Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eine Azure-Firewall in ein virtuelles Netzwerk mit einem öffentlichen oder internen Azure Standard Load Balancer integrieren.
Das bevorzugte Design besteht darin, einen internen Lastenausgleich mit Ihrer Azure-Firewall zu verwenden, da die Einrichtung vereinfacht wird. Wenn Sie bereits einen öffentlichen Load Balancer bereitgestellt haben und ihn weiterhin verwenden möchten, sollten Sie sich der potenziellen asymmetrischen Routing-Probleme bewusst sein, die die Funktionalität beeinträchtigen könnten.
Weitere Informationen zu Azure Load Balancer finden Sie unter Was versteht man unter Azure Load Balancer?.
Öffentlicher Load Balancer
Wenn Sie einen öffentlichen Lastenausgleich verwenden, stellen Sie das Lastenausgleichsmodul mit einer öffentlichen Front-End-IP-Adresse bereit.
Asymmetrisches Routing
Asymmetrisches Routing tritt auf, wenn ein Paket einen Pfad zum Ziel nimmt und beim Zurückgeben an die Quelle einen anderen Pfad verwendet. Dieses Problem tritt auf, wenn ein Subnetz über eine Standardroute zur privaten IP-Adresse der Firewall verfügt und Sie ein öffentliches Lastenausgleichsmodul verwenden. In diesem Fall erfolgt der eingehende Lastenausgleichsverkehr über seine öffentliche IP-Adresse, aber der Rückgabepfad verläuft über die private IP-Adresse der Firewall. Da die Firewall zustandsbehaftet ist, löscht sie das zurückgegebene Paket, weil die Firewall nichts über eine solche vorhandene Sitzung weiß.
Beheben des Routingproblems
Szenario 1: Azure Firewall ohne NAT-Gateway
Wenn Sie eine Azure-Firewall in einem Subnetz bereitstellen, müssen Sie eine Standardroute für das Subnetz erstellen. Diese Route leitet Pakete über die private IP-Adresse der Firewall weiter, die sich auf dem AzureFirewallSubnet befindet. Ausführliche Schritte finden Sie unter Bereitstellen und Konfigurieren der Azure-Firewall mithilfe des Azure-Portals. Wenn Sie die Firewall in Ihr Lastenausgleichsszenario integrieren, stellen Sie sicher, dass Ihr Internetdatenverkehr über die öffentliche IP-Adresse der Firewall eingeht. Die Firewall wendet ihre Regeln an und übersetzt die Pakete mittels NAT auf die öffentliche IP-Adresse des Load Balancers. Das Problem tritt auf, wenn Pakete an der öffentlichen IP-Adresse der Firewall ankommen, aber über die private IP-Adresse (mithilfe der Standardroute) zurückgegeben werden.
Um ein asymmetrisches Routing zu verhindern, fügen Sie eine bestimmte Route für die öffentliche IP-Adresse der Firewall hinzu. Pakete, die für die öffentliche IP-Adresse der Firewall vorgesehen sind, werden über das Internet geleitet und umgehen die Standardroute an die private IP-Adresse der Firewall.
Routingtabellenbeispiel
In der folgenden Routentabelle werden beispielsweise Routen für eine Firewall mit einer öffentlichen IP-Adresse von 203.0.113.136 und einer privaten IP-Adresse von 10.0.1.4 angezeigt.
Szenario 2: Azure Firewall mit NAT-Gateway
In einigen Szenarien können Sie ein NAT-Gateway im Azure Firewall-Subnetz konfigurieren, um SNAT(Source Network Address Translation)-Portbeschränkungen für ausgehende Verbindungen zu überwinden. In diesen Fällen funktioniert die Routenkonfiguration in Szenario 1 nicht, da die öffentliche IP-Adresse des NAT-Gateways Vorrang vor der öffentlichen IP-Adresse der Azure Firewall hat.
Weitere Informationen finden Sie unter Integration des NAT-Gateways mit azure Firewall.
