云计算
接下来,我准备写几篇关于Azure防火墙的文章。防火墙今年才登陆月饼,但在全球GA已经有一段时间了。防火墙作为云原生的NVA产品,无疑可以解决云安全的一大难题,其低廉的价格更是增添了一份独特的吸引力,对于希望拥有类似解决方案,又不想购买第三方NVA产品的用户来说,极具吸引力。从下图可以看出,Azure防火墙也可以很好的实现Azure经典的中枢辐条网络架构。
这次,我们来看看如何使用Azure防火墙来设计hub spoke的架构。首先,我们来看看Azure防火墙能做什么。
Azure防火墙?您可以跨订阅和虚拟网络集中创建、实施和记录应用程序和网络连接策略。Azure防火墙对虚拟网络资源使用静态公共IP地址,以便外部防火墙可以识别来自虚拟网络的流量。并能与之共事。Azure Monitor无缝集成。
总的来说,Azure防火墙有以下优势:
内置高可用性
内置高可用性,因此无需部署额外的负载平衡器或进行任何配置。
无限的云可扩展性
为了适应不断变化的网络流量,Azure防火墙可以尽可能地垂直扩展,因此不需要为峰值流量做预算。
应用FQDN滤波规则
您可以将出站HTTP/S流量或Azure SQL流量(预览版)限制为一组指定的完全限定的域名(FQDN),包括通配符。这个特性不需要SSL终端。
网络流量过滤规则
您可以根据源和目标IP地址、端口和协议,集中创建允许或拒绝网络过滤规则。Azure防火墙是完全有状态的,所以它可以区分不同类型连接的合法数据包。将跨多个订阅和虚拟网络实施和记录规则。
FQDN标签
FQDN标签允许您轻松地允许已知的Azure服务网络流量通过防火墙。例如,假设您希望允许Windows代理网络流量通过防火墙。创建一个应用程序规则,并在其中包含Windows update标记。来自Windows更新的网络流量现在可以通过防火墙。
服务标签
服务标签代表一组IP地址前缀,这有助于最小化安全规则创建过程的复杂性。您不能创建自己的服务标签,也不能指定标签中包含哪些IP地址。Azure管理服务标签中包含的地址前缀,并在地址更改时自动更新服务标签。
?谢伟情报局
可以为防火墙启用基于智能的过滤,以警告和拒绝来自/去往已知恶意IP地址和域的流量。IP地址和域源自Azure智能源。
出站SNAT支持
所有出站虚拟网络流量IP地址都将转换为Azure防火墙公共IP(源网络地址转换)。可以识别来自虚拟网络的流量,并允许将其发送到远程互联网目的地。如果目标IP是符合IANA RFC 1918的私有IP范围,Azure防火墙将不会执行SNAT。如果组织将公共IP地址范围用于专用网络,Azure防火墙将通过SNAT将流量发送到AzureFirewallSubnet中的防火墙专用IP地址。
入站DNAT支持
转换为防火墙的公共IP地址(目标网络地址转换)并过滤为虚拟网络上的私有IP地址的入站网络流量。
简单了解了Azure防火墙的功能之后,我们再来看看我们今天的环境。
我们有三个VNET:
1.中国北方的VNET中心也是我们部署防火墙的VNET。
2 .使用VNET1,中国北方
3 .使用VNET2,中国东方2
?集线器VNET和两个辐条网分别通过VNET对等连接。这是基本环境,接下来是我们的防火墙部署和防火墙相关测试。
更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码代理官网:www.chenqinet.cn。