Sicherheitsverwaltung für das Netzwerk

Abgeschlossen

In dieser Lerneinheit erfahren Sie, wie Sie präzise differenzierte Regeln konfigurieren, die es einer privaten Azure VMware Solution-Cloud ermöglichen, eine Verbindung mit dem Internet herzustellen.

Standardmäßiges Blockieren

Azure Firewall ist gemäß dem Design „standardmäßig blockieren“ konfiguriert. Dies bedeutet, dass jeder Netzwerkdatenverkehr, der für die Durchleitung konfiguriert ist, blockiert wird. Bisher haben Sie die Standardroute über Azure Firewall für die private Azure VMware Solution-Cloud eingefügt. Die Konfiguration „standardmäßig blockieren“ von Azure Firewall lässt jedoch keinen Datenverkehr zu. Dies ist ein gutes Prinzip, nach dem Sie differenzierte Regeln konfigurieren können, die engere Netzwerkkontrollen ermöglichen.

Netzwerkregeln für ausgehenden Datenverkehr

Während „standardmäßig blockieren“ ein gutes Prinzip ist, müssen Sie legitimen Datenverkehr von diesem Prinzip ausschließen. Sie können eins der beiden von Azure Firewall bereitgestellten Features verwenden, um legitimen Datenverkehr aus der „standardmäßig blockieren“-Konfiguration auszuschließen. Das erste Feature wird als „klassische Regeln“ oder einfach „Regeln“ bezeichnet. Wie der Name schon sagt, wird jeder Azure Firewall-Instanz mit einer Regel konfiguriert, die aus einem Protokoll, einem Quell-IP-Adressraum, Quellports, einem Ziel-IP-Adressraum und Zielports besteht. Dies ist eine ausgezeichnete Wahl für kleinere Bereitstellungen. Bei Bereitstellungen auf Unternehmensniveau besitzt dieser Ansatz jedoch eine begrenzte Skalierbarkeit, da die Regeln pro Azure Firewall-Instanz definiert werden. Wenn mehrere Azure Firewall-Instanzen vorhanden sind, wiederholt sich der Prozess des Definierens von Regeln und wird schwer verwaltbar. An dieser Stelle erweist sich das zweite Feature, das „Azure Firewall-Richtlinie“ verwendet, als sehr praktisch. Mithilfe der Azure Firewall-Richtlinie werden Regeln nur einmal definiert und dann auf mehrere Azure Firewall-Instanzen angewendet.

Firewallregeln für Azure VMware Solution

In dieser Lerneinheit verwenden Sie das Feature „Regel“ anstelle des Features „Azure Firewall-Richtlinie“. Die Verwendung des Features „Azure Firewall-Richtlinie“ wird jedoch für Bereitstellungen auf Unternehmensniveau empfohlen, da es eine bessere Skalierbarkeit und Verwaltbarkeit bietet. Das Definieren von Firewallregeln für Azure VMware Solution umfasst den IP-Adressraum, das Protokoll und die Ports des Workloadsegments. Wählen Sie unter Zieltyp die Option „IP-Adresse“ aus. Wählen Sie als Zieladressraum „*“ und als Zielports „*“ oder bestimmte Ports wie 80, 443 aus. usw.

Screenshot der Azure Firewall-Netzwerkregel. Im Menüeintrag mit dem Titel „IP-Adressen“ sind die Quell- und Zieladressen hervorgehoben.