Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В следующем документе описаны различные шаблоны маршрутизации, которые можно использовать с намерением маршрутизации виртуальной глобальной сети для проверки трафика, привязанного к Интернету.
Предыстория
Намерение маршрутизации виртуальной глобальной сети позволяет отправлять частный и интернет-трафик в решения безопасности, развернутые в концентраторе виртуальной глобальной сети.
В следующей таблице приведены два разных режима, определяющие, как виртуальная глобальная сеть проверяет и направляет трафик, связанный с Интернетом:
| Mode | Интернет-трафик |
|---|---|
| Прямой доступ | Перенаправлены непосредственно в Интернет после проверки. |
| Принудительное туннелирование | Перенаправленный через назначенный следующий прыжок (0.0.0.0/0/0 маршрут, полученный из локальной среды, из сетевого виртуального устройства (NVA) или статического маршрута виртуальной глобальной сети) после проверки. Если маршрут 0.0.0.0/0 не получен из локальной сети, NVA или статического маршрута на подключении к виртуальной сети, трафик, предназначенный для Интернета, блокируется. |
Доступность
В этом разделе описывается доступность прямого доступа и режим принудительного туннеля . Убедитесь, что вы понимаете разницу между двумя режимами и проверьте раздел, связанный с предполагаемой конфигурацией.
Прямой доступ
В следующей таблице показано состояние доступности для защиты доступа к Интернету с прямым доступом путем настройки политики маршрутизации Интернета.
| Решение для обеспечения безопасности | Состояние |
|---|---|
| Azure Firewall | Общедоступно в Azure Public и Azure для государственных организаций. |
| Брандмауэр NVA в концентраторе виртуальной глобальной сети | Общедоступен в регионах, где доступны сетевые виртуальные устройства . |
| Программное обеспечение как услуга в виртуальной глобальной сети | В общем доступе в регионах, где доступен Palo Alto Cloud NGFW. |
Принудительное туннелирование
В следующей таблице показано состояние доступности защиты доступа к Интернету с использованием принудительного туннелирования путем настройки политики частной маршрутизации.
| Решение для обеспечения безопасности | Состояние |
|---|---|
| Azure Firewall | Доступно в общественном облаке Azure и Azure для государственных учреждений. |
| Брандмауэр NVA в концентраторе виртуальной глобальной сети | Общедоступная предварительная версия в регионах, где доступны сетевые виртуальные устройства . |
| Программное обеспечение как услуга в виртуальной глобальной сети | Общедоступная предварительная версия в регионах, где доступен Palo Alto Cloud NGFW. |
Известные ограничения
Конфигурация принудительного туннеля:
- Принудительное туннелирование требует определенной конфигурации намерения маршрутизации.
- Destination-NAT (DNAT) для решений безопасности, развернутых в концентраторе виртуальной глобальной сети, не поддерживается для концентраторов виртуальной глобальной сети, настроенных в режиме маршрутизации принудительного туннеля. Входящее подключение для трафика DNAT происходит из Интернета. Однако принудительный режим туннелирования направляет возвращаемый трафик через локальную систему или NVA. Этот шаблон маршрутизации приводит к асимметричной маршрутизации.
- Трафик из локальной среды, предназначенный для общедоступного IP-адреса учетной записи хранения Azure, развернутой в том же регионе Azure, что и концентратор виртуальной глобальной сети, обходит решение безопасности в концентраторе. Дополнительные сведения о проблеме см. в разделе известных проблем виртуальной глобальной сети.
- Локальные сети не могут объявлять более специфичные маршруты принудительных туннелей, чем 0.0.0.0/0. Объявление более точных маршрутов, таких как 0.0.0.0/1 и 128.0.0.0/1 из локальной сети, может привести к заглушению трафика управления для брандмауэра Azure или интегрированных виртуальных сетевых устройств (NVAs) в виртуальном концентраторе.
- Если маршрут 0.0.0.0/0 задан как статический маршрут для подключения виртуальной сети, параметр обхода следующего прыжка, настроенный на подключении виртуальной сети, игнорируется и считается установленным в обход/равно. Это означает, что трафик, предназначенный для IP-адресов в соединении виртуальной сети с настроенным статическим маршрутом 0.0.0.0/0, будет проверяться устройством безопасности в виртуальном концентраторе и направляться непосредственно в целевой IP-адрес в конечной виртуальной сети. Трафик будет обходить IP-адрес следующего прыжка, настроенный в статическом маршруте. Подробный пример этого поведения маршрутизации см. в разделе поведение трафика с включенным обходом следующего прыжка IP в документе обход следующего прыжка IP.
