Planen der eingehenden und ausgehenden InternetkonnektivitätPlan for inbound and outbound internet connectivity

In diesem Abschnitt werden empfohlene Konnektivitätsmodelle für die eingehende und ausgehende Konnektivität zum und aus dem öffentlichen Internet beschrieben.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Überlegungen zum Entwurf:Design considerations:

  • Für Azure native Netzwerksicherheitsdienste wie Azure Firewall, Azure Web Application Firewall (WAF) für Azure Application Gateway und Azure Front Door sind vollständig verwaltete Dienste.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. Sie verursachen also keine Betriebs- und Verwaltungskosten im Zusammenhang mit Infrastrukturbereitstellungen, die bei der Skalierung komplex werden können.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • Die Architektur auf Unternehmensebene ist vollständig kompatibel mit Partner-NVAs, wenn Ihre Organisation die Verwendung von NVAs bevorzugt oder native Dienste den konkreten Anforderungen Ihrer Organisation nicht gerecht werden.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie Azure Firewall, um Folgendes zu steuern:Use Azure Firewall to govern:

    • Ausgehender Azure-Datenverkehr zum InternetAzure outbound traffic to the internet.

    • Eingehende Nicht-HTTP/S-VerbindungenNon-HTTP/S inbound connections.

    • Filtern von Ost-West-Datenverkehr (falls von Ihrer Organisation gefordert)East/west traffic filtering (if your organization requires it).

  • Verwenden Sie Firewall Manager mit Virtual WAN, um Azure-Firewalls für Virtual WAN-Hubs oder in virtuellen Netzwerken im Hub bereitzustellen und zu verwalten.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. Firewall Manager ist jetzt sowohl für Virtual WAN als auch für normale virtuelle Netzwerke allgemein verfügbar.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • Erstellen Sie eine globale Azure Firewall-Richtlinie, um den Sicherheitsstatus in der globalen Netzwerkumgebung zu steuern, und weisen Sie sie allen Azure Firewall-Instanzen zu.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Erfüllen Sie anhand präziser Richtlinien die Anforderungen bestimmter Regionen, indem Sie inkrementelle Firewall-Richtlinien über die rollenbasierte Zugriffssteuerung in Azure an lokale Sicherheitsteams delegieren.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via Azure role-based access control.

  • Konfigurieren Sie unterstützte Partner von Saas-Sicherheitslösungen in Firewall Manager, wenn Ihre Organisation derartige Lösungen zum Schutz ausgehender Verbindungen verwenden möchte.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Verwenden Sie WAF in einem virtuellen Netzwerk in einer Zielzonen zum Schützen eingehenden HTTP/S-Datenverkehrs aus dem Internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Verwenden Sie Azure Front Door- und WAF-Richtlinien, um über Azure-Regionen hinweg globalen Schutz für eingehende HTTP/S-Verbindungen mit einer Zielzone bereitzustellen.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Wenn Sie Azure Front Door und Azure Application Gateway zum Schutz von HTTP/S-Anwendungen nutzen, verwenden Sie WAF-Richtlinien in Azure Front Door.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S applications, use WAF policies in Azure Front Door. Sperren Sie Azure Application Gateway, um nur Datenverkehr von Azure Front Door zu empfangen.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • Wenn Partner-NVAs zum Schützen und Filtern von Ost-West- oder Süd-Nord-Datenverkehr benötigt werden:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • Stellen Sie die NVAs bei Virtual WAN-Netzwerktopologien in einem separaten virtuellen Netzwerk bereit (z. B. virtuelles Netzwerk in NVA).For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). Stellen Sie dann eine Verbindung mit dem regionalen Virtual WAN-Hub und den Zielzonen her, die Zugriff auf NVAs benötigen.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. Der Prozess wird in diesem Artikel beschrieben.This article describes the process.
    • Stellen Sie für Nicht-Virtual WAN-Netzwerktopologien die Partner-NVAs im virtuellen Netzwerk des zentralen Hubs bereit.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Wenn Partner-NVAs für eingehende HTTP/S-Verbindungen erforderlich sind, stellen Sie sie in einem virtuellen Netzwerk in einer Zielzone und zusammen mit den Anwendungen bereit, die sie schützen und für das Internet verfügbar machen.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the applications that they're protecting and exposing to the internet.

  • Schützen Sie mit Azure DDoS Protection Standard-Schutzplänen alle öffentlichen Endpunkte, die in Ihren virtuellen Netzwerken gehostet werden.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • Replizieren Sie keine lokalen Umkreisnetzwerkkonzepte und -architekturen in Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. Ähnliche Sicherheitsfunktionen sind in Azure verfügbar, aber die Implementierung und die Architektur müssen an die Cloud angepasst werden.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.