什麼是 NVA?
虛擬網路設備 (NVA) 是包含各種不同層的虛擬設備,這些層包含:
- 防火牆
- WAN 最佳化工具
- 應用程式傳遞控制器
- 路由器
- 負載平衡器
- IDS/IPS
- Proxy
您可以部署從 Azure Marketplace 中的提供者所選擇的 NVA。 這類提供者包括 Cisco、Check Point、Barracuda、Sophos、WatchGuard 和 SonicWall。 您可以使用 NVA 來篩選輸入虛擬網路的流量、封鎖惡意要求,以及封鎖來自未預期資源的要求。
在零售組織範例案例中,您必須與安全性和網路小組合作。 您想要實作能檢視所有連入流量,並封鎖未授權的流量,使之無法傳遞至內部網路的安全環境。 您也想要將虛擬機器網路功能與 Azure 服務網路功能都納入您公司的網路安全性策略。
您的目標是防止不必要或未受保護的網路流量觸達重要系統。
作為網路安全性策略的一部分,您必須能夠控制虛擬網路內的流量流動。 您也必須了解 NVA 的角色,以及使用 NVA 來控制 Azure 網路中流量流動的優點。
網路虛擬設備
網路虛擬設備 (NVA) 是虛擬機器,可藉由控制路由來控制網路流量的流動。 您通常會用它們來管理從周邊網路環境流向其他網路或子網路的流量。
您可以搭配不同設定將防火牆設備部署到虛擬網路中。 您可以將防火牆設備放置在虛擬網路的周邊網路子網路中,或者如果您想要更充分地控制安全性,請實施微分段方法。
透過微分割方法,您可以為防火牆建立專用子網路,然後在其他子網路中部署 Web 應用程式和其他服務。 所有流量都會透過防火牆路由傳送,並由 NVA 檢查。 您會在虛擬設備網路介面上啟用轉送,以傳遞由適當子網路所接受的流量。
微分割可讓防火牆在第 4 層檢查所有封包,以及在第 7 層檢查應用程式感知設備。 當您將 NVA 部署至 Azure 時,NVA 會作為在虛擬網路上的子網路之間轉送要求的路由器。
某些 NVA 需要多個網路介面。 一個網路介面專用於設備的管理網路。 其他網路介面會管理及控制流量處理。 在您部署 NVA 之後,您可以接著設定設備以透過適當的介面來路由傳送流量。
使用者定義的路由
在大部分的環境中,由 Azure 所定義的預設系統路由已足夠將環境啟動並執行。 在某些情況下,您應該建立路由表並新增自訂路由。 範例包含:
- 使用強制通道來透過內部部署網路存取網際網路
- 使用虛擬設備來控制流量
您可以在 Azure 中建立多個路由表。 每個路由表都可以與一或多個子網路相關聯。 一個子網只能與一個路由表相關聯。
高可用性架構中的網路虛擬設備
如果流量是透過 NVA 來路由傳送,該 NVA 即會成為您基礎結構的重要部分。 任何 NVA 失敗都會直接影響到您服務的通訊能力。 請務必在您的 NVA 部署中包含高可用性架構。
使用 NVA 時,有數種方法可實現高可用性。 在本課程模組的結尾,您可以找到在高可用性案例中使用 NVA 的詳細資訊。