- Маршрут по умолчанию, полученный из ExpressRoute, нельзя объявлять другому каналу ExpressRoute. Это означает, что вы не можете настроить виртуальную глобальную сеть для маршрутизации трафика Через Интернет из одного канала ExpressRoute в другой канал ExpressRoute для исходящего трафика.
- Если маршрут 0.0.0.0/0 не получен из локальной сети или статический маршрут не настроен для указания на NVA в периферийной сети, то в решении безопасности действующие маршруты неправильно отображают 0.0.0.0/0 с указанием следующего перехода на Интернет. Так как интернет-трафик не перенаправляется в решение безопасности на узле, если режим принудительного туннелирования настроен без явного маршрута 0.0.0.0/0, полученного из локальной сети, или не настроен как статический маршрут, действующие маршруты не должны содержать маршрут 0.0.0.0/0.
Прямой доступ:
- Трафик из локальной среды, предназначенный для общедоступного IP-адреса учетной записи хранения Azure, развернутой в том же регионе Azure, что и концентратор виртуальной глобальной сети, обходит решение безопасности в концентраторе. Дополнительные сведения об этом ограничении и потенциальных устранении рисков см. в статье известные проблемы виртуальной глобальной сети.
Проблемы с порталом:
- Если концентратор настроен в режиме принудительного туннеля, диспетчер брандмауэра Azure неправильно отображает интернет-трафик как защищенный для подключений. Кроме того, диспетчер брандмауэра Azure не позволяет изменять защищенное состояние подключений. Чтобы изменить защищенное состояние, измените параметр "Включить интернет-безопасность " или распространить параметр маршрута по умолчанию для подключения.
Прямой доступ
Если Виртуальная WAN настроена для маршрутизации трафика непосредственно в Интернет, Виртуальная WAN применяет статический маршрут по умолчанию 0.0.0.0/0 в решении безопасности с назначением следующего узла Internet. Эта конфигурация является единственным способом, чтобы гарантировать маршрутизацию трафика непосредственно в Интернет через решение безопасности.
Этот статический маршрут по умолчанию имеет более высокий приоритет , чем любой маршрут по умолчанию, полученный из локальной сети, из NVA или настроенный как статический маршрут в периферийной виртуальной сети. Однако более конкретные префиксы, объявленные из локальной среды (0.0.0.0/1 и 128.0.0.0/1), имеют более высокий приоритет для интернет-трафика из-за правила наиболее длинного соответствия префикса.
Действующие маршруты
Если в концентраторе виртуальной глобальной сети настроены частные политики маршрутизации, вы можете просмотреть эффективные маршруты в решении безопасности следующего узла. Для развертываний, настроенных с прямым доступом, эффективные маршруты в решении безопасности следующего хопа будут содержать маршрут 0.0.0.0/0 с next hop Internet.
Принудительное туннелирование
Если виртуальная глобальная сеть настроена в режиме принудительного туннеля, самый высокий приоритет маршрута по умолчанию, выбранный концентратором виртуальной глобальной сети на основе предпочтения маршрутизации концентратора , используется решением безопасности для пересылки интернет-трафика.
Принудительное туннелирование указывает виртуальной глобальной сети ожидать, что интернет-трафик будет маршрутизироваться к назначенному следующему узлу, а не напрямую в Интернет. Таким образом, если маршруты по умолчанию не используются динамически из локальной среды или настроены как статический маршрут для подключений к виртуальной сети, интернет-трафик будет удален платформой Azure и не перенаправляется в решение безопасности в концентраторе.
Решение безопасности в концентраторе виртуальной глобальной сети не перенаправит трафик в Интернет непосредственно в качестве пути резервного копирования.
Поддерживаемые источники маршрута по умолчанию
Замечание
0.0.0.0/0 не распространяется по виртуальным центрам. Это означает, что локальное подключение должно использоваться для виртуальных центров, настроенных для доступа к Интернету через принудительный туннель.
Маршрут по умолчанию можно узнать из следующих источников.
- ExpressRoute
- VPN типа "сеть — сеть" (динамическая или статическая)
- NVA в концентраторе
- NVA в спице
- Статический маршрут на подключении виртуальной сети (с распространением статического маршрута установленным в ON)
Маршрут по умолчанию не может быть настроен следующим образом:
- Статический маршрут в defaultRouteTable с следующим узлом через подключение виртуальной сети
Действующие маршруты
Для развертываний, настроенных с принудительным туннелированием, действующие маршруты в решении безопасности следующего узла будут содержать маршрут 0.0.0.0/0 со следующим узлом в качестве выбранного маршрута по умолчанию, полученного из локальной сети или заданного как статический маршрут для подключения к виртуальной сети.
