我正在尝试使用Azurenetworking安全组创build一个简单的DMZ,使用梭子鱼WAF作为DMZ的公共入口点,但是我有一些麻烦,允许互联网stream量访问梭子鱼(然后被转发到我的内部负载平衡器为我的应用程序服务器)。
我应该如何使用SOURCE和DESTINATION IP前缀? 我努力了:
我也尝试改变入口的优先级为100以及1000(其他都是900-500)。
我已经删除了虚拟机上梭子鱼的所有默认端点configuration(因为我发现这些似乎覆盖了networking安全组)。
当我没有安装networking安全组时,networking肯定能和梭子鱼一起工作,但是我想用networking安全组来确保我有一个“尽可能安全”的DMZ。
Name | Type | Prty | Source IP | Port | Dest IP | Port | Protcl | Access DMZ NSG: Internet | Inbound | 100 | INTERNET | 443 | 10.106.164.20 | 443 | TCP | Allow ADFS-WAP | Outbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow Internal NSG: ADFS | Inbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow 我对Azure相当陌生,但我会尽力而为。 我对NSG做了一些阅读,但在实践中没有使用它们。
如果你的梭子鱼WAP有两个接口,我不知道这将如何与NSG的工作。 我不认为NSG给你以后的灵活性。
考虑到这一点,我会build议有两个子网,DMZ和内部。 例如,SUBNET1可以是10.0.1.0/24,SUBNET2 10.0.2.0/24。 然后,将NSG应用到子网而不是虚拟机,使您可以灵活地添加更多服务,而无需为每个虚拟机创build新的NSG。 如果需要,您可以将条目添加到现有的NSG中。
对于DMZ子网,您有一个允许INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)的入站规则,对于内部子网也有入站规则: SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24) 。 NSG是有状态的,因此如果启动入站连接,则也允许该连接的相应出站通信。