Arquitectura de referencia en Azure con NIC dual


Este artículo detalla cómo implementar Sophos XG Firewall DMZ en Microsoft Azure usando una arquitectura de NIC dual. Esta arquitectura tiene la ventaja de poder utilizar Sophos Synchronized Security.

La DMZ se puede implementar como una DMZ privada o una DMZ pública:

  • Una DMZ privada es el nivel de seguridad que maneja la conectividad con el mundo exterior, es decir, Internet.
  • Una DMZ pública es el nivel de seguridad que maneja la conectividad híbrida.

Microsoft recomienda que las DMZ privadas y públicas estén separadas.



Prerrequisitos

  • Suscripción a Microsoft Azure.
  • Número de serie de Sophos XG Firewall obtenido de un socio de Sophos o de Sophos Sales para BYOL (Traiga su propia licencia). Este número de serie no es necesario para PAYG (Pay As You Go). También puede registrarse para obtener un número de serie de evaluación gratis .
  • Una cuenta existente de Sophos ID .
  • Una cuenta de Sophos Central con licencias avanzadas de Sophos Central Server. Puedes registrarte para una prueba gratuita.

Implementar el firewall de Sophos XG en Azure

Sophos XG Firewall se puede implementar en Azure utilizando diferentes métodos: a través del mercado de Azure , desde la página de github de Sophos Iaas , usando Powershell, usando la CLI de Azure, usando una plantilla ARM. Para esta implementación, se utiliza el mercado de Azure, pero un escenario de implementación diferente puede ser más adecuado para su entorno. Por ejemplo, si está buscando automatizar su proceso de implementación, utilizando una plantilla ARM, Powershell o Azure CLI puede ser más adecuado para su escenario.

Hay dos opciones de licencia disponibles para el Firewall XG en Azure: BYOL y PAYG. Más información sobre las licencias están disponibles en la  página de preguntas frecuentes .

En esta tarea, usamos la opción BYOL, pero también puede seleccionar la opción PAYG. Como parte de este proceso, creamos un nuevo grupo de recursos para usar como un contenedor para todos los recursos que se crearán, esto es para que podamos eliminar los recursos fácilmente después.

Vaya al Portal de Azure  y haga clic en Nuevo en la esquina superior izquierda. en la nueva hoja, escriba Sophos y presione enter.

En la  hoja de Everything , haga clic en Sophos XG Firewall .

En la hoja de Sophos XG Firewall , haga clic en Crear .

En la  hoja Crear cortafuegos de Sophos XG , en la sección Conceptos básicos , configure lo siguiente:

  • Nombre de VM : sophosxgAzureFw01.
  • Contraseña : ingrese una contraseña compleja (tome nota de esta contraseña).
  • Confirmar contraseña : confirme la contraseña compleja que se ingresó anteriormente.
  • Suscripción : seleccione la suscripción a la que desea asociar este recurso.
  • Grupo de recursos : seleccione Crear nuevo y elija un nombre como sophosxg-poc-azure-rg  (siéntase libre de seguir su convención de nombres preferida).
  • Ubicación : seleccione la región de Azure en la que desea implementar el recurso.
  • Haga clic en Aceptar .

 

En la  hoja Crear cortafuegos de Sophos XG , en la  sección Detalles de la instancia Configurar detalles de la instancia , configure lo siguiente:

  • Tipo de licencia : BYOL o PAYG (debe tener un número de serie existente para poder activar una implementación de BYOL).
  • Tamaño de la máquina virtual : haga clic en la flecha derecha para expandir, esto abre la  hoja Elegir un tamaño . Haga clic en D2_V2 Standard  y haga clic en Seleccionar  para continuar. Puede consultar  Comprar Sophos en Azure  para seleccionar cualquiera de los tamaños de VM admitidos.

  • Red virtual : haga clic en la flecha derecha para expandir, esto abrirá el  blade de red virtual Elegir . Haga clic en Crear nuevo , en Crear hoja de red virtual , configure lo siguiente:
    •  Nombre : sophosxg-azure-vnet.
    • Espacio de direcciones : 10.10.0.0/16 (siéntase libre de usar su esquema de dirección IP preferido).
    • Haga clic en Aceptar .

