Hantering av nätverkssäkerhet
I den här lektionen får du lära dig att konfigurera detaljerade regler som gör det möjligt för privata Azure VMware Solution-moln att ansluta till Internet.
Blockera som standard
Azure Firewall har konfigurerats i "blockera som standard"-design. Det innebär att all nätverkstrafik som är konfigurerad för att passera den blockeras. Hittills har du matat in standardvägen via Azure Firewall for Azure VMware Solution private cloud. Men Azure Firewalls "blockera som standard"-konfiguration tillåter inte någon trafik. Det här är en bra princip där du kan konfigurera detaljerade regler som möjliggör strängare nätverkskontroller.
Regler för utgående nätverk
Även om "blockera som standard" är en bra princip behöver du legitim trafik som ska undantas från den här principen. Du kan använda en av de två funktionerna som tillhandahålls av Azure Firewall för att undanta legitim trafik från konfigurationen "blockera som standard". Den första funktionen kallas "klassiska regler" eller bara "regler". Varje Azure Firewall-instans konfigureras med en regel som består av ett protokoll, käll-IP-adressutrymme, källportar, mål-IP-adressutrymme och målportar. Det här är ett utmärkt val för mindre distributioner. Men för distributioner i företagsklass har den här metoden begränsad skalbarhet eftersom reglerna definieras per Azure Firewall-instans. När det finns flera Azure Firewall-instanser blir processen för att definiera regler repetitiv och svår att hantera. Det är här den andra funktionen, som använder Azure Firewall-princip, blir praktisk. Med hjälp av Azure Firewall-principen definieras regler bara en gång och tillämpas sedan på flera Azure Firewall-instanser.
Brandväggsregler för Azure VMware Solution
I den här lektionen använder du funktionen "regel" i stället för funktionen "Azure Firewall Policy". Men att använda funktionen "Azure Firewall Policy" rekommenderas för distributioner i företagsklass eftersom den ger bättre skalbarhet och hanterbarhet. Definitionen av brandväggsregler för Azure VMware Solution omfattar arbetsbelastningssegmentets IP-adressutrymme, protokoll och portar. Som måltyp väljer du IP-adress. För måladressutrymme väljer du * och för målportar väljer du * eller specifika portar som 80, 443. och så vidare.
