0/0 aprendidas nas instalações ou uma rota estática configurada para apontar para um NVA numa rede de espinha, as rotas efetivas na solução de segurança apresentam incorretamente 0.0.0.0/0 com próximo salto Internet. Como o tráfego da Internet não é encaminhado para a solução de segurança no hub quando o modo de túnel forçado é configurado sem um 0.0.0.0/0 explícito aprendido localmente ou configurado como uma rota estática, as rotas efetivas não devem conter uma rota 0.0.0.0/0.
Acesso Direto:
- O tráfego proveniente de locais internos com destino ao endereço IP público de uma conta de armazenamento Azure implementada na mesma região Azure do hub WAN Virtual ignora a solução de segurança no hub. Para mais detalhes sobre esta limitação e potenciais mitigações, veja Problemas conhecidos da Virtual WAN.
Problemas com o portal:
- Quando um hub está configurado em modo Túnel Forçado, o Azure Firewall Manager não apresenta corretamente o tráfego da Internet como seguro para ligações. Além disso, o Azure Firewall Manager não permite alterar o estado seguro das ligações. Para modificar o estado protegido, altere a opção de ativar segurança na internet ou propagar rota por defeito na ligação.
Acesso direto
Quando a Virtual WAN está configurada para encaminhar o tráfego diretamente para a Internet, a Virtual WAN aplica uma rota estática por defeito 0.0.0.0/0 na solução de segurança com Next Hop Internet. Esta configuração é a única forma de garantir que a solução de segurança encaminha o tráfego diretamente para a Internet.
Esta rota padrão estática tem prioridade superior a qualquer rota padrão aprendida localmente, de um NVA ou configurada como rota estática numa rede em estrela Virtual. No entanto, prefixos mais específicos anunciados localmente (0.0.0.0/1 e 128.0.0.0/1) são considerados de maior prioridade para tráfego de Internet devido à correspondência com o prefixo mais longo.
Rotas efetivas
Se tiver políticas de encaminhamento privado configuradas no seu hub Virtual WAN, pode visualizar as rotas efetivas na solução de segurança do próximo salto. Para implementações configuradas com acesso direto, as rotas efetivas na solução de segurança do próximo salto conterão a rota 0.0.0.0/0 com próximo salto Internet.
Túnel forçado
Quando a Virtual WAN está configurada em modo de túnel forçado, a rota padrão de maior prioridade selecionada pelo hub Virtual WAN com base na preferência de encaminhamento do hub é usada pela solução de segurança para encaminhar o tráfego de internet.
O tunelamento forçado instrui a Virtual WAN a esperar que o tráfego da Internet seja encaminhado para um próximo salto designado em vez de diretamente para a Internet. Portanto, se não existirem rotas por defeito aprendidas dinamicamente nas instalações ou configuradas como rotas estáticas em ligações de Rede Virtual, o tráfego de Internet será cortado pela plataforma Azure e não será encaminhado para a solução de segurança no hub.
A solução de segurança no hub WAN Virtual não encaminha o tráfego diretamente para a Internet como um caminho alternativo de backup.
Fontes suportadas da rota padrão
Observação
O 0.0.0.0/0 não se propaga através dos Hubs Virtuais. Isto significa que deve ser usada uma ligação local para os Hubs Virtuais configurados para acesso à Internet via túnel forçado.
A rota padrão pode ser aprendida a partir das seguintes fontes.
- ExpressRoute
- VPN site-to-site (dinâmica ou estática)
- NVA no centro
- NVA no raio
- Rota estática numa ligação de Rede Virtual (com rota estática de propagação definida para ON)
A rota padrão não pode ser configurada da seguinte forma:
- Rota estática na defaultRouteTable com o próximo salto através da ligação à Rede Virtual
Rotas efetivas
Para implementações configuradas com túnel forçado, as rotas efetivas na solução de segurança do próximo salto conterão a rota 0.0.0.0/0 com o próximo salto como rota padrão selecionada, aprendida on-premises ou configurada como rota estática numa ligação de Rede Virtual.
Configurações
As secções seguintes descrevem as configurações necessárias para encaminhar o tráfego da internet em modo de acesso direto ou túnel forçado.
