什麼是 Azure 防火牆管理員？

已完成

讓我們從防火牆管理員核心功能的定義和概觀開始。 此概觀應該可協助您決定何時要使用防火牆管理員，以及其是否適合組織的需求。

什麼是集中式防火牆管理？

集中式防火牆管理表示同時管理多個防火牆。 個別維護多個防火牆可能是一大挑戰。 當您的安全性需求變更時，您可能需要重新設定所有防火牆，以確保其設定同步。同樣地，如果您的安全性需求大增，則可能需要更新所有的防火牆。 使用防火牆管理員可簡化防火牆管理。

防火牆管理員定義

Azure 防火牆管理員可讓您集中管理多個 Azure 防火牆執行個體。 Azure 防火牆是完全受控的雲端式網路安全性服務。 您可以實作 Azure 防火牆來協助保護您的 Azure 資源。

您的安全性小組必須設定及維護網路和篩選流量的應用程式層級規則。 如果組織有多個 Azure 防火牆執行個體，您會受益於集中這些設定。 防火牆管理員可讓您：

• 集中管理防火牆。
• 跨越多個 Azure 訂用帳戶。
• 跨越不同的 Azure 區域。
• 實作中樞和輪輻架構來提供流量治理和保護。

防火牆原則

防火牆原則是防火牆管理員的基本建置組塊。 防火牆原則可包含：

• NAT 設定。
• 網路規則集合。
• 應用程式規則集合。
• 威脅情報設定。

您可以將防火牆原則套用至防火牆。 建立原則之後，您可以將其與一或多個虛擬網路或虛擬中樞建立關聯。

提示

您可以使用 Azure 入口網站、REST API、範本、Azure PowerShell 和 Azure CLI 來建立和管理 Azure 防火牆原則。

如何集中管理您的防火牆

若要集中管理 Azure 防火牆，請部署防火牆管理員。 它提供下列功能：

• 集中部署及設定
  可讓您設定多個 Azure 防火牆執行個體。 這些多個執行個體可能會跨越 Azure 訂用帳戶和區域。

• 集中式路由管理
  略過在輪輻虛擬網路上手動建立使用者定義路由的需求。

  重要

  集中式路由管理僅適用於安全的虛擬中樞架構。

• 階層式原則
  這些原則可讓您跨多個安全虛擬中樞集中管理 Azure 防火牆原則。 然後，您的 IT 安全性小組即可建立全域防火牆原則，並將其套用到您的組織。

• 協力廠商整合
  這可支援協力廠商安全性即服務提供者的整合。

• 跨區域供應狀況
  讓您在一個區域中建立 Azure 防火牆原則，並將其套用至其他區域。

• DDoS 保護計劃
  您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。

• 管理 Web 應用程式防火牆原則
  您可以集中建立和關聯您的應用程式傳遞平台的 Web 應用程式防火牆 (WAF) 原則，包括 Azure Front Door 和 Azure 應用程式閘道。

您可以在下列兩個架構之一實作防火牆管理員，如下表所述。

架構類型	描述
中樞虛擬網路	您所建立和管理的標準 Azure 虛擬網路。 當您建立防火牆原則與這類中樞的關聯時，就是在建立中樞虛擬網路。 此架構的基礎資源為虛擬網路。
安全虛擬中樞	Microsoft 管理的資源，可讓您輕鬆地建立中樞和輪輻架構。 當您建立原則的關聯時，就是在使用安全的虛擬中樞。 基礎資源是虛擬 WAN 中樞。

下圖描述這些架構類型。 企業管理員具有組織安全性原則的整體原則控制。 本機管理員對與中樞虛擬網路相關聯的原則有一些控制權。