Azure Firewall integreren met Azure Standard Load Balancer

  • Artikel

U kunt een Azure Firewall integreren in een virtueel netwerk met een Azure Standard Load Balancer (openbaar of intern).

Het ontwerp dat de voorkeur heeft, is het integreren van een interne load balancer met uw Azure-firewall omdat dit een veel eenvoudiger ontwerp is. U kunt een openbare load balancer gebruiken als u er al een hebt geïmplementeerd en u deze wilt behouden. U moet echter wel rekening houden met een bekend probleem met asymmetrische routering dat de functionaliteit van het scenario met een openbare load balancer kan verstoren.

Zie Wat is Azure Load Balancer? voor meer informatie over Azure Load Balancer.

Openbare load balancer

Met een openbare load balancer wordt de load balancer geïmplementeerd met een openbaar front-end-IP-adres.

Asymmetrisch routeren

Asymmetrische routering is waar een pakket één pad naar de bestemming neemt en een ander pad neemt wanneer het terugkeert naar de bron. Dit probleem treedt op wanneer een subnet een standaardroute heeft die naar het privé-IP-adres van de firewall gaat en u een openbare load balancer gebruikt. In dit geval wordt het binnenkomende verkeer van de load balancer ontvangen via het openbare IP-adres, maar het retourpad gaat via het privé-IP-adres van de firewall. Omdat de firewall stateful is, wordt het geretourneerde pakket verwijderd omdat de firewall zich niet bewust is van een dergelijke tot stand gebrachte sessie.

Het routeringsprobleem oplossen

Wanneer u een Azure Firewall in een subnet implementeert, is één stap het maken van een standaardroute voor het subnet dat pakketten doorstuurt via het privé-IP-adres van de firewall op het AzureFirewallSubnet. Zie Zelfstudie: Azure Firewall implementeren en configureren met behulp van de Azure Portal voor meer informatie.

Wanneer u de firewall in uw load balancer-scenario introduceert, wilt u dat uw internetverkeer binnenkomt via het openbare IP-adres van uw firewall. Van daaruit past de firewall de firewallregels en NAT's de pakketten toe op het openbare IP-adres van uw load balancer. Hier treedt het probleem op. Pakketten komen binnen op het openbare IP-adres van de firewall, maar keren terug naar de firewall via het privé-IP-adres (met behulp van de standaardroute). Om dit probleem te voorkomen, maakt u een extra hostroute voor het openbare IP-adres van de firewall. Pakketten die naar het openbare IP-adres van de firewall gaan, worden gerouteerd via internet. Dit voorkomt dat de standaardroute naar het privé-IP-adres van de firewall wordt gebruikt.

Diagram van asymmetrische routering.

Voorbeeld van routetabel

De volgende routes zijn bijvoorbeeld voor een firewall op openbaar IP-adres 20.185.97.136 en privé-IP-adres 10.0.1.4.

Schermopname van routetabel.

Voorbeeld van NAT-regel

In het volgende voorbeeld vertaalt een NAT-regel RDP-verkeer naar de firewall op 20.185.97.136 naar de load balancer op 20.42.98.220:

Schermopname van NAT-regel.

Statuscontroles

Houd er rekening mee dat u een webservice moet hebben die wordt uitgevoerd op de hosts in de load balancer-pool als u TCP-statustests gebruikt voor poort 80 of HTTP/HTTPS-tests.

Interne load balancer

Met een interne load balancer wordt de load balancer geïmplementeerd met een privé-front-end-IP-adres.

Er is geen probleem met asymmetrische routering met dit scenario. De binnenkomende pakketten komen aan bij het openbare IP-adres van de firewall, worden omgezet naar het privé-IP-adres van de load balancer en keren vervolgens terug naar het privé-IP-adres van de firewall met behulp van hetzelfde retourpad.

U kunt dit scenario dus op dezelfde manier implementeren als het scenario met de openbare load balancer, maar zonder dat u de hostroute voor het openbare IP-adres van de firewall nodig hebt.

De virtuele machines in de back-endpool kunnen uitgaande internetverbinding hebben via de Azure Firewall. Configureer een door de gebruiker gedefinieerde route op het subnet van de virtuele machine met de firewall als de volgende hop.

Aanvullende beveiliging

Als u de beveiliging van uw scenario met taakverdeling verder wilt verbeteren, kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken.

U kunt bijvoorbeeld een NSG maken in het back-endsubnet waar de virtuele machines met gelijke taakverdeling zich bevinden. Sta inkomend verkeer toe dat afkomstig is van het IP-adres/de poort van de firewall.

Schermopname van de netwerkbeveiligingsgroep.

Zie Beveiligingsgroepen voor meer informatie over NSG's.

Volgende stappen