Azure Bastion與Firewall結合使用

上一篇文章介紹了Azure Bastion在Global新增的支持虛擬網絡peering的功能，這篇仍是跟Azure Bastion有關，來看看Azure Bastion和Azure Firewall如何結合使用，在一個正常且保準的企業架構裏，Bastion和Firewall應該都是同時使用的，Bastion做爲一個堡壘機供用戶訪問後端的VM，Firewall保護四層的流量，當這兩個產品結合使用的時候，那麼流量究竟是怎麼走的呢？到Azure Bastion的流量需不須要通過Azure Firewall？若是須要的話路由應該怎麼配置？這些其實都是一些細節上的問題，今天就來解答下

每次咱們都是經過實驗來進行一些理論的驗證，此次也不例外，首先來看下實驗環境

Bastion 10.84.0.0/16 East Asia

• App 10.84.0.0/24

• AzureBastionSubnet 10.84.1.0/24（最小27位）

• AzureFirewallSubnet 10.84.2.0/24

此次咱們只有一個虛擬網絡，咱們在這個虛擬網絡既開啓了Azure Bastion，同時也啓用了Azure Firewall，後端的業務VM放在app subnet，正常來講，不少企業都會用一些NVA設備作流量的記錄和篩選，出入站流量都會通過Azure Firewall，一般實現的方法就是在業務VM所在的subnet掛載UDR，默認路由指向Azure Firewall或者其餘NVA設備，這樣就能夠實現了，可是這就引入了一個問題，那麼Azure Bastion所在的subnet須要掛載UDR嗎？若是不掛載的話，流量能夠正常走通嗎？接下來實際測試下看看

首先，先添加一個subnet給Azure FireWall使用

找到虛擬網絡，點擊Firewall，在這裏建立一個Azure Firewall

部署過程較爲簡單，很少贅述

通過一段時間以後，部署完成

接下來就能夠配置UDR了，配置默認路由指向FireWall，而後掛載到app subnet

以後，咱們作個DNAT測試下，簡單把後端VM的22端口經過Firewall發佈出去，VM自己沒有任何公網IP

測試發現，能夠正常訪問後端VM

FireWall測試能夠正常工做，接下來，咱們直接嘗試下用Azure Bastion進行登陸，由於Bastion界面限制截圖，因此沒辦法截圖出來，可是實際的結果證實，app subnet開啓強制路由以後，Azure Bastion仍然能夠正常使用，不受影響，也不須要更改任何路由配置，這實際上是由於Bastion自己就相似於一個看不見的虛機同樣，部署在虛擬網絡中，擁有本身的IP，它和後端VM的路由是直接經過虛擬網絡走的，而Bastion所在的subnet其實自己也不支持UDR