Azure Güvenlik Duvarı’nı Azure Standart Load Balancer ile tümleştirme
Bir Azure Güvenlik duvarını bir Azure Standart Load Balancer (genel veya dahili) ile bir sanal ağ ile tümleştirebilirsiniz.
Tercih edilen ve çok daha basit olan tasarım, Azure güvenlik duvarınızla bir iç yük dengeleyiciyi tümleştirmektir. Önceden dağıttığınız bir genel yük dengeleyici varsa ve bunu kullanmaya devam etmek istiyorsanız bundan faydalanabilirsiniz. Ancak genel yük dengeleyici senaryosunda işlevi etkileyen asimetrik yönlendirme sorununun farkında olmanız gerekir.
Azure Load Balancer hakkında daha fazla bilgi için bkz. Azure Load Balancer nedir?
Genel yük dengeleyici
Ortak yük dengeleyici ile yük dengeleyici, genel ön uç IP adresi ile dağıtılır.
Asimetrik yönlendirme
Asimetrik yönlendirme, bir paketin hedefe bir yol aldığı ve kaynağa dönme sırasında başka bir yol aldığı yerdir. Bu sorun, bir alt ağın güvenlik duvarının özel IP adresine giderken bir varsayılan yolu olduğunda ve bir ortak yük dengeleyici kullanıyorsanız oluşur. Bu durumda, gelen yük dengeleyici trafiği genel IP adresi aracılığıyla alınır, ancak döndürülen yol güvenlik duvarının özel IP adresinden geçer. Güvenlik duvarı durum bilgisi olduğundan, güvenlik duvarı, bu tür bir oturumun farkında olmadığından döndürülen paketi bırakır.
Yönlendirme sorununu çözme
Bir Azure Güvenlik duvarını bir alt ağa dağıttığınızda, tek bir adım, paketleri güvenlik duvarının AzureFirewallSubnet konumundaki özel IP adresi aracılığıyla yönlendiren alt ağ için varsayılan bir yol oluşturmaktır. Daha fazla bilgi için bkz. öğretici: Azure Güvenlik duvarını Azure Portal kullanarak dağıtma ve yapılandırma.
Yük dengeleyici senaryonuza güvenlik duvarını tanıtdığınızda, Internet trafiğinizin güvenlik duvarınızın genel IP adresi aracılığıyla gelmesini istersiniz. Buradan güvenlik duvarı, güvenlik duvarı kurallarını ve NAT 'ları yük dengeleyicinin genel IP adresine uygular. Bu, sorunun oluştuğu yerdir. Paketler, güvenlik duvarının genel IP adresine ulaşır, ancak özel IP adresi (varsayılan yol kullanılarak) aracılığıyla güvenlik duvarına geri döner. Bu sorundan kaçınmak için, güvenlik duvarının genel IP adresi için ek bir ana bilgisayar yolu oluşturun. Güvenlik duvarının genel IP adresine giden paketler Internet üzerinden yönlendirilir. Bu, güvenlik duvarının özel IP adresine varsayılan yolu almayı önler.
Rota tablosu örneği
Örneğin, aşağıdaki rotalar genel IP adresi 20.185.97.136 ve 10.0.1.4 özel IP adresi için bir güvenlik duvarına yöneliktir.
NAT kuralı örneği
Aşağıdaki örnekte, bir NAT kuralı, 20.185.97.136 adresindeki yük dengeleyiciye 20.42.98.220 adresindeki güvenlik duvarındaki RDP trafiğini çevirir:
Durum araştırmaları
Bağlantı noktası 80 veya HTTP/HTTPS araştırmaları için TCP sistem durumu araştırmaları kullanıyorsanız yük dengeleyici havuzundaki konaklarda çalışan bir Web hizmetiniz olması gerektiğini unutmayın.
İç yük dengeleyici
İç yük dengeleyici ile, yük dengeleyici özel bir ön uç IP adresi ile dağıtılır.
Bu senaryoyla ilgili bir asimetrik yönlendirme sorunu yok. Gelen paketler, güvenlik duvarının genel IP adresine ulaşır, yük dengeleyicinin özel IP adresine çevrilir ve ardından aynı dönüş yolunu kullanarak güvenlik duvarının özel IP adresine geri döner.
Dolayısıyla, bu senaryoyu ortak yük dengeleyici senaryosuna benzer ancak güvenlik duvarı genel IP adresi ana bilgisayar yoluna gerek kalmadan dağıtabilirsiniz.
Arka uç havuzundaki sanal makinelerin, Azure Güvenlik Duvarı aracılığıyla giden Internet bağlantısı olabilir. Bir sonraki atlama olarak güvenlik duvarıyla sanal makine alt ağında Kullanıcı tanımlı bir yol yapılandırın.
Ek güvenlik
Yük dengeli senaryonuzun güvenliği artırmak için ağ güvenlik grupları (NSG 'ler) kullanabilirsiniz.
Örneğin, yük dengeli sanal makinelerin bulunduğu arka uç alt ağında bir NSG oluşturabilirsiniz. Güvenlik Duvarı IP adresinden/bağlantı noktasından gelen trafiğe izin ver.
NSG 'ler hakkında daha fazla bilgi için bkz. güvenlik grupları.