Назад | Перейти на главную страницу

Разрешение интернет-трафика в DMZ с помощью группы безопасности сети Azure

Я пытаюсь создать простую DMZ с помощью групп безопасности сети Azure, используя Barracuda WAF в качестве общедоступной точки входа в DMZ, однако у меня возникают некоторые проблемы, позволяющие интернет-трафику получить доступ к Barracuda (а затем перенаправить его на мой внутренний балансировщик нагрузки). для моих серверов приложений).

Что мне следует использовать для префиксов IP SOURCE и DESTINATION? Я пытался:

Источник: 0.0.0.0/0 Место назначения: внутренний IP Barracuda
Источник: ИНТЕРНЕТ Назначение: внутренний IP Barracuda
Источник: Публичный IP-адрес Barracuda Место назначения: внутренний IP Barracuda
Источник: 0.0.0.0/0 Место назначения: публичный IP-адрес Barracuda

Я также попытался изменить приоритет записи на 100, а также на 1000 (все остальные 900 - 500).

Я удалил все конфигурации конечных точек по умолчанию на виртуальной машине для Barracuda (поскольку я обнаружил, что они, похоже, переопределяют группу сетевой безопасности).

Сеть определенно работает с Barracuda, когда у меня не установлена группа сетевой безопасности, но я хочу использовать группу сетевой безопасности, чтобы убедиться, что у меня есть «максимально безопасная» DMZ.

Конечные точки

Name     | Type     | Prty | Source IP | Port | Dest IP       | Port | Protcl | Access
DMZ NSG:  
Internet | Inbound  | 100  | INTERNET  | 443  | 10.106.164.20 | 443  | TCP    | Allow
ADFS-WAP | Outbound | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow
Internal NSG:  
ADFS     | Inbound  | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow

Я новичок в Azure, но постараюсь помочь. Я немного читал о NSG, но не использовал их на практике.

Группы безопасности сети применяются к виртуальной машине или подсети.
В настоящее время группы безопасности сети применяются только к основному сетевому адаптеру виртуальной машины.
Как вы сказали, конечные точки виртуальных машин несовместимы с группами безопасности сети.

Если ваш Barracuda WAP имеет два интерфейса, я не уверен, как это будет работать с группами безопасности сети. Я не думаю, что группы безопасности сети дают вам необходимую гибкость.

Имея это в виду, я бы рекомендовал иметь две подсети, DMZ и внутреннюю. Например, SUBNET1 может быть 10.0.1.0/24, SUBNET2 10.0.2.0/24. Затем вы применяете свою группу безопасности сети к подсетям, а не к виртуальным машинам, что дает вам возможность добавлять дополнительные службы без создания новых групп безопасности сети для каждой виртуальной машины. При необходимости вы можете просто добавить записи в существующие группы безопасности сети.

Для подсети DMZ у вас есть правило для входящих подключений, которое позволяет INTERNET:443 -> SUBNET1:443 (10.0.1.0/24), а также для внутренней подсети и правила для входящего трафика: SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24). Группа безопасности сети поддерживает состояние, поэтому, если инициируется входящее соединение, соответствующий исходящий трафик для этого соединения также разрешен.