Configuração de encaminhamento de WAN virtual
Observação
O modo de encaminhamento de tráfego de tráfego de Internet por túnel forçado está disponível apenas para hubs de WAN Virtuais que utilizam intenção de roteamento com políticas de encaminhamento privadas. Os hubs que não utilizam intenção de encaminhamento ou políticas de encaminhamento da internet só podem utilizar o modo de acesso direto.
A tabela seguinte resume a configuração necessária para encaminhar o tráfego usando os dois diferentes modos de encaminhamento de tráfego da Internet.
| Mode | Política de Roteamento Privado | Prefixos adicionais | Política de Encaminhamento da Internet |
|---|---|---|---|
| Acesso direto | Opcional | Não é necessário | Obrigatório |
| Túnel Forçado | Obrigatório | 0.0.0.0/0 | Não |
Etapas de configuração no portal de intenção de roteamento
Observação
O portal Azure realiza validações para garantir que as implementações estão em modo túnel forçado ou em modo de acesso direto. Isto significa que, se o modo de túnel forçado estiver ativado, não poderá adicionar uma política de Internet diretamente. Para migrar do modo de túnel forçado para o modo de acesso direto, execute os seguintes passos por ordem: remover a rota estática 0.0.0.0/0 de prefixos adicionais, ativar a política de internet e guardar.
A secção seguinte descreve como configurar a intenção de encaminhamento para configurar túnel forçado e acesso direto usando o portal Azure de intenção e políticas de encaminhamento Virtual WAN. Estes passos aplicam-se ao Azure Firewall, Network Virtual Appliances ou soluções de software-as-a-service implementadas no hub Virtual WAN.
- Navegue até ao seu Virtual Hub implementado com uma solução de segurança.
- Em Roteamento, selecione Intenção de Roteamento e Políticas de Roteamento.
Túnel forçado
- Selecione a sua solução de segurança preferida como recurso de salto seguinte para tráfego privado.
Não selecione nada para tráfego da Internet.
- Adicione a rota 0.0.0.0/0 a prefixos adicionais.
- Guarda a tua configuração.
Acesso direto
- Selecione a sua solução de segurança preferida como o recurso seguinte para o tráfego da Internet. Opcionalmente, selecione a sua solução de segurança preferida como recurso de salto seguinte para tráfego privado.
- Guarda a tua configuração.
Passos de configuração no Azure Firewall Manager
Observação
O portal Azure realiza validações para garantir que as implementações estão em modo túnel forçado ou em modo de acesso direto. Isto significa que, se o modo de túnel forçado estiver ativado, não poderá adicionar uma política de Internet diretamente. Para migrar do modo de túnel forçado para o modo de acesso direto, execute os seguintes passos por ordem: remover a rota estática 0.0.0.0/0 de prefixos adicionais, ativar a política de internet e guardar.
A secção seguinte descreve como configurar a intenção de roteamento para configurar túnel forçado e acesso direto usando a intenção de roteamento da Virtual WAN e as políticas do Azure Firewall Manager. Estes passos aplicam-se apenas ao Azure Firewall no hub Virtual WAN.
- Navegue até ao seu hub virtual WAN.
- Selecione Azure Firewall e Firewall Manager em Segurança e selecione o seu hub Virtual WAN.
- Selecione Configuração de Segurança em Definições.
Túnel forçado
- Defina o tráfego privado para enviar via Azure Firewall e Inter-hub como ativado.
- Adicione a rota 0.0.0.0/0 a prefixos adicionais.
- Guarda a tua configuração.
Acesso direto
- Defina Tráfego da Internet para Azure Firewall e Inter-hub como ativado. Opcionalmente, defina o Tráfego Privado para Enviar via Azure Firewall e o Inter-hub para ativado.
- Guarda a tua configuração.
Outras metodologias de configuração (Terraform, CLI, PowerShell, REST, Bicep)
As seguintes configurações JSON representam exemplos de representações de recursos do Azure Resource Manager de construções de roteamento de WAN Virtuais configuradas para acesso direto ou modos de túnel forçado. Estas configurações JSON podem ser personalizadas para o seu ambiente/configuração específica e usadas para derivar a configuração correta de Terraform, CLI, PowerShell ou Bicep.
