Azure Güvenlik Duvarı’nı Azure Standart Load Balancer ile tümleştirme
Azure Standart Load Balancer (genel veya iç) ile bir Azure Güvenlik Duvarı sanal ağ ile tümleştirebilirsiniz.
Tercih edilen ve çok daha basit olan tasarım, Azure güvenlik duvarınızla bir iç yük dengeleyiciyi tümleştirmektir. Önceden dağıttığınız bir genel yük dengeleyici varsa ve bunu kullanmaya devam etmek istiyorsanız bundan faydalanabilirsiniz. Ancak genel yük dengeleyici senaryosunda işlevi etkileyen asimetrik yönlendirme sorununun farkında olmanız gerekir.
Azure Load Balancer hakkında daha fazla bilgi için bkz. Azure Load Balancer nedir?
Genel yük dengeleyici
Genel yük dengeleyici ile yük dengeleyici genel ön uç IP adresiyle dağıtılır.
Asimetrik yönlendirme
Asimetrik yönlendirme, bir paketin hedefe giden bir yolu aldığı ve kaynağa dönerken başka bir yol izlediği yerdir. Bu sorun, bir alt ağın güvenlik duvarının özel IP adresine giden varsayılan bir yolu olduğunda ve genel yük dengeleyici kullandığınızda oluşur. Bu durumda, gelen yük dengeleyici trafiği genel IP adresi üzerinden alınır, ancak dönüş yolu güvenlik duvarının özel IP adresinden geçer. Güvenlik duvarı durum bilgisi olduğundan, güvenlik duvarı böyle bir oturumdan haberdar olmadığından geri dönen paketi bırakır.
Yönlendirme sorununu düzeltme
Bir alt ağa bir Azure Güvenlik Duvarı dağıttığınızda, bir adım alt ağın paketleri AzureFirewallSubnet'te bulunan güvenlik duvarının özel IP adresi üzerinden yönlendirmesi için varsayılan bir yol oluşturmaktır. Daha fazla bilgi için bkz. Öğretici: Azure portal kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.
Yük dengeleyici senaryonuza güvenlik duvarını eklediğinizde, İnternet trafiğinizin güvenlik duvarınızın genel IP adresinden gelmesini istersiniz. Buradan, güvenlik duvarı güvenlik duvarı kurallarını uygular ve paketleri yük dengeleyicinizin genel IP adresine uygular. Sorun burada oluşur. Paketler güvenlik duvarının genel IP adresine ulaşır, ancak özel IP adresi aracılığıyla (varsayılan yolu kullanarak) güvenlik duvarına geri döner. Bu sorunu önlemek için güvenlik duvarının genel IP adresi için ek bir ana bilgisayar yolu oluşturun. Güvenlik duvarının genel IP adresine giden paketler İnternet üzerinden yönlendirilir. Bu, güvenlik duvarının özel IP adresine varsayılan yolu almayı önler.
Yönlendirme tablosu örneği
Örneğin, aşağıdaki yollar genel IP adresi 20.185.97.136 olan bir güvenlik duvarına ve 10.0.1.4 özel IP adresine yöneliktir.
NAT kuralı örneği
Aşağıdaki örnekte, bir NAT kuralı RDP trafiğini 20.42.98.220'de yük dengeleyici üzerinden 20.185.97.136'daki güvenlik duvarına çevirir:
Durum araştırmaları
80 numaralı bağlantı noktası için TCP sistem durumu yoklamaları veya HTTP/HTTPS yoklamaları kullanıyorsanız yük dengeleyici havuzundaki konaklarda çalışan bir web hizmetiniz olması gerektiğini unutmayın.
İç yük dengeleyici
İç yük dengeleyici ile yük dengeleyici özel bir ön uç IP adresiyle dağıtılır.
Bu senaryoda asimetrik yönlendirme sorunu yoktur. Gelen paketler güvenlik duvarının genel IP adresine ulaşır, yük dengeleyicinin özel IP adresine çevrilir ve ardından aynı dönüş yolunu kullanarak güvenlik duvarının özel IP adresine döner.
Bu nedenle, bu senaryoyu genel yük dengeleyici senaryosuna benzer şekilde ancak güvenlik duvarı genel IP adresi ana bilgisayar yoluna gerek kalmadan dağıtabilirsiniz.
Arka uç havuzundaki sanal makinelerin Azure Güvenlik Duvarı üzerinden giden İnternet bağlantısı olabilir. Sonraki atlama olarak güvenlik duvarıyla sanal makinenin alt akında kullanıcı tanımlı bir yol yapılandırın.
Ek güvenlik
Yük dengeli senaryonuzun güvenliğini daha da artırmak için ağ güvenlik gruplarını (NSG) kullanabilirsiniz.
Örneğin, yük dengeli sanal makinelerin bulunduğu arka uç alt ağına bir NSG oluşturabilirsiniz. Güvenlik duvarı IP adresinden/bağlantı noktasından gelen trafiğe izin verin.
NSG'ler hakkında daha fazla bilgi için bkz . Güvenlik grupları.