你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
外围网络
外围网络(有时称为非军事区域 (外围网络) ),有助于在云网络、本地或物理数据中心网络与 Internet 之间提供安全连接。
在有效的外围网络中,传入的数据包流经托管在安全子网中的安全设备,然后数据包才能到达后端服务器。 安全设备包括防火墙、网络虚拟设备 (NVA) 以及其他入侵检测和防护系统。 来自工作负载的 Internet 绑定数据包还必须流经外围网络中的安全设备,然后才能离开网络。
通常,中心 IT 团队和安全团队负责定义外围网络的运营要求。 外围网络可以提供策略强制执行、检查和审核。
外围网络可以使用以下 Azure 功能和服务:
- 虚拟网络、 用户定义的路由和 网络安全组 (NSG)
- Azure 防火墙
- Azure 应用程序网关 上的 AzureWeb 应用程序防火墙
- AzureFront Door 上的 Azure Web 应用程序防火墙
- 其他网络虚拟设备 (NVA)
- Azure 负载均衡器
- 公共 IP 地址
有关外围网络的详细信息,请参阅 虚拟数据中心:网络透视图。
有关可用于实现自己的外围网络的示例模板,请参阅参考体系结构 实现安全混合网络。
外围网络拓扑
下图显示了一个示例 中心辐射型网络, 其中包含强制访问 Internet 和本地网络的外围网络。
外围网络连接到外围网络中心。 在 DMZ 中心内,连接到 Internet 的外围网络可以扩展以支持许多业务线。 此支持使用多个 Web 应用程序防火墙场, (WAF) 和Azure 防火墙实例来帮助保护分支虚拟网络。 中心还允许根据需要通过虚拟专用网 (VPN) 或 Azure ExpressRoute 连接到本地或合作伙伴网络。
虚拟网络
外围网络通常在虚拟网络中构建。 虚拟网络使用多个子网托管不同类型的服务,这些服务筛选和检查传入或传出其他网络或 Internet 的流量。 这些服务包括 NVA、WAF 和 应用程序网关 实例。
用户定义路由
在中心辐射型网络拓扑中,必须保证由虚拟机 (vm) 在辐射中生成的流量通过中心内正确的虚拟设备。 此流量路由需要辐射子网中的 用户定义的路由 。
用户定义的路由可以保证流量通过指定的自定义 VM、NVA 和负载均衡器。 此路由将内部负载均衡器的前端 IP 地址设置为下一跃点。 内部负载均衡器将内部流量分配到负载均衡器后端池中的虚拟设备。
可以使用用户定义的路由将流量定向到防火墙、入侵检测系统和其他虚拟设备。 客户可以通过这些安全设备路由网络流量,以便实施、审核和检查安全边界策略。
Azure 防火墙
Azure 防火墙是基于云的托管防火墙服务,可帮助保护虚拟网络中的资源。 Azure 防火墙是一种完全有状态的托管防火墙,具有内置的高可用性和不受限制的云可伸缩性。 可以使用 Azure 防火墙 跨订阅和虚拟网络集中创建、强制实施和记录应用程序和网络连接策略。
Azure 防火墙对虚拟网络资源使用静态公共 IP 地址。 外部防火墙可以使用静态公共 IP 来识别源自虚拟网络的流量。 Azure 防火墙使用 Azure Monitor 进行日志记录和分析。
网络虚拟设备
可以通过Azure 防火墙或防火墙或 WAF 场来管理具有 Internet 访问权限的外围网络。 Azure 防火墙实例和 NVA 防火墙可以使用具有一组安全规则的公共管理平面。 这些规则有助于保护辐射中托管的工作负载,并控制对本地网络的访问。 Azure 防火墙具有内置的可伸缩性,可以在负载均衡器后面手动缩放 NVA 防火墙。
不同的业务线使用许多不同的 Web 应用程序,这些应用程序可能会遭受各种漏洞和潜在攻击。 WAF 比一般防火墙更深入地检测针对 HTTP/S Web 应用程序的攻击。 与传统防火墙技术相比,WAF 具有一组特定功能来帮助保护内部 Web 服务器免受威胁。
防火墙场的专用软件比 WAF 少,但也有更广泛的应用程序范围来筛选和检查任何类型的出口和入口流量。 如果使用 NVA 方法,可以从Azure 市场查找和部署软件。
