云计算

接下来，我准备写几篇关于Azure防火墙的文章。防火墙今年才登陆月饼，但在全球GA已经有一段时间了。防火墙作为云原生的NVA产品，无疑可以解决云安全的一大难题，其低廉的价格更是增添了一份独特的吸引力，对于希望拥有类似解决方案，又不想购买第三方NVA产品的用户来说，极具吸引力。从下图可以看出，Azure防火墙也可以很好的实现Azure经典的中枢辐条网络架构。

这次，我们来看看如何使用Azure防火墙来设计hub spoke的架构。首先，我们来看看Azure防火墙能做什么。

Azure防火墙？您可以跨订阅和虚拟网络集中创建、实施和记录应用程序和网络连接策略。Azure防火墙对虚拟网络资源使用静态公共IP地址，以便外部防火墙可以识别来自虚拟网络的流量。并能与之共事。Azure Monitor无缝集成。

总的来说，Azure防火墙有以下优势：

内置高可用性

内置高可用性，因此无需部署额外的负载平衡器或进行任何配置。

无限的云可扩展性

为了适应不断变化的网络流量，Azure防火墙可以尽可能地垂直扩展，因此不需要为峰值流量做预算。

应用FQDN滤波规则

您可以将出站HTTP/S流量或Azure SQL流量(预览版)限制为一组指定的完全限定的域名(FQDN)，包括通配符。这个特性不需要SSL终端。

网络流量过滤规则

您可以根据源和目标IP地址、端口和协议，集中创建允许或拒绝网络过滤规则。Azure防火墙是完全有状态的，所以它可以区分不同类型连接的合法数据包。将跨多个订阅和虚拟网络实施和记录规则。

FQDN标签

FQDN标签允许您轻松地允许已知的Azure服务网络流量通过防火墙。例如，假设您希望允许Windows代理网络流量通过防火墙。创建一个应用程序规则，并在其中包含Windows update标记。来自Windows更新的网络流量现在可以通过防火墙。

服务标签

服务标签代表一组IP地址前缀，这有助于最小化安全规则创建过程的复杂性。您不能创建自己的服务标签，也不能指定标签中包含哪些IP地址。Azure管理服务标签中包含的地址前缀，并在地址更改时自动更新服务标签。

？谢伟情报局

可以为防火墙启用基于智能的过滤，以警告和拒绝来自/去往已知恶意IP地址和域的流量。IP地址和域源自Azure智能源。

出站SNAT支持

所有出站虚拟网络流量IP地址都将转换为Azure防火墙公共IP(源网络地址转换)。可以识别来自虚拟网络的流量，并允许将其发送到远程互联网目的地。如果目标IP是符合IANA RFC 1918的私有IP范围，Azure防火墙将不会执行SNAT。如果组织将公共IP地址范围用于专用网络，Azure防火墙将通过SNAT将流量发送到AzureFirewallSubnet中的防火墙专用IP地址。

入站DNAT支持

转换为防火墙的公共IP地址(目标网络地址转换)并过滤为虚拟网络上的私有IP地址的入站网络流量。

简单了解了Azure防火墙的功能之后，我们再来看看我们今天的环境。

我们有三个VNET:

1.中国北方的VNET中心也是我们部署防火墙的VNET。

2 .使用VNET1，中国北方

3 .使用VNET2，中国东方2

？集线器VNET和两个辐条网分别通过VNET对等连接。这是基本环境，接下来是我们的防火墙部署和防火墙相关测试。

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。