云計算

接下來準備寫幾篇關于Azure Firewall的介紹，firewall今年剛剛在mooncake落地，但是在Global GA已經(jīng)有段時間了，?Firewall作為一款云原生的NVA產(chǎn)品，無疑可以解決在云上安全的一大難題，本身低廉的售價更是增添了獨特的吸引力，對于希望能夠有類似解決方案，并且不希望購買第三方NVA產(chǎn)品的用戶吸引力是很大的，從下圖中可以看到，利用Azure Firewall也可以很好地實現(xiàn)Azure經(jīng)典的hub spoke網(wǎng)絡架構

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：國際域名空間、虛擬空間、營銷軟件、網(wǎng)站建設、青山網(wǎng)站維護、網(wǎng)站推廣。

這次我們就來一起看下怎么用Azure Firewall來做出來hub spoke的架構設計，首先，我們先來看看Azure Firewall都能做什么

Azure Firewall?可以跨訂閱和虛擬網(wǎng)絡集中創(chuàng)建、實施和記錄應用程序與網(wǎng)絡連接策略。?Azure 防火墻對虛擬網(wǎng)絡資源使用靜態(tài)公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網(wǎng)絡的流量。?并且可以與?Azure Monitor 無縫集成。

總體來說Azure Firewall有以下優(yōu)勢：

內(nèi)置的高可用性

內(nèi)置高可用性，因此不需要部署額外的負載均衡器，也不需要進行任何配置。

不受限制的云可伸縮性

為了適應不斷變化的網(wǎng)絡流量流，Azure 防火墻可盡程度進行縱向擴展，因此不需要為峰值流量做出預算。

應用程序 FQDN 篩選規(guī)則

可將出站 HTTP/S 流量或 Azure SQL 流量（預覽版）限制到指定的一組完全限定的域名 (FQDN)（包括通配符）。 此功能不需要 SSL 終止。

網(wǎng)絡流量篩選規(guī)則

可以根據(jù)源和目標 IP 地址、端口和協(xié)議，集中創(chuàng)建“允許”或“拒絕”網(wǎng)絡篩選規(guī)則。 Azure 防火墻是完全有狀態(tài)的，因此它能區(qū)分不同類型的連接的合法數(shù)據(jù)包。 將跨多個訂閱和虛擬網(wǎng)絡實施與記錄規(guī)則。

FQDN 標記

FQDN 標記使你可以輕松地允許已知的 Azure 服務網(wǎng)絡流量通過防火墻。 例如，假設你想要允許 Windows 更新的網(wǎng)絡流量通過防火墻。 創(chuàng)建應用程序規(guī)則，并在其中包括 Windows 更新標記。 現(xiàn)在，來自 Windows 更新的網(wǎng)絡流量將可以流經(jīng)防火墻。

服務標記

服務標記表示一組 IP 地址前綴，幫助程度地降低安全規(guī)則創(chuàng)建過程的復雜性。 無法創(chuàng)建自己的服務標記，也無法指定要將哪些 IP 地址包含在標記中。 Azure 會管理服務標記包含的地址前綴，并會在地址發(fā)生更改時自動更新服務標記。

? ? weixie情報

可以為防火墻啟用基于智能的篩選，以提醒和拒絕來自/到達已知惡意 IP 地址和域的流量。 IP 地址和域源自 Azure 智能源。

出站 SNAT 支持

所有出站虛擬網(wǎng)絡流量 IP 地址將轉換為 Azure 防火墻公共 IP（源網(wǎng)絡地址轉換）。 可以識別源自你的虛擬網(wǎng)絡的流量，并允許將其發(fā)往遠程 Internet 目標。 如果目標 IP 是符合 IANA RFC 1918 的專用 IP 范圍，Azure 防火墻不會執(zhí)行 SNAT。 如果組織對專用網(wǎng)絡使用公共 IP 地址范圍，Azure 防火墻會通過 SNAT 將流量發(fā)送到 AzureFirewallSubnet 中的某個防火墻專用 IP 地址。

入站 DNAT 支持

轉換到防火墻公共 IP 地址的入站網(wǎng)絡流量（目標網(wǎng)絡地址轉換）并將其篩選到虛擬網(wǎng)絡上的專用 IP 地址。

簡單了解下Azure Firewall的功能之后，來看下我們今天的環(huán)境

我們有三個VNET:

1.Hub VNET，china north，也是我們的firewall部署所在的VNET

2.spoke VNET1, china north

3.spoke VNET2, china east2

? ?Hub VNET和兩個spoke VNET分別用VNET Peering打通，?基本環(huán)境就是這樣，后邊就是我們的Firewall的部署以及跟Firewall有關的測試了

當前標題：AzureFirewall簡介
文章鏈接：http://www.rwnh.cn/article12/cgssgc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、域名注冊、定制開發(fā)、網(wǎng)站設計、標簽優(yōu)化、服務器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)