       

  • Subredes : haga clic en Configurar subredes  para expandir la hoja, en la  hoja de subredes , configure lo siguiente:
    • Nombre de subred WAN : sophosxg-public-dmz-frontend.
    • Prefijo de dirección de subred WAN : 10.10.254.0/24.
    • Nombre de subred LAN : sophosxg-public-dmz-backend.
    • Prefijo de dirección de subred LAN : 10.10.1.0/24.
    • Haga clic en Aceptar .

  • Nombre de IP pública : haga clic en (nueva) IP pública , en la  hoja Crear dirección IP pública , configure lo siguiente:
    • Nombre : sophosxgAzureFw01-pip.
    • Asignación : Estática.
    • Haga clic en Aceptar .

  • Nombre de dominio : ingrese un nombre de dominio único (este nombre debe ser único en todo el espacio de nombres de dominio <región azul> .cloudapp.azure.com ).
  • Cuenta de almacenamiento : haga clic en Configurar los ajustes necesarios  para expandir el nodo, en la  hoja Crear cuenta de almacenamiento , configure lo siguiente:
    • Nombre : sophosxgpocstoreXXXX (agregue un número aleatorio donde dice XXXX para tener un nombre único en todo el espacio de nombres del dominio core.windows.net ).
    • Rendimiento : Estándar.
    • Replicación : almacenamiento localmente redundante (LRS).
    • Haga clic en Aceptar .

  • En la hoja de resumen , asegúrese de que la validación haya pasado y haga clic en Aceptar . Si se produce un error, revise el mensaje de error y vuelva al nodo necesario para solucionar el problema.

  • En la  hoja Crear , revise los términos de uso, marque la opción para compartir su contacto con el proveedor y haga clic en Crear  para comenzar la implementación.

  • Opcionalmente, haga clic en la esquina superior derecha del botón de notificación, luego haga clic en Implementación en curso  para ver y monitorear la implementación.

  • Espere hasta que vea la  notificación de Implementaciones exitosas antes de continuar y haga clic en Ir al grupo de recursos .

  • Verifique que tiene 8 elementos en el grupo de recursos.

Configurar el cortafuegos de Sophos XG

Después de implementar el Firewall XG, debe activarse y sincronizarse su licencia (para la implementación de BYOL) antes de que podamos comenzar a configurar sus funciones de seguridad y redes. 

Activar el cortafuegos de Sophos XG

Los siguientes pasos se realizarán solo si seleccionó el modelo de implementación BYOL. No es necesario para el modelo de implementación PAYG.

En el Portal de Azure , haga clic en  Todos los recursos en el panel izquierdo, seleccione  sophosxgAzureFw01  y haga clic en Descripción general  para anotar la dirección IP pública del Firewall XG.

Abra una nueva pestaña del navegador y escriba https: // <dirección ip pública>: 4444 , esto abre la página WebAdmin del Sophos XG Firewall implementado anteriormente (sophosxgAzureFw01). Ya que está accediendo a la interfaz de usuario de Administración de dispositivos por primera vez, verá una alerta de seguridad, esto indica que el software requiere un certificado, haga clic en el enlace Avanzado o Continuar (la alerta de pantalla varía según su navegador).

 

Ingrese el nombre de usuario admin y la contraseña establecida anteriormente en la implementación.

Nota: asegúrese de acceder a esto desde una red que permita el puerto TCP 4444 saliente a Internet.

Una vez que haya iniciado sesión correctamente, siga a  Sophos XG Firewall: cómo registrar y activar su XG Firewall después de una instalación nueva  para completar el proceso de activación.

Realizar la configuración básica en el Firewall XG.

Redes tradicionales vs redes definidas por software

La mayoría de los ingenieros y arquitectos de redes / sistemas están familiarizados con las arquitecturas de redes tradicionales que requieren que las diferentes redes que estarán protegidas terminen en una interfaz de red física o lógica detrás del Firewall de Sophos XG. Si bien esta arquitectura es posible con el dispositivo Sophos XG en la nube pública de Azure (consulte la documentación y los videos de Sophos sobre cómo configurar esto), esta arquitectura no es escalable y limita la capacidad de las organizaciones para aprovechar las ventajas de adoptar Una estrategia de nube pública como la agilidad y la automatización. En esta tarea, completaremos lo siguiente:

  • Actualice el firmware del dispositivo.
  • Habilitar el registro en el firewall XG.
  • Modifique la regla de conmutación por error de la puerta de enlace en el Firewall XG para evitar que aparezca el mensaje de error de la interfaz en el tablero.
  • Modifique el grupo de seguridad de red predeterminado de la NIC de WAN para permitir todo el tráfico del rango CIDR que se utilizará en este ejemplo.

