Zarządzanie bezpieczeństwem sieci
W tej lekcji dowiesz się, jak skonfigurować szczegółowe reguły, które umożliwiają chmurie prywatnej usługi Azure VMware Solution łączenie się z Internetem.
Blokuj domyślnie
Usługa Azure Firewall jest skonfigurowana w projekcie "blokuj domyślnie". Oznacza to, że każdy ruch sieciowy skonfigurowany do jego przekazywania będzie blokowany. Do tej pory wstrzykujesz trasę domyślną za pośrednictwem usługi Azure Firewall dla chmury prywatnej usługi Azure VMware Solution. Jednak konfiguracja "blokuj domyślnie" usługi Azure Firewall nie zezwala na żaden ruch. Jest to dobra zasada, na której można skonfigurować szczegółowe reguły, które umożliwiają ściślejsze mechanizmy kontroli sieci.
Reguły sieci wychodzącej
Chociaż "blokuj domyślnie" jest dobrą zasadą, musisz wykluczyć z tej zasady legalny ruch. Możesz użyć jednej z dwóch funkcji udostępnianych przez usługę Azure Firewall, aby wykluczyć uzasadniony ruch z konfiguracji "blokuj domyślnie". Pierwsza funkcja jest nazywana "regułami klasycznymi" lub po prostu "regułami". Jak sugeruje nazwa, każde wystąpienie usługi Azure Firewall jest skonfigurowane z regułą, która składa się z protokołu, źródłowej przestrzeni adresowej IP, portów źródłowych, docelowej przestrzeni adresowej IP i portów docelowych. Jest to doskonały wybór dla mniejszych wdrożeń. Jednak w przypadku wdrożeń klasy korporacyjnej takie podejście ma ograniczoną skalowalność, ponieważ reguły są definiowane dla wystąpienia usługi Azure Firewall. Jeśli istnieje wiele wystąpień usługi Azure Firewall, proces definiowania reguł staje się powtarzalny i trudny do zarządzania. W tym miejscu druga funkcja, która używa zasad usługi Azure Firewall, staje się przydatna. Przy użyciu zasad usługi Azure Firewall reguły są definiowane tylko raz, a następnie stosowane do wielu wystąpień usługi Azure Firewall.
Reguły zapory dla rozwiązania Azure VMware Solution
W tej lekcji użyjesz funkcji "reguła" zamiast funkcji "Zasady usługi Azure Firewall". Jednak użycie funkcji "Zasady usługi Azure Firewall" jest zalecane w przypadku wdrożeń klasy korporacyjnej, ponieważ zapewnia lepszą skalowalność i możliwości zarządzania. Definiowanie reguł zapory dla rozwiązania Azure VMware Solution obejmuje przestrzeń adresów IP segmentu obciążenia, protokół i porty. W polu Typ docelowy wybierz pozycję "Adres IP". W przypadku docelowej przestrzeni adresowej wybierz pozycję "*" i dla portów docelowych wybierz pozycję "*" lub określone porty, takie jak 80, 443. I tak dalej.
