Permitindo o tráfego da Internet na DMZ usando o Grupo de Segurança de Rede do Azure

2

Estou tentando criar uma DMZ simples usando grupos de segurança de rede do Azure, usando um Barracuda WAF como o ponto de entrada público na DMZ, mas estou tendo problemas para permitir que o tráfego da Internet acesse o Barracuda (e depois ser encaminhado para meu Balanceador de carga interno para meus servidores de aplicativos).

O que devo usar para os prefixos IP SOURCE e DESTINATION? Eu tentei:

  • Fonte: 0.0.0.0/0 Destino: IP interno do Barracuda
  • Fonte: INTERNET Destino: IP interno do Barracuda
  • Fonte: IP público do Barracuda Destino: IP interno do Barracuda
  • Fonte: 0.0.0.0/0 Destino: IP público do Barracuda

Eu também tentei alterar a prioridade da entrada para 100 e 1000 (todas as outras são 900 - 500).

Eu removi todas as configurações de ponto de extremidade padrão na Máquina Virtual para o Barracuda (pois descobri que elas parecem substituir o Grupo de Segurança de Rede).

A rede definitivamente trabalha com o Barracuda quando não tenho o Grupo de segurança de rede instalado, mas estou querendo usar um Grupo de segurança de rede para garantir que eu tenha uma DMZ "segura possível".

Endpoints

Name     | Type     | Prty | Source IP | Port | Dest IP       | Port | Protcl | Access
DMZ NSG:  
Internet | Inbound  | 100  | INTERNET  | 443  | 10.106.164.20 | 443  | TCP    | Allow
ADFS-WAP | Outbound | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow
Internal NSG:  
ADFS     | Inbound  | 900  | 10.0.20.0 | 443  | 10.0.1.10     | 443  | TCP    | Allow
    
por Aidos 24.01.2015 / 03:39

1 resposta

0

Sou muito novo no Azure, mas vou tentar ajudar. Eu li um pouco sobre NSGs, mas não os usei na prática.

  • os NSGs se aplicam a uma VM ou a uma sub-rede.
  • Atualmente, os NSGs só se aplicam à NIC principal de uma VM.
  • Como você disse, os pontos de extremidade da VM não são compatíveis com os NSGs.

Se o seu Barracuda WAP tiver duas interfaces, não sei como isso funcionaria com os NSGs. Não acho que os NSGs ofereçam a flexibilidade que você procura.

Com isso em mente, recomendo ter duas sub-redes, DMZ e internas. Por exemplo, SUBNET1 pode ser 10.0.1.0/24, SUBNET2 10.0.2.0/24. Em seguida, você aplica seu NSG às sub-redes em vez das VMs, oferecendo flexibilidade para adicionar mais serviços sem criar novos NSGs para cada VM. Você pode adicionar entradas aos NSGs existentes, se necessário.

Para a sub-rede DMZ, você tem uma regra de entrada que permite INTERNET:443 -> SUBNET1:443 (10.0.1.0/24) , e a sub-rede interna que você tem e a regra de entrada também: SUBNET1:443 (10.0.1.0/24) -> SUBNET2:443 (10.0.2.0/24) . O NSG é stateful, portanto, se uma conexão de entrada for iniciada, o tráfego de saída correspondente para essa conexão também será permitido.

    
por 25.01.2015 / 10:22