Configurations
В следующих разделах описаны необходимые конфигурации для маршрутизации интернет-трафика в режиме прямого доступа или принудительного туннеля.
Конфигурация маршрутизации виртуальной глобальной сети
Замечание
Режим маршрутизации принудительного туннеля интернет-трафика доступен только для концентраторов виртуальной WAN, использующих маршрутизационное намерение с частными политиками маршрутизации. Центры, которые не применяют маршрутизацию с намерением или используют интернетные политики маршрутизации, могут работать только в режиме прямого доступа.
В следующей таблице приведены сведения о конфигурации, необходимой для маршрутизации трафика с помощью двух разных режимов маршрутизации трафика в Интернете.
| Mode | Политика частной маршрутизации | Дополнительные префиксы | Политика маршрутизации интернета |
|---|---|---|---|
| Прямой доступ | Необязательно | Не требуется | Обязательно |
| Принудительное туннелирование | Обязательно | 0.0.0.0/0 | нет |
Этапы настройки на портале намерений маршрутизации
Замечание
Портал Azure выполняет проверки, чтобы обеспечить развертывание в режиме принудительного туннелирования или в режиме прямого доступа. Это означает, что если режим принудительного туннеля включен, вы не сможете напрямую добавить сетевую политику. Чтобы перейти из режима принудительного туннеля в режим прямого доступа, выполните следующие действия: удалите статический маршрут 0.0.0.0/0 из дополнительных префиксов, включите политику Интернета и сохраните ее.
В следующем разделе описывается, как задать намерение маршрутизации для конфигурации принудительного туннеля и прямого доступа с использованием намерений маршрутизации и политик виртуальной сети в портале Azure. Эти действия применяются к брандмауэру Azure, сетевым виртуальным устройствам или решениям программного обеспечения как службы, развернутых в концентраторе виртуальной глобальной сети.
- Перейдите в виртуальный концентратор, развернутый с помощью решения для обеспечения безопасности.
- В разделе "Маршрутизация" выберите "Намерения маршрутизации" и "Политики маршрутизации".
Принудительное туннелирование
- Выберите предпочтительное решение безопасности в качестве следующего узла для частного трафика.
Не выбирайте ничего для интернет-трафика.
- Добавьте маршрут 0.0.0.0/0 в дополнительные префиксы.
- Сохраните конфигурацию.
Прямой доступ
- Выберите предпочтительное средство безопасности в качестве посредника следующего перехода для интернет-трафика. При необходимости выберите предпочтительное решение по безопасности в качестве следующего хопа для частного трафика.
- Сохраните конфигурацию.
Действия по настройке в Диспетчере брандмауэра Azure
Замечание
Портал Azure выполняет проверки, чтобы обеспечить развертывание в режиме принудительного туннелирования или в режиме прямого доступа. Это означает, что если режим принудительного туннеля включен, вы не сможете напрямую добавить сетевую политику. Чтобы перейти из принудительного режима туннеля в режим прямого доступа, выполните следующие действия: удалите статический маршрут 0.0.0.0/0 из дополнительных префиксов, включите политику Интернета и сохраните ее.
В следующем разделе описывается настройка намерения маршрутизации для настройки принудительного туннеля и прямого доступа с помощью намерения маршрутизации виртуальной глобальной сети и политик Диспетчера брандмауэра Azure. Эти действия применяются только к брандмауэру Azure в концентраторе виртуальной глобальной сети.
- Перейдите к концентратору виртуальной глобальной сети.
- Выберите брандмауэр Azure и диспетчер брандмауэра в разделе "Безопасность " и выберите концентратор виртуальной глобальной сети.
- Выберите конфигурацию безопасности в разделе "Параметры".
Принудительное туннелирование
- Установите для частного трафика настройку Отправлять через брандмауэр Azure и активируйте межузловое подключение.
- Добавьте маршрут 0.0.0.0/0 в дополнительные префиксы.
- Сохраните конфигурацию.
Прямой доступ
- Установите Интернет-трафик на брандмауэр Azure и межузловое взаимодействие в состояние включено. При необходимости установите для частного трафика параметр Отправка через брандмауэр Azure и включите Меж-хабовое соединение.
- Сохраните конфигурацию.
Другие методологии конфигурации (Terraform, CLI, PowerShell, REST, Bicep)
Следующие конфигурации JSON представляют примеры представлений ресурсов Azure Resource Manager для конструкций маршрутизации виртуальной глобальной сети, настроенных для прямого доступа или принудительного туннелирования. Эти конфигурации JSON можно настроить для конкретной среды или конфигурации и использовать для получения правильной конфигурации Terraform, CLI, PowerShell или Bicep.
