Networking

使用 Azure 網路安全組允許 Internet 流量進入 DMZ

  • January 26, 2015

我正在嘗試使用 Azure 網路安全組創建一個簡單的 DMZ,使用梭子魚 WAF 作為進入 DMZ 的公共入口點,但是我在允許網際網路流量訪問梭子魚時遇到了一些問題(然後被轉發到我的內部負載均衡器對於我的應用程序伺服器)。

我應該為 SOURCE 和 DESTINATION IP 前綴使用什麼?我試過了:

  • 來源:0.0.0.0/0 目的地:梭子魚內部 IP
  • 來源:INTERNET 目的地:梭子魚的內部 IP
  • 來源:梭子魚公共 IP目的地:梭子魚內部 IP
  • 來源:0.0.0.0/0 目的地:梭子魚公網IP

我還嘗試將條目的優先級更改為 100 和 1000(所有其他都是 900 - 500)。

我已經刪除了梭子魚虛擬機上的所有預設端點配置(因為我發現這些似乎覆蓋了網路安全組)。

當我沒有安裝網路安全組時,網路絕對可以與梭子魚一起使用,但我想使用網路安全組來確保我有一個“盡可能安全”的 DMZ。

端點

Name     | Type     | Prty | Source IP | Port | Dest IP       | Port | Protcl | Access
DMZ NSG:  
Internet | Inbound  | 100  | INTERNET  | 443  | 10.106.164.20 | 443  | TCP    | Allow
ADFS-WAP | Outbound | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow
Internal NSG:  
ADFS     | Inbound  | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow

我對 Azure 還很陌生,但我會盡力提供幫助。我已經閱讀了一些關於 NSG 的文章,但沒有在實踐中使用它們。

  • NSG 適用於 VM 或子網。
  • NSG 目前僅適用於 VM 的主 NIC。
  • 正如您所說,VM 端點與 NSG 不兼容。

如果您的梭子魚 WAP 有兩個介面,我不確定這將如何與 NSG 一起使用。我不認為 NSG 能給你所追求的靈活性。

考慮到這一點,我建議有兩個子網,DMZ 和內部。例如,SUBNET1 可以是 10.0.1.0/24,SUBNET2 可以是 10.0.2.0/24。然後,您將 NSG 應用到子網而不是 VM,讓您可以靈活地添加更多服務,而無需為每個 VM 創建新的 NSG。如果需要,您可以將條目添加到現有 NSG。

對於 DMZ 子網,您有一個允許的入站規則,INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)對於您擁有的內部子網和入站規則,還有:SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24). NSG 是有狀態的,因此如果啟動了入站連接,則也允許該連接的相應出站流量。

引用自:https://serverfault.com/questions/662026