Co je síťové virtuální zařízení (NVA)?

Dokončeno

Síťové virtuální zařízení (NVA) je virtuální zařízení složené z různých vrstev. Jsou to například tyto vrstvy:

  • Brána firewall
  • Optimalizátor sítě WAN
  • Kontrolery doručování aplikací
  • Routery
  • Nástrojů pro vyrovnávání zatížení
  • IDS/IPS,
  • Proxy

Síťová virtuální zařízení, která si zvolíte od poskytovatelů, můžete nasadit na Azure Marketplace. Mezi tyto poskytovatele patří Cisco, Check Point, Barracuda, Sophos, WatchGuard a SonicWall. Síťové virtuální zařízení můžete použít k filtrování provozu, který přichází do virtuální sítě, k blokování škodlivých požadavků nebo k blokování požadavků vznášených neočekávanými prostředky.

V ukázkovém scénáři z maloobchodní organizace musíte spolupracovat se síťovým a bezpečnostním týmem. Chcete implementovat zabezpečené prostředí, které prověřuje veškerý příchozí provoz a blokuje neoprávněný provoz, aby nevstupoval do interní sítě. V rámci bezpečnostní strategie firmy chcete také zabezpečit síť virtuálních počítačů a síť služeb Azure.

Vaším cílem je zabránit nežádoucímu nebo nezabezpečenému provozu, aby pronikl do vašich klíčových systémů.

Proto v rámci strategie zabezpečení sítě musíte řídit tok provozu ve vaší virtuální síti. Musíte také znát roli síťového virtuálního zařízení a výhody jeho používání ke kontrole toku provozu v síti Azure.

Síťové virtuální zařízení

Síťová virtuální zařízení (NVA) jsou virtuální počítače, které řídí tok síťového provozu pomocí řízení směrování. Obvykle je použijete ke správě provozu, který proudí z prostředí hraniční sítě do jiných sítí nebo podsítí.

Diagram síťové architektury se síťovým virtuálním zařízením

Zařízení brány firewall můžete do virtuální sítě nasadit v různých konfiguracích. Zařízení brány firewall můžete umístit do podsítě hraniční sítě ve virtuální síti nebo pokud chcete mít větší kontrolu nad zabezpečením, implementovat přístup k mikrosegmentaci.

Při mikrosegmentaci můžete pro bránu firewall vytvořit vyhrazené podsítě a pak do těchto dalších podsítí nasadit webové aplikace a jiné služby. Veškerý provoz bude směrovaný přes bránu firewall a kontrolovaný síťovými virtuálními zařízeními. V síťových rozhraních virtuálního zařízení povolíte předávání provozu, který přijímá příslušná podsíť.

Mikrosegmentace umožňuje bráně firewall kontrolovat všechny pakety ve 4. vrstvě modelu OSI a u zařízení schopných rozpoznávat aplikace v 7. vrstvě. Když v Azure nasadíte síťové virtuální zařízení, funguje jako router, který předává požadavky mezi podsítěmi virtuální sítě.

Některé síťová virtuální zařízení vyžadují více síťových rozhraní. Jedno síťové rozhraní je vyhrazené pro síť pro správu zařízení. Další síťová rozhraní spravují a řídí zpracování provozu. Po nasazení síťového virtuálního zařízení můžete u zařízení nakonfigurovat směrování provozu přes správné rozhraní.

Trasy definované uživatelem

Ve většině prostředí stačí ke zprovoznění výchozí systémové trasy, které jsou definované v Azure. V některých případech byste měli vytvořit směrovací tabulku a přidat vlastní trasy. Příkladem může být:

  • Přístup k internetu přes místní síť pomocí vynuceného tunelování
  • Řízení toku provozu pomocí virtuálních zařízení

V Azure můžete vytvořit více směrovacích tabulek. Každá směrovací tabulka může být přidružená k jedné nebo více podsítím. Podsíť může být přidružená pouze k jedné směrovací tabulce.

Síťová virtuální zařízení v architektuře s vysokou dostupností

Pokud ke směrování provozu používáte síťové virtuální zařízení, je toto zařízení velice důležitou součástí vaší infrastruktury. Všechna selhání síťového virtuálního zařízení přímo ovlivňují schopnost vašich služeb komunikovat. Proto je při nasazení síťového virtuálního zařízení důležité zahrnout architekturu s vysokou dostupností.

Při použití síťových virtuálních zařízení existuje několik způsobů, jak dosáhnout vysoké dostupnosti. Další informace o používání síťových virtuálních zařízení ve scénářích s vysokou dostupností najdete na konci tohoto modulu.

Kontrola znalostí

1.

Co je hlavní výhodou použití síťového virtuálního zařízení?

2.

Jak můžete nasadit síťové virtuální zařízení?