Azure Bastion与Firewall结合使用

上一篇文章介绍了Azure Bastion在Global新增的支持虚拟网络peering的功能，这篇仍是跟Azure Bastion有关，来看看Azure Bastion和Azure Firewall如何结合使用，在一个正常且保准的企业架构里，Bastion和Firewall应该都是同时使用的，Bastion做为一个堡垒机供用户访问后端的VM，Firewall保护四层的流量，当这两个产品结合使用的时候，那么流量究竟是怎么走的呢？到Azure Bastion的流量需不须要通过Azure Firewall？若是须要的话路由应该怎么配置？这些其实都是一些细节上的问题，今天就来解答下

每次咱们都是经过实验来进行一些理论的验证，此次也不例外，首先来看下实验环境

Bastion 10.84.0.0/16 East Asia

• App 10.84.0.0/24

• AzureBastionSubnet 10.84.1.0/24（最小27位）

• AzureFirewallSubnet 10.84.2.0/24

此次咱们只有一个虚拟网络，咱们在这个虚拟网络既开启了Azure Bastion，同时也启用了Azure Firewall，后端的业务VM放在app subnet，正常来讲，不少企业都会用一些NVA设备作流量的记录和筛选，出入站流量都会通过Azure Firewall，一般实现的方法就是在业务VM所在的subnet挂载UDR，默认路由指向Azure Firewall或者其余NVA设备，这样就能够实现了，可是这就引入了一个问题，那么Azure Bastion所在的subnet须要挂载UDR吗？若是不挂载的话，流量能够正常走通吗？接下来实际测试下看看

首先，先添加一个subnet给Azure FireWall使用

找到虚拟网络，点击Firewall，在这里建立一个Azure Firewall

部署过程较为简单，很少赘述

通过一段时间以后，部署完成

接下来就能够配置UDR了，配置默认路由指向FireWall，而后挂载到app subnet

以后，咱们作个DNAT测试下，简单把后端VM的22端口经过Firewall发布出去，VM自己没有任何公网IP

测试发现，能够正常访问后端VM

FireWall测试能够正常工做，接下来，咱们直接尝试下用Azure Bastion进行登陆，由于Bastion界面限制截图，因此没办法截图出来，可是实际的结果证实，app subnet开启强制路由以后，Azure Bastion仍然能够正常使用，不受影响，也不须要更改任何路由配置，这实际上是由于Bastion自己就相似于一个看不见的虚机同样，部署在虚拟网络中，拥有本身的IP，它和后端VM的路由是直接经过虚拟网络走的，而Bastion所在的subnet其实自己也不支持UDR