Azure Network SecurityGroupを使用してDMZ)へのインターネットトラフィックを許可する
Azure Network Security Groupsを使用し、DMZへのパブリックエントリポイントとしてBarracuda WAFを使用して、単純なDMZを作成しようとしていますが、インターネットトラフィックがBarracudaにアクセスできるようにするのに問題があります(および次に、アプリケーションサーバーの内部ロードバランサーに転送されます)。
SOURCEおよびDESTINATIONIPプレフィックスには何を使用する必要がありますか?私が試してみました:
- ソース:0.0.0.0/0宛先:バラクーダの内部IP
- ソース:インターネット宛先:バラクーダの内部IP
- ソース:バラクーダのパブリックIP宛先:バラクーダの内部IP
- ソース:0.0.0.0/0宛先:バラクーダのパブリックIP
また、エントリの優先度を100と1000に変更してみました(他はすべて900〜500です)。
バラクーダの仮想マシンのデフォルトのエンドポイント構成をすべて削除しました(これらがネットワークセキュリティグループを上書きしているように見えるため)。
ネットワークセキュリティグループがインストールされていない場合、ネットワークはバラクーダで確実に機能しますが、ネットワークセキュリティグループを使用して、「可能な限り安全な」DMZがあることを確認したいと思います。
エンドポイント
Name | Type | Prty | Source IP | Port | Dest IP | Port | Protcl | Access
DMZ NSG:
Internet | Inbound | 100 | INTERNET | 443 | 10.106.164.20 | 443 | TCP | Allow
ADFS-WAP | Outbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow
Internal NSG:
ADFS | Inbound | 900 | 10.0.20.0 | 443 | 10.0.1.10 | 443 | TCP | Allow
私はAzureにかなり慣れていませんが、努力して支援します。私はNSGについて少し読んだことがありますが、実際には使用していません。
- NSGは、VMまたはサブネットに適用されます。
- NSGは現在、VMのプライマリNICにのみ適用されます。
- あなたが言ったように、VMエンドポイントはNSGと互換性がありません。
Barracuda WAPに2つのインターフェイスがある場合、それがNSGでどのように機能するかはわかりません。 NSGがあなたに求めている柔軟性を与えるとは思いません。
これを念頭に置いて、2つのサブネットDMZとinternalを使用することをお勧めします。たとえば、SUBNET1は10.0.1.0/24、SUBNET2 10.0.2.0/24のようになります。次に、NSGをに適用します。 VMの代わりにサブネットを使用することで、VMごとに新しいNSGを作成せずにサービスを追加できる柔軟性が得られます。必要に応じて、既存のNSGにエントリを追加するだけです。
DMZサブネットの場合、INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)を許可するインバウンドルールがあり、内部サブネットの場合、インバウンドルールもあります:SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24)。 NSGはステートフルであるため、インバウンド接続が開始されると、その接続に対応するアウトバウンドトラフィックも許可されます。