Integrace Azure Firewallu s využitím služby Azure Standard Load Balancer

Bránu Azure Firewall můžete integrovat do virtuální sítě se službou Azure Standard Load Balancer (veřejná nebo interní).

Upřednostňovaným návrhem je integrace interního nástroje pro vyrovnávání zatížení s bránou Azure Firewall, protože se jedná o jednodušší návrh. Pokud už máte nasazený veřejný nástroj pro vyrovnávání zatížení, který chcete zachovat, můžete použít i ten. Musíte však vědět o problému s asymetrickým směrováním, který může narušit fungování ve scénáři s veřejným nástrojem pro vyrovnávání zatížení.

Další informace o Azure Load Balanceru najdete v tématu Co je Azure Load Balancer?

Veřejný nástroj pro vyrovnávání zatížení

S veřejným nástrojem pro vyrovnávání zatížení se nástroj pro vyrovnávání zatížení nasadí s veřejnou front-endovou IP adresou.

Asymetrické směrování

Asymetrické směrování je místo, kde paket přebírá jednu cestu k cíli a při návratu ke zdroji přebírá jinou cestu. K tomuto problému dochází v případě, že podsíť má výchozí trasu, která přejde na privátní IP adresu brány firewall a používáte veřejný nástroj pro vyrovnávání zatížení. V tomto případě se příchozí provoz nástroje pro vyrovnávání zatížení přijímá prostřednictvím své veřejné IP adresy, ale zpáteční cesta prochází privátní IP adresou brány firewall. Vzhledem k tomu, že je brána firewall stavová, zahodí vrácený paket, protože brána firewall o takové vytvořené relaci neví.

Oprava problému se směrováním

Když nasadíte bránu Azure Firewall do podsítě, jedním krokem je vytvoření výchozí trasy pro podsíť směrující pakety přes privátní IP adresu brány firewall umístěnou v podsíti AzureFirewallSubnet. Další informace najdete v tématu Kurz: Nasazení a konfigurace služby Azure Firewall pomocí webu Azure Portal.

Když do scénáře nástroje pro vyrovnávání zatížení zavedete bránu firewall, chcete, aby váš internetový provoz procházel přes veřejnou IP adresu brány firewall. Odtud brána firewall použije pravidla brány firewall a naT pakety použije na veřejnou IP adresu vašeho nástroje pro vyrovnávání zatížení. K tomuto problému dochází. Pakety přicházejí na veřejnou IP adresu brány firewall, ale vrátí se k bráně firewall přes privátní IP adresu (pomocí výchozí trasy). Chcete-li se tomuto problému vyhnout, vytvořte další trasu hostitele pro veřejnou IP adresu brány firewall. Pakety směrované na veřejnou IP adresu brány firewall se směrují přes internet. Tím se vyhnete tomu, že se výchozí trasa přesměruje na privátní IP adresu brány firewall.

Diagram asymetrického směrování

Příklad směrovací tabulky

Například následující trasy jsou určené pro bránu firewall na veřejné IP adrese 203.0.113.136 a privátní IP adresu 10.0.1.4.

Snímek obrazovky se směrovací tabulkou

Příklad pravidla překladu adres (NAT)

V následujícím příkladu pravidlo překladu adres (NAT) překládá provoz protokolu RDP do brány firewall na verzi 203.0.113.136 do nástroje pro vyrovnávání zatížení na 203.0.113.220:

Snímek obrazovky s pravidlem NAT

Sondy stavu

Nezapomeňte, že pokud používáte sondy stavu PROTOKOLU TCP na portu 80 nebo http/HTTPS, musíte mít webovou službu spuštěnou na hostitelích ve fondu nástroje pro vyrovnávání zatížení.

Interní nástroj pro vyrovnávání zatížení

S interním nástrojem pro vyrovnávání zatížení se nástroj pro vyrovnávání zatížení nasadí s privátní IP adresou front-endu.

V tomto scénáři není žádný problém s asymetrickým směrováním. Příchozí pakety přicházejí na veřejnou IP adresu brány firewall, přeloží se na privátní IP adresu nástroje pro vyrovnávání zatížení a pak se vrátí na privátní IP adresu brány firewall pomocí stejné zpáteční cesty.

Tento scénář tedy můžete nasadit podobně jako scénář veřejného nástroje pro vyrovnávání zatížení, ale bez nutnosti směrování hostitele veřejné IP adresy brány firewall.

Virtuální počítače v back-endovém fondu můžou mít odchozí připojení k internetu prostřednictvím služby Azure Firewall. Nakonfigurujte trasu definovanou uživatelem v podsíti virtuálního počítače s bránou firewall jako dalším segmentem směrování.

Dodatečné zabezpečení

K dalšímu vylepšení zabezpečení scénáře s vyrovnáváním zatížení můžete použít skupiny zabezpečení sítě (NSG).

Můžete například vytvořit skupinu zabezpečení sítě v back-endové podsíti, ve které se nacházejí virtuální počítače s vyrovnáváním zatížení. Povolte příchozí provoz pocházející z IP adresy nebo portu brány firewall.

Snímek obrazovky se skupinou zabezpečení sítě

Další informace oskupinách

Další kroky