Actualice el firmware de Sophos XG Firewall siguiendo las instrucciones sobre Cómo actualizar el firmware automáticamente .

Habilite el registro en el Firewall XG (lo necesitamos para la verificación posterior de diferentes funciones. También es recomendable configurar syslog en el XG para garantizar que los registros se almacenan de forma centralizada).

  • Inicie sesión en la interfaz gráfica de usuario (GUI) del firewall de sophosxgAzureFw01 en https: // <dirección IP pública>: 4444
  • Vaya a  Servicios del sistema> Configuración de registro para seleccionar todo y haga clic en Aplicar .

  •  Haga clic en Aceptar cuando se le solicite. 

 

Modifique la regla de conmutación por error de la puerta de enlace en el Firewall XG. Si esto no se completa, puede recibir una alerta similar como se muestra en la imagen a continuación, en el panel de control de XG. Este paso permitirá la supervisión ICMP de la puerta de enlace predeterminada, ya que los enrutadores predeterminados de Azure no se pueden hacer ping. Para obtener más información sobre los enrutadores de Azure, consulte las  preguntas más frecuentes (Preguntas frecuentes) de la red virtual de Azure .

  • Vaya a  Enrutamiento> Puertas de enlace y edite la puerta de enlace IPv4.

  • Haga clic en Editar en la sección Reglas de conmutación por  error .

  • Modifique el protocolo de PING a TCP , el puerto de * a 53  y la dirección IP a 8.8.8.8 (puede usar cualquier host o puerto que desee para monitorear como registro cuando sea accesible).

  • Haga clic en Aceptar cuando aparezca el mensaje para guardar la nueva regla de conmutación por error.

  • Vuelva al panel de la GUI para verificar el estado de las interfaces, que ahora debería ser verde.

 

Modifique el grupo de seguridad de red predeterminado de la NIC WAN del Firewall XG para permitir el tráfico de administración solo desde direcciones IP de confianza. Esto es para bloquear aún más el aseguramiento de que el tráfico sea forzado a enrutarse a través del Firewall XG para su inspección.

  • Desde el Portal de Azure, vaya a Todos los recursos> Grupo de seguridad> Reglas de seguridad de entrada y haga clic en la regla allow_webui  para editarla.

  • En la hoja allow_webui , realice las siguientes modificaciones:
    • Fuente : cambio de cualquiera a direcciones IP .
    • Rango de dirección IP de origen : ingrese su rango de IP público de confianza en formato CIDR (por ejemplo, 1.1.1.1/32).
    • Deja las otras configuraciones como están.
    • Haga clic en Guardar .

  • Haga clic en allow_ssh  para editar la regla y realizar las siguientes modificaciones:
    • Fuente : cambio de cualquiera a direcciones IP .
    • Rango de dirección IP de origen : ingrese su rango de IP público de confianza en formato CIDR (por ejemplo, 1.1.1.1/32).
    • Deja las otras configuraciones como están.
    • Haga clic en Guardar .

 

Modifique el grupo de seguridad de red predeterminado de la NIC WAN del Firewall XG para permitir el tráfico RDP solo desde direcciones IP de confianza. El reenvío de puertos se habilitará para un jumphost backend utilizando RDP más adelante en esta documentación.

  • Desde el Portal de Azure, vaya a Todos los recursos> Grupo de seguridad> Reglas de seguridad de entrada y haga clic en Agregar .

  • En la hoja Agregar regla de seguridad de entrada , configure lo siguiente:
    • Fuente : cambio de cualquiera a direcciones IP .
    • Rango de dirección IP de origen : ingrese su rango de IP público de confianza en formato CIDR (por ejemplo, 1.1.1.1/32).
    • Rango de puerto de origen : *.
    • Destino : Cualquiera.
    • Rango de puertos de destino : 3389.
    • Protocolo : TCP.
    • Acción : Permitir.
    • Prioridad : dejar la configuración por defecto.
    • Nombre : allow_rdp.
    • Deja las otras configuraciones como están.
    • Haga clic en Aceptar .

