使用 Azure 防火牆管理員保護網路

  • 7 分鐘

使用 Azure 防火牆管理員

Azure 防火牆管理員是一種安全性管理服務,能為雲端式安全界限提供集中的安全性原則及路由管理。

顯示安全中樞和中樞 VNet 部署選項的 Azure 防火牆管理員圖表。

Azure 防火牆管理員可簡化集中定義網路和應用層級規則的程序,以跨多個 Azure 防火牆執行個體進行流量篩選。 您可以跨越中樞和輪輻架構中的不同 Azure 區域和訂閱,對流量進行控管和保護。

如果您管理多個防火牆,即會知道持續變更防火牆規則會使其難以保持同步。中央 IT 小組必須能夠定義基本防火牆原則,並跨多個營業單位實施。 同時,DevOps 小組想要建立自己的本機衍生防火牆原則,以跨組織實作。 Azure 防火牆管理員可協助解決這些問題。

防火牆管理員可為下列兩種網路架構類型提供安全性管理:

  • 安全虛擬中樞 - 這是提供給任何 Azure 虛擬 WAN 中樞的名稱 (若已有與其建立關聯的安全性和路由原則)。 Azure 虛擬 WAN 中樞是一項由 Microsoft 管理的資源,可讓您輕鬆建立中樞和輪輻架構。
  • 中樞虛擬網路 - 這是提供給任何標準 Azure 虛擬網路的名稱 (若已有與其建立關聯的安全性原則)。 標準 Azure 虛擬網路是您自行建立和管理的資源。 目前僅支援 Azure 防火牆原則。 您可以將包含工作負載伺服器和服務的輪輻虛擬網路對等互連。 您也可以在獨立虛擬網路中管理未對等互連到任何輪輻的防火牆。

Azure 防火牆管理員功能

Azure 防火牆管理員提供的主要功能包括:

  • 集中式 Azure 防火牆部署和設定

    您可以集中部署和設定跨越不同 Azure 區域和訂用帳戶的多個 Azure 防火牆執行個體。

  • 階層式原則 (全域和本機)

    您可以使用 Azure 防火牆管理員,集中管理多個安全虛擬中樞的 Azure 防火牆原則。 您的中央 IT 小組可以撰寫全域防火牆原則,以在多個小組間強制執行全組織的防火牆原則。 在本機撰寫的防火牆原則可讓 DevOps 自助模型獲得更高的靈活性。

  • 與第三方安全性即服務整合,以取得進階安全性

    除了 Azure 防火牆,您還可以整合第三方安全性即服務提供者,為您的 VNet 和分支網際網路連線提供額外的網路保護。 這項功能僅適用於安全虛擬中樞部署 (如上所示)。

  • 集中式路由管理

    您可以輕鬆地將流量路由傳送至安全中樞進行篩選和記錄,而不需要在輪輻虛擬網路上手動設定使用者定義的路由 (UDR)。 這項功能僅適用於安全虛擬中樞部署 (如上所示)。

  • 區域可用性

    您可以跨區域使用 Azure 防火牆原則。 例如,您在美國西部區域建立的原則仍可用於美國東部區域。

  • DDoS 保護計劃

    您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。

  • 管理 Web 應用程式防火牆原則

    您可以集中建立和關聯您的應用程式傳遞平台的 Web 應用程式防火牆 (WAF) 原則,包括 Azure Front Door 和 Azure 應用程式閘道。

Azure 防火牆管理員原則

防火牆原則是一種 Azure 資源,其中包含 NAT、網路和應用程式規則集合,以及威脅情報設定。 這是全域資源,可跨安全虛擬中樞及中樞虛擬網路中的多個 Azure 防火牆執行個體使用。 您可從頭開始建立新原則,或繼承自現有的原則。 繼承可讓 DevOps 在組織規定的基本原則之上建立本機防火牆原則。 原則可跨地區和訂用帳戶運作。

您可以使用 Azure 防火牆管理員建立防火牆原則和關聯。 不過,您也可以使用 REST API、範本、Azure PowerShell 和 Azure CLI 來建立和管理原則。 建立原則之後,您可以將原則與虛擬 WAN 中樞內的防火牆建立關聯,使其成為安全虛擬中樞,及/或將其與標準 Azure 虛擬網路中的防火牆建立關聯,使其成為中樞虛擬網路。

Azure 防火牆管理員的圖表,當中有三個部署至不同中樞 VNet 且已套用原則的防火牆。

針對中樞虛擬網路部署 Azure 防火牆管理員

針對中樞虛擬網路部署 Azure 防火牆管理員的建議程序如下:

  1. 建立防火牆原則

    您可以建立新的原則、衍生基本原則和自訂本機原則,或從現有的 Azure 防火牆匯入規則。 請務必從應套用至多個防火牆的原則中移除 NAT 規則。

  2. 建立中樞和輪輻架構

    做法有兩種,第一種做法是建立使用 Azure 防火牆管理員的中樞虛擬網路,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路;第二種做法是建立虛擬網路並新增虛擬網路連線,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路。

  3. 選取安全性提供者並建立防火牆原則的關聯

    目前,只有 Azure 防火牆是支援的提供者。 若要這麼做,可以在建立中樞虛擬網路期間進行,或是透過將現有的虛擬網路轉換至中樞虛擬網路。 此外,也可能轉換多個虛擬網路。

  4. 設定使用者定義的路由,以將流量路由至您的中樞虛擬網路防火牆。

針對安全虛擬中樞部署 Azure 防火牆管理員

針對安全虛擬中樞部署 Azure 防火牆管理員的建議程序如下:

  1. 建立中樞和輪輻架構

    若要這麼做,請使用 Azure 防火牆管理員建立安全虛擬中樞並新增虛擬網路連線,或建立虛擬 WAN 中樞並新增虛擬網路連線。

  2. 選取安全性提供者

    若要這麼做,可以在建立安全虛擬中樞時進行,或是透過將現有的虛擬 WAN 中樞轉換為安全的虛擬中樞。

  3. 建立防火牆原則,並將它與您的中樞建立關聯

    只有在使用 Azure 防火牆時才能這麼做。 協力廠商安全性即服務原則是透過合作夥伴管理體驗來設定的。

  4. 設定路由設定,以將流量路由傳送至您的安全虛擬中樞

    您可以 [安全虛擬中樞路由設定] 頁面,輕鬆地將流量路由傳送到安全中樞,以進行篩選和記錄,而不需要輪輻虛擬網路上的使用者定義路由 (UDR)。

每個區域的每個虛擬 WAN 只能有一個中樞,但在區域中新增多個虛擬 WAN 就能擁有多個中樞。

vWAN 中的中樞不得有重疊的 IP 空間。

您的中樞 VNet 連線必須與中樞位於相同的地區。