云計(jì)算

接下來準(zhǔn)備寫幾篇關(guān)于Azure Firewall的介紹，firewall今年剛剛在mooncake落地，但是在Global GA已經(jīng)有段時(shí)間了，?Firewall作為一款云原生的NVA產(chǎn)品，無疑可以解決在云上安全的一大難題，本身低廉的售價(jià)更是增添了獨(dú)特的吸引力，對于希望能夠有類似解決方案，并且不希望購買第三方NVA產(chǎn)品的用戶吸引力是很大的，從下圖中可以看到，利用Azure Firewall也可以很好地實(shí)現(xiàn)Azure經(jīng)典的hub spoke網(wǎng)絡(luò)架構(gòu)

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：國際域名空間、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、青山網(wǎng)站維護(hù)、網(wǎng)站推廣。

這次我們就來一起看下怎么用Azure Firewall來做出來hub spoke的架構(gòu)設(shè)計(jì)，首先，我們先來看看Azure Firewall都能做什么

Azure Firewall?可以跨訂閱和虛擬網(wǎng)絡(luò)集中創(chuàng)建、實(shí)施和記錄應(yīng)用程序與網(wǎng)絡(luò)連接策略。?Azure 防火墻對虛擬網(wǎng)絡(luò)資源使用靜態(tài)公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網(wǎng)絡(luò)的流量。?并且可以與?Azure Monitor 無縫集成。

總體來說Azure Firewall有以下優(yōu)勢：

內(nèi)置的高可用性

內(nèi)置高可用性，因此不需要部署額外的負(fù)載均衡器，也不需要進(jìn)行任何配置。

不受限制的云可伸縮性

為了適應(yīng)不斷變化的網(wǎng)絡(luò)流量流，Azure 防火墻可盡程度進(jìn)行縱向擴(kuò)展，因此不需要為峰值流量做出預(yù)算。

應(yīng)用程序 FQDN 篩選規(guī)則

可將出站 HTTP/S 流量或 Azure SQL 流量（預(yù)覽版）限制到指定的一組完全限定的域名 (FQDN)（包括通配符）。 此功能不需要 SSL 終止。

網(wǎng)絡(luò)流量篩選規(guī)則

可以根據(jù)源和目標(biāo) IP 地址、端口和協(xié)議，集中創(chuàng)建“允許”或“拒絕”網(wǎng)絡(luò)篩選規(guī)則。 Azure 防火墻是完全有狀態(tài)的，因此它能區(qū)分不同類型的連接的合法數(shù)據(jù)包。 將跨多個(gè)訂閱和虛擬網(wǎng)絡(luò)實(shí)施與記錄規(guī)則。

FQDN 標(biāo)記

FQDN 標(biāo)記使你可以輕松地允許已知的 Azure 服務(wù)網(wǎng)絡(luò)流量通過防火墻。 例如，假設(shè)你想要允許 Windows 更新的網(wǎng)絡(luò)流量通過防火墻。 創(chuàng)建應(yīng)用程序規(guī)則，并在其中包括 Windows 更新標(biāo)記。 現(xiàn)在，來自 Windows 更新的網(wǎng)絡(luò)流量將可以流經(jīng)防火墻。

服務(wù)標(biāo)記

服務(wù)標(biāo)記表示一組 IP 地址前綴，幫助程度地降低安全規(guī)則創(chuàng)建過程的復(fù)雜性。 無法創(chuàng)建自己的服務(wù)標(biāo)記，也無法指定要將哪些 IP 地址包含在標(biāo)記中。 Azure 會管理服務(wù)標(biāo)記包含的地址前綴，并會在地址發(fā)生更改時(shí)自動更新服務(wù)標(biāo)記。

? ? weixie情報(bào)

可以為防火墻啟用基于智能的篩選，以提醒和拒絕來自/到達(dá)已知惡意 IP 地址和域的流量。 IP 地址和域源自 Azure 智能源。

出站 SNAT 支持

所有出站虛擬網(wǎng)絡(luò)流量 IP 地址將轉(zhuǎn)換為 Azure 防火墻公共 IP（源網(wǎng)絡(luò)地址轉(zhuǎn)換）。 可以識別源自你的虛擬網(wǎng)絡(luò)的流量，并允許將其發(fā)往遠(yuǎn)程 Internet 目標(biāo)。 如果目標(biāo) IP 是符合 IANA RFC 1918 的專用 IP 范圍，Azure 防火墻不會執(zhí)行 SNAT。 如果組織對專用網(wǎng)絡(luò)使用公共 IP 地址范圍，Azure 防火墻會通過 SNAT 將流量發(fā)送到 AzureFirewallSubnet 中的某個(gè)防火墻專用 IP 地址。

入站 DNAT 支持

轉(zhuǎn)換到防火墻公共 IP 地址的入站網(wǎng)絡(luò)流量（目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換）并將其篩選到虛擬網(wǎng)絡(luò)上的專用 IP 地址。

簡單了解下Azure Firewall的功能之后，來看下我們今天的環(huán)境

我們有三個(gè)VNET:

1.Hub VNET，china north，也是我們的firewall部署所在的VNET

2.spoke VNET1, china north

3.spoke VNET2, china east2

? ?Hub VNET和兩個(gè)spoke VNET分別用VNET Peering打通，?基本環(huán)境就是這樣，后邊就是我們的Firewall的部署以及跟Firewall有關(guān)的測試了

網(wǎng)頁名稱：AzureFirewall簡介
文章分享：http://weahome.cn/article/cgssgc.html