Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Firewallt integrálhatja egy virtuális hálózatba egy nyilvános vagy belső Azure Standard Load Balancerrel.
Az előnyben részesített kialakítás egy belső terheléselosztó használata az Azure Firewall használatával, mivel ez leegyszerűsíti a beállítást. Ha már üzembe helyezett egy nyilvános terheléselosztót, és folytatni szeretné a használatát, vegye figyelembe az esetleges aszimmetrikus útválasztási problémákat, amelyek megzavarhatják a működést.
További információ az Azure Load Balancerről: Mi az Az Azure Load Balancer?
Nyilvános terheléselosztó
Nyilvános terheléselosztó használata esetén a terheléselosztót nyilvános előtérbeli IP-címmel helyezi üzembe.
Aszimmetrikus útválasztás
Az aszimmetrikus útválasztás akkor fordul elő, ha egy csomag egy útvonalon halad a cél felé, és egy másik útvonalat használ a forráshoz való visszatéréskor. Ez a probléma akkor fordul elő, ha egy alhálózat alapértelmezett útvonala a tűzfal privát IP-címére megy, és nyilvános terheléselosztót használ. Ebben az esetben a bejövő terheléselosztó-forgalom a nyilvános IP-címén keresztül érkezik, de a visszatérési útvonal a tűzfal privát IP-címén halad át. Mivel a tűzfal állapotalapú, elveti a visszaküldött csomagot, mert a tűzfal nem tud egy ilyen létrehozott munkamenetről.
Az útválasztási probléma megoldása
1. forgatókönyv: Azure Firewall NAT-átjáró nélkül
Amikor azure-tűzfalat helyez üzembe egy alhálózaton, létre kell hoznia egy alapértelmezett útvonalat az alhálózathoz. Ez az útvonal az AzureFirewallSubneten található tűzfal privát IP-címén keresztül irányítja a csomagokat. Részletes lépésekért lásd az Azure Firewall üzembe helyezését és konfigurálását az Azure Portal használatával. Ha a tűzfalat integrálja a terheléselosztó-forgatókönyvbe, győződjön meg arról, hogy az internetes forgalom a tűzfal nyilvános IP-címén keresztül lép be. A tűzfal alkalmazza a szabályokat, és a csomagokat a terheléselosztó nyilvános IP-címére irányítja. A probléma akkor merül fel, ha a csomagok a tűzfal nyilvános IP-címére érkeznek, de a privát IP-címen keresztül térnek vissza (az alapértelmezett útvonal használatával).
Az aszimmetrikus útválasztás megakadályozása érdekében adjon hozzá egy adott útvonalat a tűzfal nyilvános IP-címéhez. A tűzfal nyilvános IP-címére szánt csomagok az interneten keresztül kerülnek továbbításra, elkerülve a tűzfal privát IP-címére vezető alapértelmezett útvonalat.
Példa útválasztási táblázatra
Az alábbi útvonaltábla például a 203.0.113.136-os nyilvános IP-címmel és a 10.0.1.4-es privát IP-címmel rendelkező tűzfal útvonalait mutatja be.
2. forgatókönyv: Azure Firewall NAT-átjáróval
Bizonyos esetekben konfigurálhat egy NAT-átjárót az Azure Firewall alhálózatán az SNAT (forráshálózati címfordítás) portkorlátjának a kimenő kapcsolatokra vonatkozó korlátozásainak leküzdésére. Ezekben az esetekben az 1. forgatókönyv útvonalkonfigurációja nem működik, mert a NAT-átjáró nyilvános IP-címe elsőbbséget élvez az Azure Firewall nyilvános IP-címével szemben.
További információ: NAT Gateway integrálása az Azure Firewalllal.
Ha egy NAT-átjáró az Azure Firewall alhálózatához van társítva, az internetről érkező bejövő forgalom az Azure Firewall nyilvános IP-címére kerül. Az Azure Firewall ezután módosítja (SNAT) a forrás IP-címet a NAT-átjáró nyilvános IP-címére, mielőtt a forgalmat a terheléselosztó nyilvános IP-címére továbbítja.
NAT-átjáró nélkül az Azure Firewall saját nyilvános IP-címére módosítja a forrás IP-címet, mielőtt a forgalmat a terheléselosztó nyilvános IP-címére továbbítja.
Fontos
Engedélyezze a NAT Gateway nyilvános IP-címét vagy nyilvános előtagjait az erőforrás (AKS/VM) alhálózatához társított hálózati biztonsági csoport (NSG) szabályaiban.
Útvonaltábla-példa NAT-átjáróval
Következő ugrásként hozzá kell adnia egy útvonalat a visszatérési útvonalhoz, hogy a NAT Gateway nyilvános IP-címét használja az Azure Firewall nyilvános IP-címe helyett az internettel.
Az alábbi útvonaltábla például egy NAT-átjáró 198.51.100.101-es nyilvános IP-címmel és egy 10.0.1.4-es privát IP-címmel rendelkező tűzfal útvonalait mutatja be.
PÉLDA NAT-szabályra
Mindkét esetben egy NAT-szabály lefordítja a tűzfal nyilvános IP-címéről (203.0.113.136) érkező RDP-forgalmat a terheléselosztó nyilvános IP-címére (203.0.113.220):
Egészségügyi szondák
Ne feledje, hogy futtasson egy webszolgáltatást a terheléselosztó készletben lévő gazdagépeken, ha TCP (Transport Control Protocol) állapotellenőrzéseket használ a 80-as porton, vagy HTTP/HTTPS-ellenőrzéseket.
Belső terheléselosztó
A belső terheléselosztó privát előtérbeli IP-címmel van üzembe helyezve.
Ebben a forgatókönyvben nem merülnek fel aszimmetrikus útválasztási problémák. A bejövő csomagok a tűzfal nyilvános IP-címére érkeznek, le lesznek fordítva a terheléselosztó privát IP-címére, és ugyanazzal az elérési úttal térnek vissza a tűzfal privát IP-címére.
Ezt a forgatókönyvet a nyilvános terheléselosztó forgatókönyvéhez hasonlóan, de a tűzfal nyilvános IP-cím gazdagépútvonalának használata nélkül is üzembe helyezheti.
A háttérkészlet virtuális gépei kimenő internetkapcsolattal rendelkezhetnek az Azure Firewallon keresztül. Konfiguráljon egy felhasználó által meghatározott útvonalat a virtuális gép alhálózatán, ahol a tűzfal a következő ugrópont.
Extra biztonság
A terheléselosztási forgatókönyv biztonságának további javítása érdekében használjon hálózati biztonsági csoportokat (NSG-ket).
Hozzon létre például egy NSG-t a háttérbeli alhálózaton, ahol a terheléselosztásos virtuális gépek találhatók. Engedélyezze a tűzfal nyilvános IP-címéről és portjáról érkező bejövő forgalmat. Ha egy NAT-átjáró az Azure Firewall alhálózatához van társítva, engedélyezze a NAT-átjáró nyilvános IP-címéről és portjáról érkező bejövő forgalmat.
Az NSG-kkel kapcsolatos további információkért tekintse meg a biztonsági csoportokat.
Következő lépések
- Megtudhatja, hogyan helyezhet üzembe és konfigurálhat Azure Firewallt.