Azure направляет входящий трафик на брандмауэр

Я пытаюсь выяснить, как разместить сторонний брандмауэр (cisco, fortinet,PAN и т. Д.) Перед серверами, чтобы весь входящий и исходящий трафик проходил через правила брандмауэра.

Я выяснил исходящий.

Но не входящий трафик, скажем, серверы, на которых размещены различные сервисы (http, rdp и т. Д.). У каждого есть общедоступный IP-адрес. Как перенаправить трафик, предназначенный для этих серверов, на межсетевой экран? Я видел документы о LB перед брандмауэром, поэтому LB обрабатывает NAT, но как мне заставить трафик идти на брандмауэр, а не прямо на сервер? Кажется, что UDR предназначены только для исходящего трафика, а не для входящего, и даже если UDR работал, нет способа назначить его на LB.

Я знаю, что что-то упускаю / неправильно понимаю, но все найденные мной поиски и видео не помогают.

Любая помощь будет принята с благодарностью.