Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan integrera en Azure Firewall i ett virtuellt nätverk med antingen en offentlig eller intern Azure Standard Load Balancer.
Den bästa designen är att använda en intern lastbalanserare med Azure Firewall, eftersom det förenklar konfigurationen. Om du redan har en offentlig lastbalanserare distribuerad och vill fortsätta använda den bör du vara medveten om potentiella asymmetriska routningsproblem som kan störa funktionaliteten.
Mer information om Azure Load Balancer finns i Vad är Azure Load Balancer?
Offentlig lastbalanserare
Med en offentlig lastbalanserare distribueras lastbalanseraren med en offentlig IP-adress för klientdelen.
Asymmetrisk routning
Asymmetrisk routing är när ett paket tar en väg till målet och en annan väg när det återgår till källan. Det här problemet uppstår när ett undernät har en standardväg som går till brandväggens privata IP-adress och du använder en offentlig lastbalanserare. I det här fallet tas den inkommande lastbalanserarens trafik emot via dess offentliga IP-adress, men retursökvägen går igenom brandväggens privata IP-adress. Eftersom brandväggen är tillståndskänslig släpper den det returnerade paketet eftersom brandväggen inte är medveten om en sådan etablerad session.
Åtgärda routningsproblemet
Scenario 1: Azure Firewall utan NAT Gateway
När du distribuerar en Azure Firewall till ett undernät måste du skapa en standardväg för undernätet. Den här vägen dirigerar paket via brandväggens privata IP-adress i AzureFirewallSubnet. Detaljerade steg finns i Distribuera och konfigurera Azure Firewall med hjälp av Azure-portalen. När du integrerar brandväggen i scenariot med lastbalanseraren kontrollerar du att internettrafiken kommer in via brandväggens offentliga IP-adress. Brandväggen tillämpar sina regler och översätter paketen med NAT till lastbalanserarens offentliga IP-adress. Problemet uppstår när paket anländer till brandväggens offentliga IP-adress men returnerar via den privata IP-adressen (med standardvägen).
För att förhindra asymmetrisk routning lägger du till en specifik väg för brandväggens offentliga IP-adress. Paket som är avsedda för brandväggens offentliga IP-adress dirigeras via Internet och kringgår standardvägen till brandväggens privata IP-adress.
Exempel på routningstabell
I följande routningstabell visas till exempel vägar för en brandvägg med en offentlig IP-adress på 203.0.113.136 och en privat IP-adress på 10.0.1.4.
Scenario 2: Azure Firewall med NAT Gateway
I vissa scenarier kan du konfigurera en NAT Gateway i Azure Firewall-undernätet för att övervinna portbegränsningarna för SNAT-portar (källnätverksadressöversättning) för utgående anslutning. I dessa fall fungerar inte routningskonfigurationen i scenario 1 eftersom NAT Gateways offentliga IP-adress har företräde framför Azure Firewalls offentliga IP-adress.
Mer information finns i Integrering av NAT Gateway med Azure Firewall.
När en NAT Gateway är associerad med Azure Firewall-undernätet hamnar inkommande trafik från Internet på Azure Firewalls offentliga IP-adress. Azure Firewall ändrar sedan (SNAT) käll-IP-adressen till NAT Gateways offentliga IP-adress innan trafiken vidarebefordras till lastbalanserarens offentliga IP-adress.
Utan en NAT-gateway ändrar Azure Firewall källans IP-adress till sin egen offentliga IP-adress innan trafiken vidarebefordras till lastbalanserarens offentliga IP-adress.
Viktigt!
Tillåt den offentliga IP-adressen för NAT Gateway eller offentliga prefix i NSG-reglerna (Network Security Group) som är associerade med resursundernätet (AKS/VM).
Exempel på routningstabell med NAT Gateway
Du måste lägga till en rutt för returtrafiken så att den använder NAT Gateway's offentliga IP-adress istället för Azure Firewall's offentliga IP-adress, med Internet som nästa hopp.
I följande routningstabell visas till exempel vägar för en NAT Gateway med en offentlig IP-adress på 198.51.100.101 och en brandvägg med en privat IP-adress på 10.0.1.4.
EXEMPEL på NAT-regel
I båda scenarierna översätter en NAT-regel RDP-trafik (Remote Desktop Protocol) från brandväggens offentliga IP-adress (203.0.113.136) till lastbalanserarens offentliga IP-adress (203.0.113.220):
Hälsoundersökningar
Kom ihåg att ha en webbtjänst som körs på värdarna i lastbalanserarens pool om du använder TCP-hälsoprober (Transport Control Protocol) på port 80 eller HTTP/HTTPS-sonderingar.
Interna lastbalanserare
En intern lastbalanserare distribueras med en privat IP-adress för klientdelen.
Det här scenariot har inte asymmetriska routningsproblem. Inkommande paket kommer till brandväggens offentliga IP-adress, översätts till lastbalanserarens privata IP-adress och återgår till brandväggens privata IP-adress med samma sökväg.
Implementera det här scenariot på samma sätt som i scenariot med den offentliga lastbalanseraren, men utan behov av en offentlig IP-rutt för brandväggen.
Virtuella datorer i serverdelspoolen kan ha utgående Internetanslutning via Azure Firewall. Konfigurera en användardefinierad väg i den virtuella datorns undernät med brandväggen som nästa hopp.
Extra säkerhet
Om du vill förbättra säkerheten i ditt belastningsutjämningsscenario ytterligare använder du nätverkssäkerhetsgrupper (NSG:er).
Skapa till exempel en NSG i det bakåtliggande delnätet där de virtuell maskinerna med belastningsutjämning finns. Tillåt inkommande trafik från brandväggens offentliga IP-adress och port. Om en NAT Gateway är associerad med Azure Firewall-undernätet tillåter du inkommande trafik från NAT Gateways offentliga IP-adress och port.
Mer information om NSG:er finns i Säkerhetsgrupper.
Nästa steg
- Lär dig hur du distribuerar och konfigurerar en Azure Firewall.