Hvad er en NVA?

Fuldført

Et virtuelt apparat på netværket (NVA) er et virtuelt apparat, der består af forskellige lag, f.eks.:

• En firewall
• En WAN-optimering
• Controllere til programlevering
• Routere
• Belastningsjusteringer
• IDS/IPS
• Proxies

Du kan udrulle NVA'er, som du vælger fra udbydere på Azure Marketplace. Sådanne udbydere omfatter Cisco, Check Point, Barracuda, Sophos, WatchGuard og SonicWall. Du kan bruge en NVA til at filtrere indgående trafik til et virtuelt netværk, til at blokere skadelige anmodninger og til at blokere anmodninger, der er foretaget fra uventede ressourcer.

I eksempelscenariet for detailhandelsorganisationen skal du arbejde med sikkerheds- og netværksteams. Du vil implementere et sikkert miljø, der undersøger al indgående trafik og blokerer uautoriseret trafik fra overførsel til det interne netværk. Du vil også sikre både netværk med virtuelle maskiner og Azure-tjenester som en del af din virksomheds strategi for netværkssikkerhed.

Dit mål er at forhindre uønsket eller usikker netværkstrafik i at nå vigtige systemer.

Som en del af netværkssikkerhedsstrategien skal du styre trafikflowet i dit virtuelle netværk. Du skal også lære rollen for en NVA og fordelen ved at bruge en NVA til at styre trafikflowet via et Azure-netværk.

Virtuelt apparat til netværk

Virtuelle netværksapparater (NVA'er) er virtuelle maskiner, der styrer flowet af netværkstrafik ved at styre routing. Du bruger dem typisk til at administrere trafik, der flyder fra et perimeternetværksmiljø til andre netværk eller undernet.

Du kan installere firewallapparater i et virtuelt netværk i forskellige konfigurationer. Du kan placere et firewall-apparat i et perimeternetværksundernet på det virtuelle netværk, eller hvis du vil have mere kontrol over sikkerheden, skal du implementere en tilgang til mikrosegmentering.

Med tilgangen til mikrosegmentering kan du oprette dedikerede undernet til firewallen og derefter installere webprogrammer og andre tjenester i andre undernet. Al trafik dirigeres gennem firewallen og inspiceres af NVA'erne. Du skal aktivere videresendelse på netværksgrænsefladerne for virtuelle apparater for at overføre trafik, der accepteres af det relevante undernet.

Mikrosegmentering gør det muligt for firewallen at inspicere alle pakker på OSI Layer 4 og, for programorienterede apparater, Layer 7. Når du udruller en NVA på Azure, fungerer den som en router, der videresender anmodninger mellem undernet på det virtuelle netværk.

Nogle NVA'er kræver flere netværksgrænseflader. En netværksgrænseflade er dedikeret til enhedens administrationsnetværk. Yderligere netværksgrænseflader administrerer og styrer trafikbehandlingen. Når du har installeret NVA, kan du konfigurere apparatet til at dirigere trafikken gennem den korrekte grænseflade.

Brugerdefinerede ruter

I de fleste miljøer er de standardsystemruter, der allerede er defineret af Azure, nok til at få miljøerne i gang. I visse tilfælde skal du oprette en distributionstabel og tilføje brugerdefinerede ruter. Eksempler omfatter:

• Adgang til internettet via netværk i det lokale miljø ved hjælp af tvungen tunnelføring
• Brug af virtuelle apparater til at styre trafikflowet

Du kan oprette flere rutetabeller i Azure. Hver rutetabel kan knyttes til et eller flere undernet. Et undernet kan kun knyttes til én rutetabel.

Netværk af virtuelle apparater i en arkitektur, der er meget tilgængelig

Hvis trafikken dirigeres gennem en NVA, bliver NVA en vigtig del af din infrastruktur. Eventuelle NVA-fejl påvirker direkte dine tjenesters mulighed for at kommunikere. Det er vigtigt at inkludere en arkitektur, der er meget tilgængelig, i din NVA-udrulning.

Der er flere metoder til at opnå høj tilgængelighed, når du bruger NVA'er. I slutningen af dette modul kan du finde flere oplysninger om brug af NVA'er i yderst tilgængelige scenarier.

Tjek din viden

1.

Hvad er den største fordel ved at bruge et virtuelt apparat på netværket?

Til at styre udgående adgang til internettet.

Til belastningsjustering af indgående trafik fra internettet på tværs af flere virtuelle Azure-maskiner og på tværs af to områder til DR-formål.

Til at styre indgående trafik fra perimeternetværket og kun tillade, at trafik, der opfylder sikkerhedskravene, passere igennem.

Til at styre, hvem der kan få adgang til Azure-ressourcer fra perimeternetværket.

2.

Hvordan kan du installere et virtuelt apparat på netværket?

Du kan konfigurere en virtuel Windows-maskine og aktivere videresendelse af IP-adresser, når routingtabeller, brugerdefinerede ruter og undernet er blevet opdateret. Eller du kan bruge et partnerbillede fra Azure Marketplace.

Ved hjælp af Azure CLI skal du udrulle en virtuel Linux-maskine i Azure, forbinde denne virtuelle maskine med dit virtuelle produktionsnetværk og tildele en offentlig IP-adresse.

Udrul en Forekomst af Windows 2016 Server ved hjælp af Azure Portal. Derefter skal du ved hjælp af Azure Application Gateway tilføje Forekomsten af Windows 2016 Server som et destinationsslutpunkt.

Download et virtuelt apparat fra Azure Marketplace, og konfigurer apparatet til at oprette forbindelse til produktions- og perimeternetværk.

Du skal svare på alle spørgsmål, før du kontrollerer dit arbejde.