 

Lo que tenemos hasta ahora

Después de completar todos los pasos anteriores, tenemos la siguiente arquitectura:

  • Un solo firewall XG con dos NICs.
  • La NIC de WAN está conectada a la subred sophosxg-public-dmz-frontend .
  • La LAN NIC está conectada a la subred sophosxg-public-dmz-backend .
  • La subred sophosxg-public-dmz-frontend tiene asociado el SecurityGroup NSG  .
  • La NIC de WAN está asociada a un recurso de dirección IP público.

 

Cree una subred de administración y configure el tráfico para que fluya a través de Sophos XG DMZ

Esta subred se puede usar para la implementación de máquinas virtuales que hospeda capacidades de administración y monitoreo para los componentes que se ejecutan en la red virtual. En este escenario, implementaremos un servidor de Windows que podemos usar como Jumphost en esta subred.

Crear una nueva subred de aplicaciones web.

Desde el Portal de Azure, vaya a Todos los recursos> sophosxg-azure-vnet> Subredes . En la hoja de subredes sophosxg-azure-vnet , haga clic en + Subred para agregar una nueva subred a la red virtual.

En la  hoja Agregar subred , configure lo siguiente: 

  • Nombre : gestión-subred.
  • Rango de direcciones : 10.10.253.0/24.
  • Grupo de seguridad de red : Ninguno.
  • Tabla de ruta : Ninguna.
  • Haga clic en Aceptar .

 

Implementar un servidor de Windows en la nueva subred (como un jumphost)

Desde el Portal de Azure en la esquina superior izquierda, haga clic en Nuevo, escriba Windows Server en el cuadro de búsqueda y presione Entrar. En la  hoja de Everything , haga clic en Windows Server 2016 Datacenter .

En la  hoja de Windows Server 2016 Datacenter , asegúrese de que el modelo de implementación sea Resource Manager , luego haga clic en Crear .

En la  hoja Crear máquina virtual , en la  sección Conceptos básicos - Configurar ajustes básicos , configure lo siguiente:

  • Nombre : mgmt-srv-1.
  • Tipo de disco VM : SSD.
  • Nombre de usuario : azureadmin.
  • Tipo de autenticación : Contraseña.
  • Contraseña : escriba una contraseña compleja (tome nota de la contraseña que usa, ya que la necesitará más adelante).
  • Confirmar contraseña : Confirme la contraseña compleja.
  • Suscripción : Seleccione su suscripción.
  • Grupo de recursos : Use ya existente y seleccione el sophosxg-poc-azure-rg .
  • Ubicación : se completa automáticamente (asegúrese de que esté en la misma ubicación que otros recursos).
  • Ahorre dinero (¿Ya tiene una licencia de Windows Server?) : Si ya tiene un acuerdo de licencia válido con Microsoft, puede hacer clic en  para ahorrar en los costos de licencia. Seleccione No y confirme con su distribuidor de Microsoft si no está seguro.
  • Haga clic en Aceptar .

 

En el Tamaño: elija la  hoja de tamaño de la máquina virtual , configure lo siguiente:

  • Haga clic en Ver todo para ver todos los tamaños de VM disponibles.
  • Seleccione el  tamaño estándar D2S_V3 (o cualquier otro tamaño que prefiera) y haga clic en Seleccionar .

 

En la  hoja Configuración - Configurar características opcionales , configure lo siguiente:

  • Almacenamiento: dejar como predeterminado (usar discos administrados: sí).
  • Red:
    • Red virtual : asegúrese de que se haya seleccionado sophosxg-azure-vnet .

    •  Subred : haga clic en este nodo para expandirlo, cambie la subred seleccionada a management-subred .

    • Dirección IP pública : haga clic en este nodo para expandirlo y cambiarlo a Ninguno .

    • Grupo de seguridad de red : haga clic en este nodo para expandirlo y cambiarlo a Ninguno .

    • Deje otras configuraciones como predeterminadas y haga clic en Aceptar .

En la hoja de resumen , asegúrese de que la validación haya pasado y haga clic en Crear .

Crear una tabla de rutas personalizada (con rutas definidas por el usuario)

El tráfico vinculado a Internet desde una subred se enruta a través de una puerta de enlace de Internet provista por Azure. Esta es una puerta de enlace administrada y aprovisionada automáticamente por Azure que no tiene las características de seguridad avanzadas de Sophos XG Firewall. Para poder inspeccionar el tráfico saliente desde una subred, tendremos que crear una tabla de rutas que enrute el tráfico vinculado a Internet al Sophos XG Firewall y luego adjuntar la tabla de rutas a la subred que deseamos.