对源自 Internet 的流量使用一组Azure 防火墙实例或 NVA,将另一组用于源自本地的流量。 对两种流量仅使用一组防火墙存在安全风险,因为两组网络流量之间没有安全边界。 使用单独的防火墙层可降低检查安全规则的复杂性,并阐明哪些规则对应于哪些传入的网络请求。
Azure 负载均衡器
Azure 负载均衡器提供高可用性第 4 层传输控制协议/用户数据报协议 (TCP/UDP) 负载均衡服务。 此服务可以在负载均衡集定义的服务实例之间分配传入流量。 负载均衡器可以将流量从前端公共或专用 IP 终结点(无论是否进行地址转换)重新分配到后端 IP 地址池(如 NVA 或 VM)。
负载均衡器还可以探测服务器实例的运行状况。 当实例无法响应探测时,负载均衡器就会停止向运行不正常的实例发送流量。
在中心辐射型网络拓扑示例中,将外部负载均衡器部署到中心和辐射。 中心内的负载均衡器可以高效地将流量路由到分支中的服务。 分支中的负载均衡器管理应用程序流量。
Azure Front Door
Azure Front Door 是一个高度可用且可缩放的 Web 应用程序加速平台和全球 HTTPS 负载均衡器。 可以使用 Azure Front Door 来生成、操作和横向扩展动态 Web 应用程序和静态内容。 Azure Front Door 在 Microsoft 全球网络边缘的 100 多个位置运行。
Azure Front Door 为你的应用程序提供:
- 统一的区域和标记维护自动化。
- 业务连续性和灾难恢复 (BCDR) 自动化。
- 统一的客户端和用户信息。
- 缓存。
- 服务见解。
Azure Front Door 提供性能、可靠性和服务级别协议, (SLA) 提供支持。 Azure Front Door 还提供 Azure 开发、运营和本机支持的合规性认证和可审核的安全做法。
应用程序网关
应用程序网关是一种专用虚拟设备,可提供托管应用程序传送控制器。 应用程序网关为应用程序提供各种第 7 层负载均衡功能。
应用程序网关通过卸载 CPU 密集型安全套接字层 (SSL) 终止来帮助你优化 Web 场的工作效率。 应用程序网关还提供其他第 7 层路由功能,例如:
- 传入流量的轮循机制分配。
- 基于 Cookie 的会话关联。
- 基于 URL 路径的路由。
- 在单个应用程序网关后面托管多个网站。
具有 WAF SKU 的应用程序网关包括 WAF,可为 Web 应用程序提供常见 Web 漏洞和攻击的保护。 可以将应用程序网关配置为,面向 Internet 的网关和/或内部专用网关。
公共 IP
使用某些 Azure 功能,你可以将服务终结点关联到公共 IP 地址。 此选项提供从 Internet 访问资源。 终结点使用网络地址转换 (NAT) 将流量路由到 Azure 虚拟网络上的内部地址和端口。 此路径是外部流量传入虚拟网络的main方式。 可以配置公共 IP 地址来控制传入的流量,以及它转换为虚拟网络的方式和位置。
Azure DDoS 防护
Azure DDoS 防护 提供了额外的缓解功能,可帮助保护虚拟网络中的 Azure 资源免受分布式拒绝服务 (DDoS) 攻击。 DDoS 防护有两个 SKU:DDoS IP 保护和 DDoS 网络保护。 有关详细信息,请参阅 关于 Azure DDoS 防护 SKU 比较。
DDoS 防护易于启用,无需更改应用程序。 可以通过专用流量监视和机器学习算法来优化保护策略。 DDoS 防护将保护应用于与虚拟网络中部署的资源关联的 IPv4 Azure 公共 IP 地址。 示例资源包括 负载均衡器、应用程序网关 和 Azure Service Fabric 实例。
实时遥测通过 Azure Monitor 视图提供,无论是在攻击期间还是出于历史目的。 可以使用 应用程序网关 中的 Web 应用程序防火墙 添加应用程序层保护。
后续步骤
了解如何使用 中心辐射型网络拓扑 模型有效地管理常见通信或安全要求。