Condividi tramite


Panoramica della distribuzione di Gestione firewall di Azure

Per usare Gestione firewall di Azure per distribuire Azure Firewall è possibile procedere in diversi modi, ma è consigliabile attenersi al processo generale descritto di seguito.

Per esaminare le opzioni dell'architettura di rete, vedere Quali sono le opzioni di architettura di Gestione firewall di Azure?

Processo generale di distribuzione

Reti virtuali hub

  1. Creare criteri firewall

    • Creare nuovi criteri
      or
    • Ottenere criteri di base e personalizzare criteri locali
      or
    • Importare regole da un'istanza esistente di Firewall di Azure. Assicurarsi di rimuovere le regole NAT dai criteri da applicare in più firewall
  2. Creare un'architettura hub-spoke

    • Creare una rete virtuale hub con Gestione firewall di Azure e connettervi tramite peering le reti virtuali spoke usando il peering di reti virtuali
      or
    • Creare una rete virtuale e aggiungere connessioni di rete virtuale, quindi connettervi tramite peering le reti virtuali spoke usando il peering di reti virtuali
  3. Selezionare i provider di sicurezza e associare i criteri firewall. Attualmente, l'unico provider supportato è Firewall di Azure.

    • Eseguire questa operazione durante la creazione di una rete virtuale hub.
      or
    • Convertire una rete virtuale esistente in rete virtuale hub. È anche possibile convertire più reti virtuali.
  4. Configurare route definite dall'utente per indirizzare il traffico al firewall della rete virtuale hub.

Hub virtuali protetti

  1. Creare un'architettura hub-spoke

    • Creare un hub virtuale protetto con Gestione firewall di Azure e aggiungere connessioni di rete virtuale.
      or
    • Creare un hub di rete WAN virtuale e aggiungere connessioni di rete virtuale.
  2. Selezionare i provider di sicurezza

    • Operazione eseguita durante la creazione di un hub virtuale protetto.
      or
    • Convertire un hub di rete WAN virtuale esistente in un hub virtuale protetto.
  3. Creare criteri firewall e associarli all'hub

    • Applicabile solo se si usa Firewall di Azure.
    • I criteri di sicurezza come servizio (SECaaS) dei partner vengono configurati tramite l'esperienza di gestione dei partner.
  4. Configurare le impostazioni della route per instradare il traffico all'hub protetto

    • È possibile instradare facilmente il traffico all'hub protetto per filtrare e accedere senza route definite dall'utente alle reti virtuali spoke usando la pagina delle impostazioni della route dell'hub virtuale protetto.

Nota

Convertire reti virtuali

Le informazioni seguenti si applicano se si converte una rete virtuale esistente in una rete virtuale hub:

  • Se nella rete virtuale è presente un'istanza di Firewall di Azure, è necessario selezionare un criterio firewall da associare al firewall esistente. Lo stato di provisioning del firewall viene aggiornato mentre il criterio firewall sostituisce le regole del firewall. Durante lo stato di provisioning il firewall continua l'elaborazione del traffico e non ha tempi di inattività. Per importare regole esistenti in un criterio firewall, è possibile usare Gestione firewall o Azure PowerShell.
  • Se alla rete virtuale non è associata un'istanza di Firewall di Azure, viene distribuito un firewall e il criterio del firewall viene associato al nuovo firewall.

Passaggi successivi