什麼是 Azure 防火牆管理員結構選項?
Azure 防火牆管理員可針對兩種網路結構類型提供安全性管理:
安全虛擬中樞
Azure 虛擬 WAN 中樞是一項由 Microsoft 管理的資源,可讓您輕鬆建立中樞和輪輻架構。 當安全性和路由原則與此類中樞產生關聯時,稱為安全虛擬中樞。
中樞虛擬網路
這是您自行建立和管理的標準 Azure 虛擬網路。 當安全性原則與此類中樞相關聯時,稱為「安全虛擬網路」。 目前僅支援 Azure 防火牆原則。 您可以將包含工作負載伺服器和服務的輪輻虛擬網路對等互連。 您也可以在獨立虛擬網路中管理未對等互連到任何輪輻的防火牆。
比較
下表比較這兩種結構選項,可協助您決定哪一種適合組織的安全性需求:
| 中樞虛擬網路 | 安全虛擬中樞 | |
|---|---|---|
| 基礎資源 | 虛擬網路 | 虛擬 WAN 中樞 |
| 中樞和輪輻 | 使用虛擬網路對等互連 | 使用中樞虛擬網路連線進行自動化 |
| 內部部署連線能力 | VPN 閘道最高可達 10 Gbps 和 30 個 S2S 連線;ExpressRoute | 可調整 VPN 閘道最高可達 20 Gbps 和 1000 個 S2S 連線;Express Route |
| 使用 SDWAN 自動化分支連線 | 不支援 | 支援 |
| 各區域的中樞 | 各區域的多個虛擬網路 | 各區域的多個虛擬中樞 |
| Azure 防火牆 – 多個公用 IP 位址 | 由客戶提供 | 自動產生 |
| Azure 防火牆可用性區域 | 支援 | 支援 |
| 協力廠商安全性即服務合作夥伴的進階網際網路安全性 | 將客戶建立且自控的 VPN 連線至所選合作夥伴服務 | 透過安全性合作夥伴提供者流程和合作夥伴管理體驗進行自動化 |
| 集中式路由管理可將流量路由至中樞 | 客戶自控的使用者定義路由 | 支援使用 BGP |
| 多個安全性提供者支援 | 支援手動設定強制通道至協力廠商防火牆 | 自動支援兩種安全性提供者:適用於私人流量篩選的 Azure 防火牆,以及適用於網際網路篩選的協力廠商 |
| 應用程式閘道上的 Web 應用程式防火牆 | 虛擬網路可支援 | 輪輻網路目前可支援 |
| 網路虛擬設備 | 虛擬網路可支援 | 輪輻網路目前可支援 |
| Azure DDoS 保護支援 | 是 | 否 |