Networking
使用 Azure 網路安全組允許 Internet 流量進入 DMZ
我正在嘗試使用 Azure 網路安全組創建一個簡單的 DMZ,使用梭子魚 WAF 作為進入 DMZ 的公共入口點,但是我在允許網際網路流量訪問梭子魚時遇到了一些問題(然後被轉發到我的內部負載均衡器對於我的應用程序伺服器)。
我應該為 SOURCE 和 DESTINATION IP 前綴使用什麼?我試過了:
- 來源:0.0.0.0/0 目的地:梭子魚內部 IP
- 來源:INTERNET 目的地:梭子魚的內部 IP
- 來源:梭子魚公共 IP目的地:梭子魚內部 IP
- 來源:0.0.0.0/0 目的地:梭子魚公網IP
我還嘗試將條目的優先級更改為 100 和 1000(所有其他都是 900 - 500)。
我已經刪除了梭子魚虛擬機上的所有預設端點配置(因為我發現這些似乎覆蓋了網路安全組)。
當我沒有安裝網路安全組時,網路絕對可以與梭子魚一起使用,但我想使用網路安全組來確保我有一個“盡可能安全”的 DMZ。
端點
Name | Type | Prty | Source IP | Port | Dest IP | Port | Protcl | Access DMZ NSG: Internet | Inbound | 100 | INTERNET | 443 | 10.106.164.20 | 443 | TCP | Allow ADFS-WAP | Outbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow Internal NSG: ADFS | Inbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow
我對 Azure 還很陌生,但我會盡力提供幫助。我已經閱讀了一些關於 NSG 的文章,但沒有在實踐中使用它們。
- NSG 適用於 VM 或子網。
- NSG 目前僅適用於 VM 的主 NIC。
- 正如您所說,VM 端點與 NSG 不兼容。
如果您的梭子魚 WAP 有兩個介面,我不確定這將如何與 NSG 一起使用。我不認為 NSG 能給你所追求的靈活性。
考慮到這一點,我建議有兩個子網,DMZ 和內部。例如,SUBNET1 可以是 10.0.1.0/24,SUBNET2 可以是 10.0.2.0/24。然後,您將 NSG 應用到子網而不是 VM,讓您可以靈活地添加更多服務,而無需為每個 VM 創建新的 NSG。如果需要,您可以將條目添加到現有 NSG。
對於 DMZ 子網,您有一個允許的入站規則,
INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)
對於您擁有的內部子網和入站規則,還有:SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24)
. NSG 是有狀態的,因此如果啟動了入站連接,則也允許該連接的相應出站流量。