Wat is een NVA?

Voltooid

Een virtueel netwerk apparaat (NVA) is een virtueel apparaat dat uit verschillende lagen bestaat, zoals:

• Een firewall
• Een WAN-optimalisatie
• Controllers voor toepassingslevering
• Routers
• Load balancers
• IDS/IPS
• Proxy's

U kunt NVA's implementeren die u kiest uit providers in Azure Marketplace. Dergelijke providers omvatten Cisco, Check Point, Barracuda, Sophos, WatchGuard en SonicWall. U kunt een virtueel netwerkapparaat gebruiken om inkomend verkeer voor een virtueel netwerk te filteren en schadelijke aanvragen of aanvragen afkomstig van onverwachte resources te blokkeren.

In het voorbeeldscenario voor de detailhandelorganisatie moet u samenwerken met de beveiligings-en netwerkteams. U wilt een beveiligde omgeving implementeren waarbij al het inkomende verkeer wordt onderzocht en niet-geautoriseerd verkeer wordt geblokkeerd en niet wordt doorgelaten naar het interne netwerk. Bovendien wilt u zowel het VM-netwerk als het Azure Services-netwerk beveiligen als onderdeel van de netwerkbeveiligingsstrategie van uw bedrijf.

Uw doel is om te voorkomen dat ongewenst of onbeveiligd netwerkverkeer de belangrijkste systemen kan bereiken.

Als onderdeel van de netwerkbeveiligingsstrategie moet u de verkeersstroom in het virtuele netwerk beheren. U moet ook inzicht krijgen in de rol van een virtueel netwerkapparaat en het voordeel dat het gebruik van een virtueel netwerkapparaat biedt bij het beheren van de verkeersstroom in een Azure-netwerk.

Virtueel netwerkapparaat

Virtuele netwerkapparaten (NVA's) zijn virtuele machines die de stroom van netwerkverkeer beheren door routering te beheren. Doorgaans gebruikt u ze om verkeer te beheren dat van een perimeternetwerkomgeving naar andere netwerken of subnetten stroomt.

U kunt firewallapparaten in verschillende configuraties in een virtueel netwerk implementeren. U kunt een firewallapparaat in een perimeternetwerksubnet in het virtuele netwerk plaatsen of als u meer controle wilt over beveiliging, een microsegmentatiebenadering implementeren.

Met de microsegmentatiemethode kunt u toegewezen subnetten voor de firewall maken en vervolgens webtoepassingen en andere services implementeren in andere subnetten. Al het verkeer wordt gerouteerd via de firewall en geïnspecteerd door de NVA's. U schakelt doorsturen in op de netwerkinterfaces van het virtuele apparaat om verkeer door te geven dat wordt geaccepteerd door het juiste subnet.

Met microsegmentatie kan de firewall alle pakketten op OSI-laag 4 en, voor app-gerichte apparaten, OSI-laag 7 controleren. Wanneer u een NVA implementeert in Azure, fungeert dit als een router die aanvragen doorstuurt tussen de subnetten in het virtuele netwerk.

Voor enkele NVA's zijn meerdere netwerkinterfaces vereist. Eén netwerkinterface is toegewezen aan het beheernetwerk voor het apparaat. Met aanvullende netwerkinterfaces wordt de verwerking van het verkeer beheerd en geregeld. Nadat u de NVA hebt geïmplementeerd, kunt u het apparaat configureren om het verkeer via de juiste interface te routeren.

Door de gebruiker gedefinieerde routes

Voor de meeste omgevingen zijn de standaardsysteemroutes, die al door Azure zijn gedefinieerd, voldoende om de omgevingen actief en werkend te krijgen. In bepaalde gevallen moet u een routeringstabel maken en aangepaste routes toevoegen. Voorbeelden zijn:

• Toegang tot internet via on-premises netwerk met behulp van geforceerde tunneling
• Virtuele apparaten gebruiken om de verkeersstroom te beheren

U kunt meerdere routetabellen maken in Azure. Elke routetabel kan worden gekoppeld aan een of meer subnetten. Een subnet kan slechts aan één routetabel worden gekoppeld.

Virtuele netwerkapparaten in een architectuur met hoge beschikbaarheid

Als verkeer via een NVA wordt gerouteerd, wordt het NVA een belangrijk onderdeel van uw infrastructuur. Eventuele NVA-fouten zijn rechtstreeks van invloed op de mogelijkheid van uw services om te communiceren. Het is belangrijk dat u gebruikmaakt van een zeer beschikbare architectuur in uw NVA-implementatie.

Er zijn verschillende methoden om hoge beschikbaarheid te bereiken wanneer u NVA's gebruikt. Aan het einde van deze module vindt u meer informatie over het gebruik van NVA's in scenario's met een hoge beschikbaarheid.

Kennis testen

1.

Wat is het belangrijkste voordeel van het gebruik van een virtueel netwerkapparaat?

De uitgaande toegang tot internet kan worden geregeld.

De belasting van inkomend verkeer vanaf internet kan over meerdere Azure-VM's en twee regio's voor herstel na noodgeval worden verdeeld.

Inkomend verkeer kan vanaf het perimeternetwerk worden beheerd en alleen verkeer dat voldoet aan de beveiligingsvereisten wordt doorgelaten.

Er kan worden bepaald wie er vanuit het perimeternetwerk toegang heeft tot Azure-resources.

2.

Hoe kunt u een eenvoudig virtueel netwerkapparaat implementeren?

U kunt een Windows-VM configureren en doorsturen via IP inschakelen nadat de routeringstabellen, door de gebruiker gedefinieerde routes en subnetten zijn bijgewerkt. U kunt ook een installatiekopie van een partner op Azure Marketplace gebruiken.

Met behulp van Azure CLI een Linux-VM in Azure implementeren, deze VM verbinden met uw virtuele productienetwerk en er een openbaar IP-adres aan toewijzen.

Met Azure Portal een instantie van Windows 2016 Server implementeren. Vervolgens met Azure Application Gateway de instantie van Windows 2016 Server toevoegen als doeleindpunt.

Een virtueel apparaat downloaden van Azure Marketplace en het apparaat zo configureren dat het verbinding maakt met de productie- en perimeternetwerken.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.