Принудительное туннелирование
В следующем примере JSON показан пример ресурса намерения маршрутизации, настроенного с помощью политики частной маршрутизации.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
В следующем примере JSON показана пример конфигурации таблицы маршрутов по умолчанию с маршрутами политики частной маршрутизации и дополнительным префиксом (0.0.0.0/0)), добавленным в таблицу маршрутов по умолчанию.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Прямой доступ
В следующем примере JSON показан пример ресурса намерения маршрутизации, настроенный как в Интернете, так и в политике частной маршрутизации.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
В следующем примере JSON показана конфигурация таблицы маршрутизации по умолчанию с маршрутами по умолчанию, включающими как частные маршруты, так и маршруты интернет-политики маршрутизации.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
Настройте подключения для изучения маршрута по умолчанию (0.0.0.0/0)
Для подключений, которым требуется доступ к Интернету через виртуальную глобальную сеть, убедитесь, что для параметра "Включить интернет-безопасность " или распространить маршрут по умолчанию имеет значение true. Эта конфигурация предписывает виртуальной глобальной сети объявлять маршрут по умолчанию для этого подключения.
Специальное примечание для хабов принудительного туннелирования
Для концентраторов, настроенных в режиме принудительного туннеля, убедитесь, что для параметра "Включить интернет-безопасность " или " Распространение маршрута по умолчанию " задано значение false в локальном подключении ExpressRoute или VPN и виртуальной сети, которое рекламирует маршрут 0.0.0.0/0 в виртуальную глобальную сеть. Это гарантирует, что виртуальная глобальная сеть правильно изучает маршрут 0.0.0.0/0 из локальной среды, а также предотвращает непредвиденные циклы маршрутизации.
Конфигурации решений безопасности
В следующем разделе описываются различия в конфигурации решения безопасности для прямого доступа и режимов принудительной маршрутизации туннеля.
Прямой доступ
В следующем разделе описываются рекомендации по настройке, необходимые для обеспечения безопасности решений в концентраторе виртуальной глобальной сети, которые могут напрямую пересылать пакеты в Интернет.
Брандмауэр Azure:
- Убедитесь, чтоSource-NAT (SNAT)включен для всех конфигураций сетевого трафика, отличных от RFC1918.
- Избегайте исчерпания портов SNAT, гарантируя, что для развертывания брандмауэра Azure выделены достаточные общедоступные IP-адреса.
Решение SaaS или интегрированные NVAs:
Следующие рекомендации являются универсальными базовыми рекомендациями. Обратитесь к поставщику для получения полных рекомендаций.
- Документация по поставщику ссылок для обеспечения:
- Внутренняя таблица маршрутов в решении NVA или SaaS имеет правильно настроенную версию 0.0.0.0/0 для перенаправления интернет-трафика из внешнего интерфейса.
- SNAT настроен для решений NVA или SaaS для всех конфигураций сетевого трафика, отличных от RFC 1918.
- Убедитесь, что для развертывания NVA или SaaS достаточно общедоступных IP-адресов, чтобы избежать нехватки портов SNAT.
Принудительное туннелирование
В следующем разделе описываются аспекты настройки, необходимые для обеспечения безопасности решений в концентраторе Virtual WAN, которые могут перенаправлять пакеты, предназначенные для Интернета, в локальную сеть или NVA, которая рекламирует маршрут 0.0.0.0/0 в Virtual WAN.
Брандмауэр Azure:
- Настройте Source-NAT (SNAT).
- Сохраните исходный IP-адрес интернет-трафика: отключите SNAT для всех конфигураций трафика.
- Интернет-трафик SNAT в частный IP-адрес экземпляра брандмауэра: включите SNATдля диапазонов трафика, отличных от RFC 1918.
Решение SaaS или интегрированные NVAs:
Следующие рекомендации являются универсальными базовыми рекомендациями. Обратитесь к поставщику для получения полных рекомендаций.
- Документация по поставщику ссылок для обеспечения:
- Внутренняя таблица маршрутов в решении NVA или SaaS имеет правильно настроенную версию 0.0.0.0/0 для перенаправления интернет-трафика из внутреннего интерфейса.
- Конфигурация внутренней таблицы маршрутов гарантирует, что управляющий трафик и трафик VPN/SDWAN направляются через внешний интерфейс.
- Настройте SNAT соответствующим образом в зависимости от необходимости сохранения исходного ИСХОДНОго IP-адреса трафика.