Azure 虚拟机防火墙

Azure 虚拟机防火墙

我有多个虚拟网络、一个带有站点到站点 VPN 的 VPN VN、一个 AADDS VN、一个 VN 上的虚拟机生产网站集群和一个 VN 上的虚拟机测试网站集群。我还有一系列应用服务。

有人建议我添加虚拟机防火墙,但这让我有点困惑。

我在每个集群的 Web 服务器和 VPN 上都有一个公共 IP。

基于虚拟机的防火墙(WatchGuard FireBox)仅允许在不受信任的一侧使用单个 NIC。

我可以使用应用程序网关将流量从单个 IP 路由到每个网站(生产、测试​​和应用服务),并使用跳转箱将 RDP 路由到每个 VM(测试/生产中总共 6 个),这将允许我使用这个单个 NIC 的端口将流量路由到其目的地。这并不理想。

如何使用防火墙拦截所有外部流量,同时仍使用 Azure 访问多个 IP?Jumpbox 和应用程序网关是唯一的方法吗?

说实话有点困惑。欢迎大家提供意见。

答案1

我对 Watchguard 不太熟悉,但是假设它仅支持单个 NIC(如您所说),那么首先您需要能够根据路径或 URL 将流量路由到您的 Web 应用程序。如果 FW 不支持此功能,那么是的,您需要在防火墙之后使用某些东西来处理该路由。应用程序网关是使用 Azure 执行此操作的一种方法,可能是最简单的方法。您还可以查看任何其他反向代理,例如 Nginx 等。

至于能否通过 RDP 连接到您的虚拟机,我会尽量避免将其暴露给互联网和 FW。我建议考虑使用 Azure Bastion,它有效地提供了跳转框即服务,然后您可以使用它来访问您的所有虚拟机。

相关内容