Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile integrare un Firewall di Azure in una rete virtuale con un Azure Standard Load Balancer, sia pubblico che interno.
La progettazione preferita consiste nell'usare un servizio di bilanciamento del carico interno con Firewall di Azure, in quanto semplifica la configurazione. Se è già stato distribuito un servizio di bilanciamento del carico pubblico e si vuole continuare a usarlo, tenere presente i potenziali problemi di routing asimmetrico che potrebbero compromettere la funzionalità.
Per altre informazioni su Azure Load Balancer, vedere Informazioni su Azure Load Balancer.
Servizio di bilanciamento del carico pubblico
Quando si usa un servizio di bilanciamento del carico pubblico, si distribuisce il servizio di bilanciamento del carico con un indirizzo IP front-end pubblico.
Routing asimmetrico
Il routing asimmetrico si verifica quando un pacchetto accetta un percorso alla destinazione e accetta un altro percorso quando si torna all'origine. Questo problema si verifica quando una subnet ha una route predefinita che passa all'indirizzo IP privato del firewall e si usa un servizio di bilanciamento del carico pubblico. In questo caso, il traffico del servizio di bilanciamento del carico in ingresso passa attraverso l'indirizzo IP pubblico, ma il percorso restituito passa attraverso l'indirizzo IP privato del firewall. Poiché il firewall è stateful, elimina il pacchetto di ritorno perché non è a conoscenza di una sessione già stabilita.
Risolvere il problema di routing
Scenario 1: Firewall di Azure senza gateway NAT
Quando si distribuisce un firewall di Azure in una subnet, è necessario creare una route predefinita per la subnet. Questa route indirizza i pacchetti tramite l'indirizzo IP privato del firewall che si trova in AzureFirewallSubnet. Per i passaggi dettagliati, vedere Distribuire e configurare Firewall di Azure usando il portale di Azure. Integrando il firewall nello scenario di bilanciamento del carico, assicurarsi che il traffico Internet entri attraverso l'indirizzo IP pubblico del firewall. Il firewall applica le sue regole e trasforma gli indirizzi IP dei pacchetti verso l'indirizzo IP pubblico del load balancer. Il problema si verifica quando i pacchetti arrivano all'indirizzo IP pubblico del firewall, ma restituiscono tramite l'indirizzo IP privato (usando la route predefinita).
Per impedire il routing asimmetrico, aggiungere una route specifica per l'indirizzo IP pubblico del firewall. I pacchetti destinati all'indirizzo IP pubblico del firewall vengono indirizzati tramite Internet, ignorando la route predefinita all'indirizzo IP privato del firewall.
Esempio di tabella di route
Ad esempio, la tabella di route seguente mostra le route per un firewall con un indirizzo IP pubblico 203.0.113.136 e un indirizzo IP privato 10.0.1.4.
Scenario 2: Firewall di Azure con gateway NAT
In alcuni scenari, è possibile configurare un gateway NAT nella subnet di Firewall di Azure per superare le limitazioni delle porte SNAT (Source Network Address Translation) per la connettività in uscita. In questi casi, la configurazione della route nello scenario 1 non funziona perché l'indirizzo IP pubblico del gateway NAT ha la precedenza sull'indirizzo IP pubblico di Firewall di Azure.
Per altre informazioni, vedere Integrazione del gateway NAT con Firewall di Azure.
Quando un gateway NAT è associato alla subnet di Firewall di Azure, il traffico in ingresso da Internet si trova nell'indirizzo IP pubblico di Firewall di Azure. Firewall di Azure modifica quindi (SNAT) l'indirizzo IP di origine all'indirizzo IP pubblico del gateway NAT prima di inoltrare il traffico all'indirizzo IP pubblico del servizio di bilanciamento del carico.
Senza un gateway NAT, Firewall di Azure modifica l'indirizzo IP di origine nel proprio indirizzo IP pubblico prima di inoltrare il traffico all'indirizzo IP pubblico del servizio di bilanciamento del carico.
Importante
Consentire l'indirizzo IP pubblico o i prefissi pubblici del gateway NAT nelle regole del gruppo di sicurezza di rete (NSG) associate alla subnet della risorsa (AKS/VM).
Esempio di tabella di route con gateway NAT
È necessario aggiungere una route per il percorso di ritorno per utilizzare l'indirizzo IP pubblico del gateway NAT anziché l'indirizzo IP pubblico di Azure Firewall, con Internet come hop successivo.
Ad esempio, la tabella di route seguente mostra le route per un gateway NAT con un indirizzo IP pubblico 198.51.100.101 e un firewall con un indirizzo IP privato 10.0.1.4.
Esempio di regola NAT
In entrambi gli scenari, una regola NAT converte il traffico RDP (Remote Desktop Protocol) dall'indirizzo IP pubblico del firewall (203.0.113.136) all'indirizzo IP pubblico del servizio di bilanciamento del carico (203.0.113.220):
Probe di integrità
Ricordarsi di avere un servizio Web in esecuzione negli host nel pool di bilanciamento del carico se si usano probe di integrità TCP (Transport Control Protocol) sulla porta 80 o probe HTTP/HTTPS.
Servizio di bilanciamento del carico interno
Un servizio di bilanciamento del carico interno viene distribuito con un indirizzo IP front-end privato.
Questo scenario non ha problemi di routing asimmetrico. I pacchetti in ingresso arrivano all'indirizzo IP pubblico del firewall, vengono convertiti nell'indirizzo IP privato del servizio di bilanciamento del carico e tornano all'indirizzo IP privato del firewall usando lo stesso percorso.
Distribuire questo scenario in modo analogo allo scenario del servizio di bilanciamento del carico pubblico, ma senza che sia necessaria la route host dell'indirizzo IP pubblico del firewall.
Le macchine virtuali nel pool back-end possono avere connettività Internet in uscita tramite Firewall di Azure. Configurare un percorso definito dall'utente nella subnet della macchina virtuale con il firewall come passaggio successivo.
Sicurezza aggiuntiva
Per migliorare ulteriormente la sicurezza dello scenario con carico bilanciato, usare i gruppi di sicurezza di rete .
Ad esempio, creare un gruppo di sicurezza di rete nella subnet back-end in cui si trovano le macchine virtuali con carico bilanciato. Consentire il traffico in ingresso proveniente dall'indirizzo IP pubblico e dalla porta del firewall. Se un gateway NAT è associato alla subnet di Firewall di Azure, consentire il traffico in ingresso proveniente dall'indirizzo IP pubblico e dalla porta del gateway NAT.
Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza.
Passaggi successivi
- Informazioni su come distribuire e configurare Firewall di Azure.