Desde el Portal de Azure en la esquina superior izquierda, haga clic en Nuevo y escriba  Tabla de rutas en el cuadro de búsqueda y presione Entrar. En la  hoja de Todo , seleccione Tabla de ruta .

En la hoja de la tabla Ruta , haga clic en Crear .

En la  hoja Crear tabla de rutas , configure lo siguiente:

  • Nombre : gestión-subred-enrutable.
  • Suscripción : Seleccione su suscripción.
  • Grupo de recursos : utilice ya existente, seleccione el grupo de recursos "sophosxg-poc-azure-rg".
  • Ubicación : seleccione la misma ubicación que los recursos que se han implementado.
  • Haga clic en Crear .

 

Desde el Portal de Azure en la esquina inferior izquierda, haga clic en Más servicios  y escriba Tablas de ruta  en el cuadro de búsqueda y presione Entrar, luego seleccione Tablas de ruta .

En la hoja de tablas de Ruta , vaya a administración-subred-tabla de enrutamiento> Rutas y haga clic en Agregar .

En la  hoja Agregar ruta , configure lo siguiente:

  • Nombre de la ruta : ruta de subred.
  • Dirección prefijo : 10.10.253.0/24.
  • Siguiente tipo de salto : red virtual.
  • Dirección del siguiente salto : Vacío.
  • Haga clic en Aceptar .

Repita el paso anterior para agregar otras dos rutas con la siguiente configuración:

 

  • Nombre de la ruta : vnet-route.
  • Dirección prefijo : 10.10.0.0/16.
  • Siguiente tipo de salto : dispositivo virtual.
  • Dirección del siguiente salto : IP privada del NIC backend XG.

 

 

  • Nombre de la ruta : internet-route.
  • Dirección prefijo : 0.0.0.0/0.
  • Siguiente tipo de salto : dispositivo virtual.
  • Dirección del siguiente salto : IP privada del NIC backend XG.

 

Nota:  Puede obtener la IP privada de la NIC WAN de XG Firewall yendo a Todos los recursos> sophosxgAzureFw01> Redes> PortA (Use la IP de la NIC interna).

Ahora debería tener las siguientes tres rutas en la tabla de rutas:

 

Adjunte la tabla de rutas a la subred apropiada

 

Desde el Portal de Azure en la esquina inferior izquierda, haga clic en Más servicios y escriba Tablas de ruta en el cuadro de búsqueda y seleccione Tablas de ruta .

En la hoja de tablas de Ruta , vaya a administración-subred-tabla de enrutamiento> Subredes  y haga clic en Asociado .

En la hoja de subred Asociada , haga clic en Red virtual: elija una red virtual  y seleccione la red virtual sophosxg-azure-vnet  .

En la hoja de subred Elegir , seleccione la subred de subred de administración y haga clic en Aceptar .

 

Configuración adicional en Sophos XG Firewall

Configurar enrutamiento

 

Necesitamos configurar Sophos XG Firewall para enrutar el tráfico que va a nuestras subredes internas desde su interfaz LAN en lugar de salir de su interfaz WAN.

Desde la GUI del firewall de sophosxgAzureFw01 , vaya a Enrutamiento> Enrutamiento estático, haga clic en Agregar  y configure lo siguiente:

  • IP de destino : 10.10.0.0 (ingrese el espacio de direcciones de su vNet).
  • Máscara de red : / 16 (255.255.0.0).
  • Puerta de enlace : la primera dirección IP en la subred "sophosxg-public-dmz-backend". En nuestro escenario, esto es "10.10.1.1".
  • Interfaz : PortA.
  • Distancia : dejar la configuración por defecto (0).
  • Haga clic en Guardar .

     

 

Configurar el reenvío de puertos RDP al servidor de administración

 

Vaya a Firewall> + Agregar regla de firewall y seleccione Regla de aplicación empresarial .

Configure lo siguiente:

 

  • Plantilla de aplicación : DNAT / Full NAT / Load Balancing.
  • Nombre de la regla : rdp_to_management_server.
  • Posición de la regla : dejar la configuración predeterminada.

