Integrar o Azure Firewall no Balanceador de Carga Standard do Azure

Pode integrar um Azure Firewall numa rede virtual com um Balanceador de Carga Standard do Azure (público ou interno).

O design preferencial é integrar um balanceador de carga interno com o Azure Firewall, uma vez que este é um design muito mais simples. Poderá utilizar um balanceador de carga público se já tiver um implementado e quiser mantê-lo. No entanto, precisa de estar atento a um problema de encaminhamento assimétrico que pode quebrar a funcionalidade no cenário do balanceador de carga público.

Para obter mais informações sobre Balanceador de Carga do Azure, consulte O que é Balanceador de Carga do Azure?

Balanceador de carga público

Com um balanceador de carga público, o balanceador de carga é implementado com um endereço IP de front-end público.

Encaminhamento assimétrico

O encaminhamento assimétrico é onde um pacote segue um caminho para o destino e segue outro caminho ao regressar à origem. Este problema ocorre quando uma sub-rede tem uma rota predefinida que vai para o endereço IP privado da firewall e está a utilizar um balanceador de carga público. Neste caso, o tráfego do balanceador de carga recebido é recebido através do respetivo endereço IP público, mas o caminho de retorno percorre o endereço IP privado da firewall. Uma vez que a firewall está com estado, este remove o pacote devolvido porque a firewall não tem conhecimento de uma sessão tão estabelecida.

Corrigir o problema de encaminhamento

Quando implementa uma Azure Firewall numa sub-rede, um passo é criar uma rota predefinida para a sub-rede que direciona pacotes através do endereço IP privado da firewall localizado na AzureFirewallSubnet. Para obter mais informações, veja Tutorial: Implementar e configurar Azure Firewall com o portal do Azure.

Quando introduzir a firewall no seu cenário de balanceador de carga, pretende que o tráfego da Internet seja recebido através do endereço IP público da firewall. A partir daí, a firewall aplica as regras de firewall e os NATs aos pacotes ao endereço IP público do balanceador de carga. É aqui que ocorre o problema. Os pacotes chegam ao endereço IP público da firewall, mas regressam à firewall através do endereço IP privado (utilizando a rota predefinida). Para evitar este problema, crie uma rota de anfitrião adicional para o endereço IP público da firewall. Os pacotes que vão para o endereço IP público da firewall são encaminhados através da Internet. Isto evita a rota predefinida para o endereço IP privado da firewall.

Diagrama de encaminhamento assimétrico.

Exemplo de tabela de rotas

Por exemplo, as seguintes rotas destinam-se a uma firewall no endereço IP público 20.185.97.136 e ao endereço IP privado 10.0.1.4.

Captura de ecrã a mostrar a tabela de rotas.

Exemplo de regra NAT

No exemplo seguinte, uma regra NAT traduz o tráfego RDP para a firewall em 20.185.97.136 para o balanceador de carga em 20.42.98.220:

Captura de ecrã a mostrar a regra NAT.

Sondas do estado de funcionamento

Lembre-se de que tem de ter um serviço Web em execução nos anfitriões no conjunto de balanceadores de carga se utilizar sondas de estado de funcionamento TCP para a porta 80 ou sondas HTTP/HTTPS.

Balanceador de carga interno

Com um balanceador de carga interno, o balanceador de carga é implementado com um endereço IP de front-end privado.

Não existe nenhum problema de encaminhamento assimétrico com este cenário. Os pacotes recebidos chegam ao endereço IP público da firewall, são traduzidos para o endereço IP privado do balanceador de carga e, em seguida, regressam ao endereço IP privado da firewall com o mesmo caminho de retorno.

Assim, pode implementar este cenário semelhante ao cenário do balanceador de carga público, mas sem a necessidade da rota do anfitrião de endereços IP públicos da firewall.

As máquinas virtuais no conjunto de back-end podem ter conectividade à Internet de saída através do Azure Firewall. Configure uma rota definida pelo utilizador na sub-rede da máquina virtual com a firewall como o próximo salto.

Segurança adicional

Para melhorar ainda mais a segurança do seu cenário com balanceamento de carga, pode utilizar grupos de segurança de rede (NSGs).

Por exemplo, pode criar um NSG na sub-rede de back-end onde estão localizadas as máquinas virtuais com balanceamento de carga. Permitir o tráfego de entrada proveniente do endereço IP/porta da firewall.

Captura de ecrã do grupo de segurança de rede.

Para obter mais informações sobre os NSGs, veja Grupos de segurança.

Passos seguintes