Integrera Azure Firewall med Azure Standard Load Balancer
Du kan integrera en Azure Firewall i ett virtuellt nätverk med en Azure Standard Load Balancer (antingen offentlig eller intern).
Den bästa designen är att integrera en intern lastbalanserare med Azure-brandväggen, eftersom det är en enklare design. Du kan använda en offentlig lastbalanserare om du redan har en sådan distribuerad och vill behålla den. Du måste dock vara medveten om ett problem med asymmetrisk routning som kan få scenariot med den offentliga lastbalanseraren att sluta fungera.
Mer information om Azure Load Balancer finns i Vad är Azure Load Balancer?
Offentlig lastbalanserare
Med en offentlig lastbalanserare distribueras lastbalanseraren med en offentlig IP-adress för klientdelen.
Asymmetrisk dirigering
Asymmetrisk routning är den plats där ett paket tar en sökväg till målet och tar en annan sökväg när det återgår till källan. Det här problemet uppstår när ett undernät har en standardväg som går till brandväggens privata IP-adress och du använder en offentlig lastbalanserare. I det här fallet tas den inkommande lastbalanserarens trafik emot via dess offentliga IP-adress, men retursökvägen går igenom brandväggens privata IP-adress. Eftersom brandväggen är tillståndskänslig släpper den det returnerade paketet eftersom brandväggen inte är medveten om en sådan etablerad session.
Åtgärda routningsproblemet
När du distribuerar en Azure Firewall till ett undernät är ett steg att skapa en standardväg för undernätet som dirigerar paket via brandväggens privata IP-adress i AzureFirewallSubnet. Mer information finns i Självstudie: Distribuera och konfigurera Azure Firewall med hjälp av Azure-portalen.
När du introducerar brandväggen i scenariot med lastbalanseraren vill du att internettrafiken ska komma in via brandväggens offentliga IP-adress. Därifrån tillämpar brandväggen sina brandväggsregler och NATs paketen på lastbalanserarens offentliga IP-adress. Det är här problemet uppstår. Paket anländer till brandväggens offentliga IP-adress, men återgår till brandväggen via den privata IP-adressen (med standardvägen). Undvik det här problemet genom att skapa en annan värdväg för brandväggens offentliga IP-adress. Paket som går till brandväggens offentliga IP-adress dirigeras via Internet. På så sätt undviker du att ta standardvägen till brandväggens privata IP-adress.
Exempel på routningstabell
Följande vägar är till exempel för en brandvägg på den offentliga IP-adressen 203.0.113.136 och den privata IP-adressen 10.0.1.4.
EXEMPEL på NAT-regel
I följande exempel översätter en NAT-regel RDP-trafik till brandväggen på 203.0.113.136 över till lastbalanseraren på 203.0.113.220:
Hälsotillståndsavsökningar
Kom ihåg att du måste ha en webbtjänst som körs på värdarna i lastbalanserarens pool om du använder TCP-hälsoavsökningar till port 80 eller HTTP/HTTPS-avsökningar.
Interna lastbalanserare
Med en intern lastbalanserare distribueras lastbalanseraren med en privat IP-adress för klientdelen.
Det finns inget asymmetriskt routningsproblem med det här scenariot. Inkommande paket kommer till brandväggens offentliga IP-adress, översätts till lastbalanserarens privata IP-adress och återgår sedan till brandväggens privata IP-adress med samma retursökväg.
Så du kan distribuera det här scenariot som liknar scenariot med den offentliga lastbalanseraren, men utan att behöva brandväggens offentliga IP-adressvärdväg.
De virtuella datorerna i serverdelspoolen kan ha utgående Internetanslutning via Azure Firewall. Konfigurera en användardefinierad väg i den virtuella datorns undernät med brandväggen som nästa hopp.
Extra säkerhet
Om du vill förbättra säkerheten för ditt belastningsutjämningsscenario ytterligare kan du använda nätverkssäkerhetsgrupper (NSG:er).
Du kan till exempel skapa en NSG i serverdelsundernätet där de belastningsutjämningsbaserade virtuella datorerna finns. Tillåt inkommande trafik från brandväggens IP-adress/port.
Mer information om NSG:er finns i Säkerhetsgrupper.
Nästa steg
- Lär dig hur du distribuerar och konfigurerar en Azure Firewall.