Integrar o Azure Firewall no Balanceador de Carga Standard do Azure
Pode integrar um Azure Firewall numa rede virtual com um Balanceador de Carga Standard do Azure (público ou interno).
O design preferencial é integrar um balanceador de carga interno com o Azure Firewall, uma vez que este é um design muito mais simples. Poderá utilizar um balanceador de carga público se já tiver um implementado e quiser mantê-lo. No entanto, precisa de estar atento a um problema de encaminhamento assimétrico que pode quebrar a funcionalidade no cenário do balanceador de carga público.
Para obter mais informações sobre Balanceador de Carga do Azure, consulte O que é Balanceador de Carga do Azure?
Balanceador de carga público
Com um balanceador de carga público, o balanceador de carga é implementado com um endereço IP de front-end público.
Encaminhamento assimétrico
O encaminhamento assimétrico é onde um pacote segue um caminho para o destino e segue outro caminho ao regressar à origem. Este problema ocorre quando uma sub-rede tem uma rota predefinida que vai para o endereço IP privado da firewall e está a utilizar um balanceador de carga público. Neste caso, o tráfego do balanceador de carga recebido é recebido através do respetivo endereço IP público, mas o caminho de retorno percorre o endereço IP privado da firewall. Uma vez que a firewall está com estado, este remove o pacote devolvido porque a firewall não tem conhecimento de uma sessão tão estabelecida.
Corrigir o problema de encaminhamento
Quando implementa uma Azure Firewall numa sub-rede, um passo é criar uma rota predefinida para a sub-rede que direciona pacotes através do endereço IP privado da firewall localizado na AzureFirewallSubnet. Para obter mais informações, veja Tutorial: Implementar e configurar Azure Firewall com o portal do Azure.
Quando introduzir a firewall no seu cenário de balanceador de carga, pretende que o tráfego da Internet seja recebido através do endereço IP público da firewall. A partir daí, a firewall aplica as regras de firewall e os NATs aos pacotes ao endereço IP público do balanceador de carga. É aqui que ocorre o problema. Os pacotes chegam ao endereço IP público da firewall, mas regressam à firewall através do endereço IP privado (utilizando a rota predefinida). Para evitar este problema, crie uma rota de anfitrião adicional para o endereço IP público da firewall. Os pacotes que vão para o endereço IP público da firewall são encaminhados através da Internet. Isto evita a rota predefinida para o endereço IP privado da firewall.
Exemplo de tabela de rotas
Por exemplo, as seguintes rotas destinam-se a uma firewall no endereço IP público 20.185.97.136 e ao endereço IP privado 10.0.1.4.
Exemplo de regra NAT
No exemplo seguinte, uma regra NAT traduz o tráfego RDP para a firewall em 20.185.97.136 para o balanceador de carga em 20.42.98.220:
Sondas do estado de funcionamento
Lembre-se de que tem de ter um serviço Web em execução nos anfitriões no conjunto de balanceadores de carga se utilizar sondas de estado de funcionamento TCP para a porta 80 ou sondas HTTP/HTTPS.
Balanceador de carga interno
Com um balanceador de carga interno, o balanceador de carga é implementado com um endereço IP de front-end privado.
Não existe nenhum problema de encaminhamento assimétrico com este cenário. Os pacotes recebidos chegam ao endereço IP público da firewall, são traduzidos para o endereço IP privado do balanceador de carga e, em seguida, regressam ao endereço IP privado da firewall com o mesmo caminho de retorno.
Assim, pode implementar este cenário semelhante ao cenário do balanceador de carga público, mas sem a necessidade da rota do anfitrião de endereços IP públicos da firewall.
As máquinas virtuais no conjunto de back-end podem ter conectividade à Internet de saída através do Azure Firewall. Configure uma rota definida pelo utilizador na sub-rede da máquina virtual com a firewall como o próximo salto.
Segurança adicional
Para melhorar ainda mais a segurança do seu cenário com balanceamento de carga, pode utilizar grupos de segurança de rede (NSGs).
Por exemplo, pode criar um NSG na sub-rede de back-end onde estão localizadas as máquinas virtuais com balanceamento de carga. Permitir o tráfego de entrada proveniente do endereço IP/porta da firewall.
Para obter mais informações sobre os NSGs, veja Grupos de segurança.
Passos seguintes
- Saiba como implementar e configurar um Azure Firewall.