Azure 防火牆強制通道

當您設定新的 Azure 防火牆時，您可以將所有網際網路繫結流量路由傳送至指定的下一個躍點，而不是直接前往網際網路。 例如，您可能有透過 BGP 公告的預設路由或使用使用者定義的路由 (UDR)，強制流量流向內部部署邊緣防火牆或其他網路虛擬裝置 (NVA)，以便在網路流量傳遞至網際網路之前先加以處理。 若要支援此設定，您建立的 Azure 防火牆必須啟用強制通道設定。 這是避免服務中斷的必要條件。

如果您有預先存在的防火牆，則必須在強制通道模式中停止/啟動防火牆，才能支援此設定。 停止/啟動防火牆可用於設定強制通道防火牆，而無需重新部署新的防火牆。 您應該在維修期間執行此動作，以避免中斷。 如需詳細資訊，請參閱 Azure 防火牆常見問題，以了解如何在強制通道模式中停止和重新啟動防火牆。

您可能偏好不直接向網際網路公開公用 IP 位址。 在此情況下，您能夠以強制通道模式部署 Azure 防火牆，而不需要公用 IP 位址。 此設定會建立管理介面，其具有 Azure 防火牆用於其作業的公用 IP 位址。 此公用 IP 位址是由 Azure 平台專用，無法用於任何其他用途。 租用戶資料路徑網路可以在不使用公用 IP 位址的情況下設定，且可以強制通道傳送網際網路流量至另一個防火牆或將其封鎖。

Azure 防火牆會針對傳至公用 IP 位址的所有輸出流量，提供自動 SNAT。 目的地 IP 位址為 IANA RFC 1918 的私人 IP 位址範圍時，Azure 防火牆不會進行 SNAT 轉譯。 當您直接輸出至網際網路時，此邏輯會正常運作。 不過，在啟用強制通道的情況下，網際網路繫結流量會透過 SNAT 處理傳送到 AzureFirewallSubnet 的其中一個防火牆私人 IP 位址。 這會隱藏來自內部部署防火牆的來源位址。 您可以藉由將 0.0.0.0/0 新增為私人 IP 位址範圍，將 Azure 防火牆設定為非 SNAT，而不管目的地 IP 位址為何。 使用此設定時，Azure 防火牆永遠不會直接輸出至網際網路。 如需詳細資訊，請參閱 Azure 防火牆 SNAT 私人 IP 位址範圍。

強制通道設定

您可以在防火牆建立期間啟用強制通道模式 (如下列螢幕擷取畫面所示)，以設定強制通道。 為了支援強制通道，服務管理流量會與客戶流量分開。 另一個名為 AzureFirewallManagementSubnet (最小子網路大小 /26) 的專用子網路必須搭配其本身相關聯的公用 IP 位址。 這個公用 IP 位址適用於管理流量。 它是由 Azure 平台專用，無法用於任何其他用途。

在強制通道模式中，Azure 防火牆服務會基於其作業目的而納入管理子網路 (AzureFirewallManagementSubnet)。 根據預設，服務會將系統提供的路由表關聯至管理子網路。 這個子網路唯一允許的路由是網際網路的預設路由，且必須停用傳播閘道路由。 建立防火牆時，避免將客戶路由表關聯到管理子網路。

在此設定中，AzureFirewallSubnet 現在可以包含任何內部部署防火牆或 NVA 的路由，以在傳遞至網際網路之前處理流量。 如果已在此子網路啟用傳播閘道路由，您也可以透過 BGP 將這些路由發佈到 AzureFirewallSubnet。

例如，您可以在 AzureFirewallSubnet 上建立預設路由，並以您的 VPN 閘道作為下一個躍點，以進入您的內部部署裝置。 或者，您可以啟用傳播閘道路由，以取得通往內部部署網路的適當路由。

如果您啟用強制通道，網際網路繫結流量會透過 SNAT 處理傳送到 AzureFirewallSubnet 的其中一個防火牆私人 IP 位址，並隱藏來自內部部署防火牆的來源。

如果您的組織使用私人網路的公用 IP 位址範圍，Azure 防火牆會將流量 SNAT 轉譯到 AzureFirewallSubnet 其中一個防火牆私人 IP 位址。 然而，您可以將 Azure 防火牆設定為不要 SNAT 公用 IP 位址範圍。 如需詳細資訊，請參閱 Azure 防火牆 SNAT 私人 IP 位址範圍。

一旦您設定 Azure 防火牆以支援強制通道，就無法復原設定。 如果您移除防火牆上的所有其他 IP 設定，系統也會移除管理 IP 設定，並解除配置防火牆。 指派給管理 IP 設定的公用 IP 位址無法移除，但是您可以指派不同的公用 IP 位址。

下一步

• 教學課程：使用 Azure 入口網站在混合式網路中部署及設定 Azure 防火牆