Wenn ein NAT-Gateway dem Azure Firewall-Subnetz zugeordnet ist, landen eingehender Datenverkehr aus dem Internet in der öffentlichen IP-Adresse der Azure Firewall. Die Azure Firewall ändert dann die Quell-IP (SNAT) in die öffentliche IP-Adresse des NAT-Gateways, bevor der Datenverkehr an die öffentliche IP-Adresse des Load Balancers weitergeleitet wird.
Ohne ein NAT-Gateway ändert die Azure Firewall die Quell-IP-Adresse in eine eigene öffentliche IP-Adresse, bevor der Datenverkehr an die öffentliche IP-Adresse des Lastenausgleichs weitergeleitet wird.
Von Bedeutung
Erlauben Sie die öffentliche IP-Adresse des NAT-Gateways oder die öffentlichen Präfixe in den Network Security Group (NSG)-Regeln, die dem Subnetz der Ressource (AKS/VM) zugeordnet sind.
Beispiel für eine Route-Tabelle mit NAT-Gateway
Sie müssen eine Route für den Rückgabepfad hinzufügen, um die öffentliche IP-Adresse des NAT-Gateways anstelle der öffentlichen IP-Adresse der Azure Firewall mit dem Internet als nächsten Hop zu verwenden.
In der folgenden Routentabelle werden beispielsweise Routen für ein NAT-Gateway mit einer öffentlichen IP-Adresse von 198.51.100.101 und einer Firewall mit einer privaten IP-Adresse von 10.0.1.4 angezeigt.
NAT-Regelbeispiel
In beiden Szenarien leitet eine NAT-Regel RDP-Datenverkehr (Remotedesktopprotokoll) von der öffentlichen IP-Adresse der Firewall (203.0.113.136) zur öffentlichen IP-Adresse des Lastenausgleichs (203.0.113.220) um.
Gesundheitsprüfungen
Denken Sie daran, dass ein Webdienst auf den Hosts im Lastenausgleichspool ausgeführt wird, wenn Sie TCP-Integritätssonden (Transport Control Protocol) für Port 80 oder HTTP/HTTPS-Prüfpunkte verwenden.
Interner Lastenausgleich
Ein interner Lastenausgleich wird mit einer privaten Frontend-IP-Adresse bereitgestellt.
Dieses Szenario hat keine asymmetrischen Routingprobleme. Eingehende Pakete gelangen an die öffentliche IP-Adresse der Firewall, werden in die private IP-Adresse des Lastenausgleichs übersetzt und mithilfe desselben Pfads zur privaten IP-Adresse der Firewall zurückgegeben.
Stellen Sie dieses Szenario ähnlich wie das Szenario für das öffentliche Lastenausgleichsszenario bereit, ohne dass die Hostroute der öffentlichen IP-Adresse der Firewall erforderlich ist.
Virtuelle Computer im Back-End-Pool können über die Azure-Firewall ausgehende Internetverbindung haben. Konfigurieren Sie eine benutzerdefinierte Route im Subnetz des virtuellen Computers mit der Firewall als nächsten Hop.
Zusätzliche Sicherheit
Um die Sicherheit Ihres Lastenausgleichsszenarios weiter zu verbessern, verwenden Sie Netzwerksicherheitsgruppen (NSGs).
Erstellen Sie z. B. eine NSG im Back-End-Subnetz, in dem sich die virtuellen Computer mit Lastenausgleich befinden. Eingehenden Datenverkehr zulassen, der von der öffentlichen IP-Adresse und dem Port der Firewall stammt. Wenn ein NAT-Gateway dem Azure Firewall-Subnetz zugeordnet ist, erlauben Sie eingehenden Datenverkehr, der von der öffentlichen IP-Adresse und dem Port des NAT-Gateways stammt.
Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Sicherheitsgruppen.
Nächste Schritte
- Erfahren Sie, wie Sie eine Azure Firewall bereitstellen und konfigurieren.