Azure Güvenlik Duvarı’nı Azure Standart Load Balancer ile tümleştirme

Azure Standart Load Balancer (genel veya iç) ile bir Azure Güvenlik Duvarı sanal ağ ile tümleştirebilirsiniz.

Tercih edilen tasarım, daha basit bir tasarım olduğundan iç yük dengeleyiciyi Azure güvenlik duvarınızla tümleştirmektir. Önceden dağıttığınız bir genel yük dengeleyici varsa ve bunu kullanmaya devam etmek istiyorsanız bundan faydalanabilirsiniz. Ancak genel yük dengeleyici senaryosunda işlevi etkileyen asimetrik yönlendirme sorununun farkında olmanız gerekir.

Azure Load Balancer hakkında daha fazla bilgi için bkz . Azure Load Balancer nedir?

Genel yük dengeleyici

Genel yük dengeleyici ile yük dengeleyici genel ön uç IP adresiyle dağıtılır.

Asimetrik yönlendirme

Asimetrik yönlendirme, bir paketin hedefe giden bir yolu izlediği ve kaynağa geri dönerken başka bir yol izlediği yerdir. Bu sorun, bir alt ağın güvenlik duvarının özel IP adresine giden varsayılan bir yolu olduğunda ve genel yük dengeleyici kullandığınızda oluşur. Bu durumda, gelen yük dengeleyici trafiği genel IP adresi üzerinden alınır, ancak dönüş yolu güvenlik duvarının özel IP adresinden geçer. Güvenlik duvarı durum bilgisi olduğundan, güvenlik duvarı böyle yerleşik bir oturumun farkında olmadığından geri dönen paketi bırakır.

Yönlendirme sorununu düzeltme

Bir alt ağa bir Azure Güvenlik Duvarı dağıttığınızda, bir adım azurefirewallSubnet'te bulunan güvenlik duvarının özel IP adresi üzerinden paketleri yönlendiren alt ağ için varsayılan bir yol oluşturmaktır. Daha fazla bilgi için bkz. Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.

Güvenlik duvarını yük dengeleyici senaryonuza eklediğinizde, İnternet trafiğinizin güvenlik duvarınızın genel IP adresi üzerinden gelmesini istersiniz. Buradan, güvenlik duvarı güvenlik duvarı kurallarını uygular ve paketleri yük dengeleyicinizin genel IP adresine uygular. Sorun burada oluşur. Paketler güvenlik duvarının genel IP adresine ulaşır, ancak özel IP adresi aracılığıyla (varsayılan yolu kullanarak) güvenlik duvarına geri döner. Bu sorunu önlemek için güvenlik duvarının genel IP adresi için başka bir ana bilgisayar yolu oluşturun. Güvenlik duvarının genel IP adresine giden paketler İnternet üzerinden yönlendirilir. Bu, güvenlik duvarının özel IP adresine giden varsayılan yolu almayı önler.

Yol tablosu örneği

Örneğin, aşağıdaki yollar genel IP adresi 203.0.113.136'daki bir güvenlik duvarı ve 10.0.1.4 özel IP adresi içindir.

NAT kuralı örneği

Aşağıdaki örnekte, bir NAT kuralı RDP trafiğini 203.0.113.136 konumundaki güvenlik duvarına 203.0.113.220'de yük dengeleyiciye çevirir:

Durum araştırmaları

80 numaralı bağlantı noktası için TCP durum yoklamaları veya HTTP/HTTPS yoklamaları kullanıyorsanız yük dengeleyici havuzundaki konaklarda çalışan bir web hizmetiniz olması gerektiğini unutmayın.

İç yük dengeleyici

İç yük dengeleyici ile yük dengeleyici özel bir ön uç IP adresiyle dağıtılır.

Bu senaryoda asimetrik yönlendirme sorunu yoktur. Gelen paketler güvenlik duvarının genel IP adresine ulaşır, yük dengeleyicinin özel IP adresine çevrilir ve ardından aynı dönüş yolunu kullanarak güvenlik duvarının özel IP adresine döner.

Bu nedenle, bu senaryoyu genel yük dengeleyici senaryosuna benzer şekilde, ancak güvenlik duvarı genel IP adresi ana bilgisayar yoluna gerek kalmadan dağıtabilirsiniz.

Arka uç havuzundaki sanal makinelerin Azure Güvenlik Duvarı üzerinden giden İnternet bağlantısı olabilir. Sonraki atlama olarak güvenlik duvarıyla sanal makinenin alt akında kullanıcı tanımlı bir yol yapılandırın.

Ek güvenlik

Yük dengeli senaryonuzun güvenliğini daha da artırmak için ağ güvenlik gruplarını (NSG' ler) kullanabilirsiniz.

Örneğin, yük dengeli sanal makinelerin bulunduğu arka uç alt ağına bir NSG oluşturabilirsiniz. Güvenlik duvarı IP adresinden/bağlantı noktasından gelen trafiğe izin verin.

NSG'ler hakkında daha fazla bilgi için bkz . Güvenlik grupları.

Sonraki adımlar

• Azure Güvenlik Duvarı dağıtmayı ve yapılandırmayı öğrenin.