網路安全性管理

已完成

在此單元中，您將了解如何設定精細的規則，讓 Azure VMware 解決方案私人雲端能夠與網際網路連線。

預設封鎖

Azure 防火牆設定於「預設封鎖」設計中。 這表示任何設定要通過的網路流量都會遭到封鎖。 到目前為止，您已透過適用於 Azure VMware 解決方案私人雲端的 Azure 防火牆插入預設路由。 但 Azure 防火牆的「預設封鎖」組態不允許任何流量。 這是一個良好的原則，您可以設定更精細的規則，以啟用更緊密的網路控制。

輸出網路規則

雖然「預設封鎖」是良好的原則，但您需要從此原則中排除合法的流量。 您可以使用 Azure 防火牆所提供的兩項功能之一，從「預設封鎖」組態中排除合法的流量。 第一項功能稱為「傳統規則」或只是「規則」。如名稱所示，每個 Azure 防火牆實行個體都會設定一個規則，其中包含通訊協定、來源 IP 位址空間、來源連接埠、目的地 IP 位址空間和目的地連接埠。 這是較小型部署的絕佳選擇。 但針對企業級部署，此方法的延展性有限，因為每個 Azure 防火牆執行個體都會定義規則。 有多個 Azure 防火牆執行個體時，定義規則的程序會變得重複且難以管理。 這讓使用「Azure 防火牆原則」的第二項功能變得很方便。 使用 Azure 防火牆原則時，規則只會定義一次，然後套用至多個 Azure 防火牆執行個體。

Azure VMware 解決方案的防火牆規則

在本單元中，您將使用「規則」功能，而不是「Azure 防火牆原則」功能。 不過，建議針對企業級部署使用「Azure 防火牆原則」功能，因為其提供更佳的延展性和管理能力。 定義 Azure VMware 解決方案的防火牆規則，牽涉到工作負載區段 IP 位址空間、通訊協定和連接埠。 針對目的地類型，選取 [IP 位址]。 針對目的地位址空間，選擇「*」，並針對目的地連接埠，選擇「*」或特定連接埠，例如 80、443。 等等。