Túnel forçado
O exemplo seguinte de JSON mostra um recurso de intenção de roteamento de exemplo configurado com política de encaminhamento privada.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
O exemplo seguinte de JSON mostra uma configuração de tabela de rotas padrão com rotas de política de roteamento privada e prefixo adicional (0.0.0.0/0) adicionado na tabela de rotas padrão.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Acesso direto
O exemplo seguinte de JSON mostra um recurso de intenção de roteamento de exemplo configurado tanto com política de internet como de encaminhamento privado.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
O exemplo seguinte de JSON mostra uma configuração de tabela de rotas padrão com rotas de políticas de encaminhamento privadas e de internet.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Configurar ligações para aprender a rota padrão (0.0.0.0/0)
Para ligações que necessitam de acesso à Internet via WAN Virtual, certifique-se de que a rota Enable Internet Security ou Propagate default está definida como true. Esta configuração instrui a Virtual WAN a anunciar a rota padrão para essa ligação.
Nota especial para hubs de túnel forçado
Para hubs configurados em modo de túnel forçado, certifique-se de que a opção Ativar segurança de internet ou propagar a rota padrão está definida como false no ExpressRoute ou a ligação VPN e Rede Virtual no local que anuncia a rota 0.0.0.0/0 para a WAN Virtual. Isto garante que o Virtual WAN aprende corretamente a rota 0.0.0.0/0 a partir das infraestruturas locais e também previne quaisquer loops de roteamento inesperados.
Configurações da solução de segurança
A secção seguinte descreve as diferenças na configuração da solução de segurança para os modos de acesso direto e de encaminhamento forçado por túnel.
Acesso direto
A secção seguinte descreve as considerações de configuração necessárias para garantir que as soluções de segurança no hub Virtual WAN possam encaminhar pacotes diretamente para a Internet.
Azure Firewall:
- Garantir que oSource-NAT (SNAT) está ativado para todas as configurações de tráfego de rede não RFC1918.
- Evite o esgotamento das portas SNAT garantindo que são alocados endereços IP públicos suficientes para a sua implementação do Azure Firewall.
Solução SaaS ou NVAs Integrados:
As seguintes recomendações são referências genéricas de base. Contacte o seu prestador de serviços para obter orientação completa.
- Documentação de referência do prestador para garantir:
- A tabela de rotas interna em NVA ou solução SaaS tem 0.0.0.0/0 devidamente configurada para encaminhar o tráfego da internet a partir da interface externa.
- O SNAT está configurado para as soluções NVA ou SaaS para todas as configurações de tráfego de rede não RFC 1918.
- Assegure que endereços IP públicos suficientes são alocados para a sua implantação NVA ou SaaS para evitar o esgotamento das portas SNAT.
Túnel forçado
A secção seguinte descreve as considerações de configuração necessárias para garantir que as soluções de segurança no hub Virtual WAN possam encaminhar pacotes ligados à internet para instalações locais ou para um NVA que anuncie a rota 0.0.0.0/0 para Virtual WAN.
Azure Firewall:
- Configurar Source-NAT (SNAT).
- Preserve o IP original de origem do tráfego da Internet: desligue o SNAT para todas as configurações de tráfego.
- Tráfego de internet SNAT para IP privado da instância de Firewall: Ative o SNAT para intervalos de tráfego que não são RFC 1918.
Solução SaaS ou NVAs Integrados:
As seguintes recomendações são referências genéricas de base. Contacte o seu prestador de serviços para obter orientação completa.
- Documentação de referência do prestador para garantir:
- A tabela de rotas interna na solução NVA ou SaaS tem 0.0.0.0/0 devidamente configurada para encaminhar o tráfego da Internet para fora da interface interna.
- A configuração interna da tabela de roteiros assegura que o tráfego de gestão e o tráfego VPN/SDWAN são encaminhados para o Interace externo.
- Configure o SNAT de forma adequada dependendo se o IP original de origem do tráfego precisa ou não de ser preservado.