Bagikan melalui


Skenario Azure Firewall untuk memeriksa lalu lintas yang ditujukan ke titik akhir privat

Catatan

Jika Anda ingin mengamankan lalu lintas ke titik akhir privat di Azure Virtual WAN menggunakan hub virtual yang aman, lihat Mengamankan lalu lintas yang ditujukan untuk titik akhir privat di Azure Virtual WAN.

Azure Private Titik akhir adalah blok penyusun dasar untuk Azure Private Link. Titik akhir privat memungkinkan sumber daya Azure digunakan dalam jaringan virtual untuk berkomunikasi secara privat dengan sumber daya tautan privat.

Titik akhir privat memungkinkan akses sumber daya ke layanan tautan privat yang diterapkan dalam jaringan virtual. Akses ke titik akhir privat melalui peering jaringan virtual dan koneksi jaringan lokal memperluas konektivitas.

Anda mungkin perlu memeriksa atau memblokir lalu lintas dari klien ke layanan yang diekspos melalui titik akhir privat. Selesaikan inspeksi ini dengan menggunakan Azure Firewall atau appliance virtual jaringan pihak ketiga.

Batasan berikut berlaku:

  • Lalu lintas kelompok keamanan jaringan (NSG) dilewati dari titik akhir privat karena kebijakan jaringan dinonaktifkan untuk subnet di jaringan virtual secara default. Untuk menggunakan kebijakan jaringan seperti Rute yang Ditentukan Pengguna dan dukungan Kelompok Keamanan Jaringan, dukungan kebijakan jaringan harus diaktifkan untuk subnet. Pengaturan ini hanya berlaku untuk titik akhir privat dalam subnet. Pengaturan ini memengaruhi semua titik akhir privat dalam subnet. Untuk sumber daya lain di subnet, akses dikontrol berdasarkan aturan keamanan di kelompok keamanan jaringan.

  • Lalu lintas rute yang ditentukan pengguna (UDR) dilewati dari titik akhir privat. Rute yang ditentukan pengguna dapat digunakan untuk ambil alih lalu lintas yang ditujukan untuk titik akhir privat.

  • Tabel rute tunggal dapat dilampirkan ke subnet

  • Tabel rute mendukung hingga 400 rute

Azure Firewall mengatur lalu lintas menggunakan:

Penting

Penggunaan aturan aplikasi melalui aturan jaringan disarankan saat memeriksa lalu lintas yang ditujukan ke titik akhir privat untuk mempertahankan simetri alur. Aturan aplikasi lebih disukai daripada aturan jaringan untuk memeriksa lalu lintas yang ditujukan untuk titik akhir privat karena Azure Firewall selalu menyerap lalu lintas dengan aturan aplikasi. Jika aturan jaringan digunakan, atau NVA digunakan sebagai pengganti Azure Firewall, SNAT harus dikonfigurasikan untuk lalu lintas yang ditujukan ke titik akhir privat untuk mempertahankan simetri alur.

Catatan

Pemfilteran SQL FQDN hanya didukung dalam mode proksi (port 1433). Mode proxy dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan FQDN dalam aturan jaringan firewall.

Skenario 1: Arsitektur hub and spoke - Jaringan virtual khusus untuk titik akhir privat

Dedicated Virtual Network for Private Endpoints

Skenario ini adalah arsitektur yang paling dapat diperluas untuk tersambung secara privat ke beberapa layanan Azure menggunakan titik akhir privat. Rute yang menunjuk ke ruang alamat jaringan tempat titik akhir privat yang disebarkan dibuat. Konfigurasi ini mengurangi atashulu administratif dan mencegah mencapai batas 400 rute.

Koneksi dari jaringan virtual klien ke Azure Firewall di jaringan virtual hub dikenakan biaya jika jaringan virtual di-peering. Koneksi dari Azure Firewall di jaringan virtual hub ke titik akhir privat dalam jaringan virtual yang di-peering tidak dikenakan biaya.

Untuk informasi selengkapnya tentang biaya yang terkait dengan koneksi dengan jaringan virtual yang disandingkan, lihat bagian FAQ di halaman harga.

Skenario 2: Arsitektur hub and spoke - Jaringan virtual berbagi untuk titik akhir privat dan komputer virtual

Private Endpoints and Virtual Machines in same Virtual Network

Skenario ini diterapkan ketika:

  • Tidak memungkinkan untuk memiliki jaringan virtual khusus untuk titik akhir privat

  • Saat hanya beberapa layanan yang terekspos di jaringan virtual menggunakan titik akhir privat

Komputer virtual memiliki rute sistem /32 yang menunjuk ke setiap titik akhir privat. Satu rute per titik akhir privat dikonfigurasi untuk merutekan lalu lintas melalui Azure Firewall.

Atashulu administratif mempertahankan peningkatan tabel rute karena layanan terekspos dalam jaringan virtual. Kemungkinan mencapai batas rute juga meningkat.

Tergantung pada arsitektur secara keseluruhan, Anda dapat mencapai batas 400 rute. Disarankan untuk menggunakan skenario 1 jika memungkinkan.

Koneksi dari jaringan virtual klien ke Azure Firewall di jaringan virtual hub dikenakan biaya jika jaringan virtual di-peering. Koneksi dari Azure Firewall di jaringan virtual hub ke titik akhir privat dalam jaringan virtual yang di-peering tidak dikenakan biaya.

Untuk informasi selengkapnya tentang biaya yang terkait dengan koneksi dengan jaringan virtual yang disandingkan, lihat bagian FAQ di halaman harga.

Skenario 3: Jaringan virtual tunggal

Single virtual network

Gunakan pola ini saat migrasi ke arsitektur hub dan spoke tidak memungkinkan. Pertimbangan yang sama seperti dalam skenario 2 berlaku. Dalam skenario ini, biaya penyandingan jaringan virtual tidak berlaku.

Skenario 4: Lalu lintas lokal ke titik akhir privat

On-premises traffic to private endpoints

Arsitektur ini dapat diterapkan jika telah mengonfigurasi konektivitas dengan jaringan lokal Anda menggunakan:

Jika persyaratan keamanan Anda memerlukan lalu lintas klien ke layanan yang diekspos melalui titik akhir privat untuk dirutekan melalui appliance keamanan, sebarkan skenario ini.

Pertimbangan yang sama seperti pada skenario 2 di atas berlaku. Dalam skenario ini, tidak ada biaya penyandingan jaringan virtual. Untuk informasi selengkapnya tentang cara mengonfigurasi server DNS Anda untuk memungkinkan beban kerja lokal mengakses titik akhir privat, lihat beban kerja lokal menggunakan penerus DNS.

Langkah berikutnya

Dalam artikel ini, Anda menjelajahi berbagai skenario yang dapat digunakan untuk membatasi lalu lintas antara komputer virtual dan titik akhir privat menggunakan Azure Firewall.

Untuk tutorial tentang cara mengonfigurasi Azure Firewall untuk memeriksa lalu lintas yang ditujukan ke titik akhir privat, lihat Tutorial: Memeriksa lalu lintas titik akhir privat dengan Azure Firewall

Untuk mempelajari selengkapnya tentang titik akhir privat, lihat Apa itu Titik Akhir Privat Azure?.