Integrace Azure Firewallu s využitím služby Azure Standard Load Balancer
Azure Firewall můžete integrovat do virtuální sítě s využitím Azure Standard Load Balancer (veřejné nebo interní).
Při návrhu se dává přednost integraci interního nástroje pro vyrovnávání zatížení se službou Azure Firewall, protože tento návrh je mnohem jednodušší. Pokud už máte nasazený veřejný nástroj pro vyrovnávání zatížení, který chcete zachovat, můžete použít i ten. Musíte však vědět o problému s asymetrickým směrováním, který může narušit fungování ve scénáři s veřejným nástrojem pro vyrovnávání zatížení.
Další informace o Azure Load Balancer najdete v tématu co je Azure Load Balancer?
Veřejný nástroj pro vyrovnávání zatížení
Pomocí veřejného nástroje pro vyrovnávání zatížení se nástroj pro vyrovnávání zatížení nasadí s veřejnou IP adresou front-endu.
Asymetrické směrování
Asymetrické směrování je místo, kde paket přijímá jednu cestu k cíli a při návratu do zdroje používá jinou cestu. K tomuto problému dochází, když má podsíť výchozí trasu k privátní IP adrese brány firewall a používáte veřejný Nástroj pro vyrovnávání zatížení. V tomto případě se příchozí provoz nástroje pro vyrovnávání zatížení přijímá prostřednictvím veřejné IP adresy, ale návratová cesta prochází přes privátní IP adresu brány firewall. Vzhledem k tomu, že brána firewall je stavová, je vrácen návratový paket, protože brána firewall neví o takové zavedené relaci.
Oprava problému s směrováním
Když nasadíte Azure Firewall do podsítě, jedním krokem je vytvoření výchozí trasy pro směrování paketů pomocí privátní IP adresy brány firewall umístěné na AzureFirewallSubnet. Další informace najdete v tématu kurz: nasazení a konfigurace Azure firewall pomocí Azure Portal.
Když zavedete bránu firewall do svého scénáře nástroje pro vyrovnávání zatížení, budete chtít, aby se internetový provoz přihlásil přes veřejnou IP adresu brány firewall. Odtud brána firewall použije pravidla brány firewall a zanat pakety do veřejné IP adresy nástroje pro vyrovnávání zatížení. K tomuto problému dochází. Pakety přicházejí do veřejné IP adresy brány firewall, ale do brány firewall se vrátí pomocí privátní IP adresy (pomocí výchozí trasy). Chcete-li se tomuto problému vyhnout, vytvořte další trasu hostitele pro veřejnou IP adresu brány firewall. Pakety směrované do veřejné IP adresy brány firewall se směrují přes Internet. Tím předejdete převzetí výchozí trasy k privátní IP adrese brány firewall.
Příklad směrovací tabulky
Například následující trasy jsou pro bránu firewall na veřejné IP adrese 20.185.97.136 a privátní IP adresa 10.0.1.4.
Příklad pravidla překladu adres (NAT)
V následujícím příkladu pravidlo překladu adres (NAT) překládá provoz protokolu RDP do brány firewall na 20.185.97.136 na nástroj pro vyrovnávání zatížení na 20.42.98.220:
Sondy stavu
Pamatujte, že pokud používáte testy stavu TCP na port 80 nebo sondy HTTP/HTTPS, musíte mít spuštěnou webovou službu na hostitelích ve fondu nástroje pro vyrovnávání zatížení.
Interní nástroj pro vyrovnávání zatížení
S interním nástrojem pro vyrovnávání zatížení je nasazený nástroj pro vyrovnávání zatížení s privátní IP adresou front-endu.
V tomto scénáři neexistuje žádný problém s asymetrickým směrováním. Příchozí pakety přicházejí do veřejné IP adresy brány firewall, přeloží se na privátní IP adresu nástroje pro vyrovnávání zatížení a potom se vrátí k privátní IP adrese brány firewall pomocí stejné návratové cesty.
Proto můžete tento scénář nasadit podobně jako veřejný scénář nástroje pro vyrovnávání zatížení, ale bez nutnosti trasy hostitele veřejné IP adresy brány firewall.
Virtuální počítače ve fondu back-endu můžou mít odchozí připojení k Internetu prostřednictvím Azure Firewall. Nastavte trasu definovanou uživatelem v podsíti virtuálního počítače s bránou firewall jako další segment směrování.
Dodatečné zabezpečení
Chcete-li dále zvýšit zabezpečení vašeho scénáře s vyrovnáváním zatížení, můžete použít skupiny zabezpečení sítě (skupin zabezpečení sítě).
Můžete například vytvořit NSG v podsíti back-endu, kde jsou umístěné virtuální počítače s vyrovnáváním zatížení. Povolí příchozí provoz pocházející z IP adresy nebo portu brány firewall.
Další informace o skupin zabezpečení sítě najdete v tématu skupiny zabezpečení.
Další kroky
- Přečtěte si, jak nasadit a nakonfigurovat Azure firewall.