Jakie są opcje architektury usługi Azure Firewall Manager?
Usługa Azure Firewall Manager może zapewnić zarządzanie zabezpieczeniami dla dwóch typów architektur sieci:
zabezpieczone koncentrator wirtualny
Koncentrator usługi Azure Virtual WAN jest zarządzanym przez firmę Microsoft zasobem, który pozwala łatwo tworzyć architektury gwiazdy. Gdy zasady zabezpieczeń i routingu są skojarzone z takim koncentratorem, jest nazywane zabezpieczonym koncentratorem wirtualnym.
sieć wirtualna koncentratora
Jest to standardowa sieć wirtualna platformy Azure, którą samodzielnie tworzysz i zarządzasz nią. Gdy zasady zabezpieczeń są skojarzone z takim koncentratorem, jest to nazywane siecią wirtualną koncentratora. Obecnie obsługiwana jest tylko usługa Azure Firewall Policy. Sieci wirtualne będące szprychami, które zawierają serwery obciążeń i usługi. Zapory można również zarządzać w autonomicznych sieciach wirtualnych, które nie są równorzędne z żadną szprychą.
Porównanie
Poniższa tabela zawiera porównanie tych dwóch opcji architektury i może pomóc w podjęciu decyzji, która z nich jest odpowiednia dla wymagań dotyczących zabezpieczeń organizacji:
| Sieć wirtualna koncentratora | Bezpieczny koncentrator wirtualny | |
|---|---|---|
| Zasób bazowy | Sieć wirtualna | Koncentrator wirtualnej sieci WAN |
| Piasta i szprycha | Używa komunikacji równorzędnej sieci wirtualnych | Zautomatyzowane przy użyciu połączenia sieci wirtualnej koncentratora |
| Łączność lokalna | Usługa VPN Gateway do 10 Gb/s i 30 połączeń S2S; ExpressRoute | Bardziej skalowalna usługa VPN Gateway o szybkości 20 Gb/s i 1000 połączeń S2S; Express Route |
| Automatyczna łączność gałęzi przy użyciu standardu SDWAN | Nieobsługiwane | Obsługiwane |
| Koncentratory na region | Wiele sieci wirtualnych na region | Wiele koncentratorów wirtualnych na region |
| Azure Firewall — wiele publicznych adresów IP | Podany przez klienta | Generowane automatycznie |
| Strefy dostępności usługi Azure Firewall | Obsługiwane | Obsługiwane |
| Zaawansowane zabezpieczenia internetowe z użyciem zabezpieczeń jako usługi innych firm | Ustanowiona przez klienta i zarządzana łączność sieci VPN z wybraną usługą partnera | Zautomatyzowane za pośrednictwem przepływu dostawcy zabezpieczeń i środowiska zarządzania partnerami |
| Scentralizowane zarządzanie trasami w celu kierowania ruchu do centrum | Trasa zdefiniowana przez użytkownika zarządzana przez klienta | Obsługiwane przy użyciu protokołu BGP |
| Obsługa wielu dostawców zabezpieczeń | Obsługiwane z ręcznie skonfigurowanym wymuszonym tunelowaniem do zapór innych firm | Automatyczna obsługa dwóch dostawców zabezpieczeń: usługa Azure Firewall na potrzeby filtrowania ruchu prywatnego i filtrowanie przez internet innych firm |
| Zapora aplikacji internetowej w usłudze Application Gateway | Obsługiwane w sieci wirtualnej | Obecnie obsługiwane w sieci szprych |
| Wirtualne urządzenie sieciowe | Obsługiwane w sieci wirtualnej | Obecnie obsługiwane w sieci szprych |
| Obsługa usługi Azure DDoS Protection | Tak | Nie |