什么是 Azure 防火墙管理器?
让我们从有关防火墙管理器的定义和核心功能概述入手。 此概述应该可以帮助你决定何时使用防火墙管理器,以及它是否适合贵组织的要求。
什么是集中式防火墙管理?
集中式防火墙管理意味着可以同时管理多个防火墙。 分别维护多个防火墙可能具有挑战性。 随着安全需求的变化,你可能需要重新配置所有防火墙,以确保其设置同步。同样,如果安全需求扩展,则可能需要更新所有防火墙。 使用防火墙管理器可简化防火墙管理。
防火墙管理器定义
使用 Azure 防火墙管理器可以集中管理多个 Azure 防火墙实例。 Azure 防火墙是完全托管的基于云的网络安全服务。 通过实现 Azure 防火墙,可以帮助保护 Azure 资源。
安全团队必须配置并维护用于流量筛选的网络和应用程序级规则。 如果你的组织有多个 Azure 防火墙实例,则可以从集中管理这些配置中受益。 使用防火墙管理器可以:
- 集中管理防火墙。
- 跨越多个 Azure 订阅。
- 跨越不同 Azure 区域。
- 实现中心辐射型体系结构,提供流量管理和保护。
防火墙策略
防火墙策略是防火墙管理器的基本构建基块。 防火墙策略可以包括:
- NAT 设置。
- 网络规则集合。
- 应用程序规则集合。
- 威胁情报设置。
将防火墙策略应用于防火墙。 创建策略后,可以将其与一个或多个虚拟网络或虚拟中心关联。
提示
可以使用 Azure 门户、REST API、模板、Azure PowerShell 和 Azure CLI 创建和管理 Azure 防火墙策略。
如何集中管理防火墙
若要集中管理 Azure 防火墙,请部署防火墙管理器。 它提供以下功能:
集中式部署和配置
支持配置多个 Azure 防火墙实例。 这些实例可能会跨越 Azure 订阅和区域。集中式路由管理
无需在分支虚拟网络上手动创建用户定义的路由。重要
集中式路由管理仅在安全虚拟中心体系结构上可用。
分层策略
这些策略使得跨多个安全虚拟中心集中管理 Azure 防火墙策略成为可能。 IT 安全团队随后可创建全局防火墙策略,并将其应用到整个组织。第三方集成
支持将第三方安全程序作为服务提供程序进行集成。跨区域可用性
支持在一个区域中创建 Azure 防火墙策略,并在其他区域中应用这些策略。DDoS 防护计划
可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。管理 Web 应用程序防火墙策略
可以为应用程序交付平台(包括 Azure Front Door 和 Azure 应用程序网关)集中创建和关联 Web 应用程序防火墙 (WAF) 策略。
你可以在以下两种体系结构之一中实现防火墙管理器,如下表所述。
| 体系结构类型 | 描述 |
|---|---|
| 中心虚拟网络 | 你创建和管理的标准 Azure 虚拟网络。 当你将防火墙策略与这种类型的中心关联时,即创建了中心虚拟网络。 此体系结构的基础资源是虚拟网络。 |
| 安全虚拟中心 | Microsoft 托管资源,让你能够轻松创建中心辐射型体系结构。 当你关联策略时,使用的是安全虚拟中心。 基础资源是虚拟 WAN 中心。 |
下图描述其中每种体系结构类型。 企业管理员对组织的安全策略进行总体策略控制。 本地管理员对与中心虚拟网络关联的策略具有部分控制权。
