使用 Azure 網路安全組允許 Internet 流量進入 DMZ

我正在嘗試使用 Azure 網路安全組創建一個簡單的 DMZ，使用梭子魚 WAF 作為進入 DMZ 的公共入口點，但是我在允許網際網路流量訪問梭子魚時遇到了一些問題（然後被轉發到我的內部負載均衡器對於我的應用程序伺服器）。

我應該為 SOURCE 和 DESTINATION IP 前綴使用什麼？我試過了：

• 來源：0.0.0.0/0 目的地：梭子魚內部 IP
• 來源：INTERNET 目的地：梭子魚的內部 IP
• 來源：梭子魚公共 IP目的地：梭子魚內部 IP
• 來源：0.0.0.0/0 目的地：梭子魚公網IP

我還嘗試將條目的優先級更改為 100 和 1000（所有其他都是 900 - 500）。

我已經刪除了梭子魚虛擬機上的所有預設端點配置（因為我發現這些似乎覆蓋了網路安全組）。

當我沒有安裝網路安全組時，網路絕對可以與梭子魚一起使用，但我想使用網路安全組來確保我有一個“盡可能安全”的 DMZ。

端點

Name     | Type     | Prty | Source IP | Port | Dest IP       | Port | Protcl | Access
DMZ NSG:  
Internet | Inbound  | 100  | INTERNET  | 443  | 10.106.164.20 | 443  | TCP    | Allow
ADFS-WAP | Outbound | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow
Internal NSG:  
ADFS     | Inbound  | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow

我對 Azure 還很陌生，但我會盡力提供幫助。我已經閱讀了一些關於 NSG 的文章，但沒有在實踐中使用它們。

• NSG 適用於 VM 或子網。
• NSG 目前僅適用於 VM 的主 NIC。
• 正如您所說，VM 端點與 NSG 不兼容。

如果您的梭子魚 WAP 有兩個介面，我不確定這將如何與 NSG 一起使用。我不認為 NSG 能給你所追求的靈活性。

考慮到這一點，我建議有兩個子網，DMZ 和內部。例如，SUBNET1 可以是 10.0.1.0/24，SUBNET2 可以是 10.0.2.0/24。然後，您將 NSG 應用到子網而不是 VM，讓您可以靈活地添加更多服務，而無需為每個 VM 創建新的 NSG。如果需要，您可以將條目添加到現有 NSG。

對於 DMZ 子網，您有一個允許的入站規則，INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)對於您擁有的內部子網和入站規則，還有：SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24). NSG 是有狀態的，因此如果啟動了入站連接，則也允許該連接的相應出站流量。

引用自：https://serverfault.com/questions/662026