Sou muito novo no Azure, mas vou tentar ajudar. Eu li um pouco sobre NSGs, mas não os usei na prática.
- os NSGs se aplicam a uma VM ou a uma sub-rede.
- Atualmente, os NSGs só se aplicam à NIC principal de uma VM.
- Como você disse, os pontos de extremidade da VM não são compatíveis com os NSGs.
Se o seu Barracuda WAP tiver duas interfaces, não sei como isso funcionaria com os NSGs. Não acho que os NSGs ofereçam a flexibilidade que você procura.
Com isso em mente, recomendo ter duas sub-redes, DMZ e internas. Por exemplo, SUBNET1 pode ser 10.0.1.0/24, SUBNET2 10.0.2.0/24. Em seguida, você aplica seu NSG às sub-redes em vez das VMs, oferecendo flexibilidade para adicionar mais serviços sem criar novos NSGs para cada VM. Você pode adicionar entradas aos NSGs existentes, se necessário.
Para a sub-rede DMZ, você tem uma regra de entrada que permite INTERNET:443 -> SUBNET1:443 (10.0.1.0/24)
, e a sub-rede interna que você tem e a regra de entrada também: SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24)
. O NSG é stateful, portanto, se uma conexão de entrada for iniciada, o tráfego de saída correspondente para essa conexão também será permitido.