  • Zonas fuente : WAN.
  • Redes de clientes permitidas : Cualquiera.
  • Redes de clientes bloqueadas : vacías

  • Red / host de destino : # PortB-10.10.254.4 (IP privada de la interfaz WAN de XG).
  • Servicio : RDP (Cree un nuevo servicio si no existe uno. Puerto de origen - 1: 65535; Puerto de destino: 3389).

  • Tipo de avance : Puerto.
  • Puerto (s) de servicio reenviado : 3389.
  • Para : Vaciar.
  • Protocolo : TCP.

     

  • Servidor (es) protegido (s) : administración-srv-10.10.253.4 (Cree un nuevo objeto IP para la dirección IP del servidor de administración).
  • Zona protegida : LAN.
  • Puerto mapeado : dejar la configuración existente (3389).
  • Cambiar puerto (s) de destino : no seleccionado

  • Tick Log Firewall Tráfico .

  •  Haga clic en Guardar .

 

En Firewall , haga clic para desactivar la regla denominada Política de firewall agregado automáticamente  (esta política fue creada automáticamente por el MTA de protección de correo electrónico).

En el mensaje de confirmación, haga clic en Aceptar , la regla ahora debe estar deshabilitada y en gris.

 

Agregue una regla de firewall que permita el tráfico saliente de Internet desde subredes internas

 

Vaya a Firewall> + Agregar regla de firewall y seleccione Usuario / Regla de red .

Configure lo siguiente:

 

  • Nombre de la regla : vnet_to_internet.
  • Acción : Aceptar.
  • Posición de la regla : dejar la configuración predeterminada.

  • Zonas de origen : LAN.
  • Redes y dispositivos de origen : "sophosxg-azure-vnet-10.10.0.0 / 16" (crear objeto de red si no existe).
  • Durante el horario programado : dejar la configuración predeterminada.

  • Zonas de destino : WAN.
  • Redes de destino : Internet IPv4 (siga las instrucciones aquí sobre cómo crear este objeto - Cree automáticamente un objeto "Internet IPv4" en el firewall XG).
  • Servicios : Cualquiera

  • Marque Escanear HTTP y deje otras configuraciones por defecto.

  • Establezca la política web en Permitir todo y deje la configuración predeterminada.

  • Tick Log Firewall Tráfico . 

  • Haga clic en Guardar .

Compruebe que puede acceder al servidor de gestión

 

Abra un cliente RDP e ingrese lo siguiente:

 

  • Computadora : La IP pública del firewall XG.
  • Nombre de usuario : el nombre de usuario que configuró para el servidor de administración de Windows (en nuestro caso azureadmin).
  • Haga clic en Conectar .

  •  Ingrese la contraseña que configuró para el servidor de Windows y haga clic en Aceptar .

  •  Haga clic en  a la advertencia del certificado.

 

Ahora debería estar conectado al servidor de administración a través de Sophos XG Firewall.

 

Verifique que el tráfico esté pasando por el firewall de Sophos XG

 

Desde la sesión RDP del servidor de administración, abra un navegador y navegue por Internet para desencadenar algo de tráfico saliente.

Desde la GUI del Firewall XG, vaya a Firewall y verifique que las dos reglas de firewall creadas recientemente permiten el tráfico.

Haga clic en Log Viewer en la esquina superior derecha de la GUI.

Escriba 3389 en el cuadro de búsqueda y pulse Intro. Debería poder ver el tráfico RDP en los registros que contienen la información especificada a continuación:

 

Lo que hemos hecho 

 

Después de completar las secciones anteriores, tenemos la arquitectura a continuación:

 

  • Un único Firewall XG con dos NICs.
  • La NIC de WAN está conectada a la subred sophosxg-public-dmz-frontend  .
  • La LAN NIC está conectada a la subred sophosxg-public-dmz-backend  .
  • La subred sophosxg-public-dmz-frontend  tiene asociado el SecurityGroup  NSG .
  • La NIC de WAN está asociada a un recurso de dirección IP público.
  • Una subred de fondo llamada subred de administración .
  • Un servidor de Windows desplegado en la subred de administración .
  • Una tabla de ruta de Azure configurada para enviar todo el tráfico de subred saliente al firewall XG.
  • La tabla de rutas de Azure adjunta a la subred de administración .
  • El firewall XG configurado para enrutar el tráfico que va a la red virtual desde su interfaz de backend.