Azure Stack hub firewall-integratieAzure Stack Hub firewall integration

U kunt het beste een firewall apparaat gebruiken om Azure Stack hub te beveiligen.It's recommended that you use a firewall device to help secure Azure Stack Hub. Firewalls kunnen helpen bij het beschermen tegen zaken als gedistribueerde Denial-of-service-aanvallen (DDOS), inbreuk detectie en inhouds inspectie.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. Ze kunnen echter ook een doorvoer knelpunt vormen voor Azure Storage-services, zoals blobs, tabellen en wacht rijen.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

Als er een niet-verbonden implementatie modus wordt gebruikt, moet u het AD FS-eind punt publiceren.If a disconnected deployment mode is used, you must publish the AD FS endpoint. Zie het artikel Data Center Integration Identity(Engelstalig) voor meer informatie.For more information, see the datacenter integration identity article.

Voor de eind punten van de Azure Resource Manager (beheerder), beheerders Portal en Key Vault (beheerder) is niet noodzakelijkerwijs externe publicatie vereist.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. Als service provider kunt u bijvoorbeeld de kwets baarheid beperken door Azure Stack hub te beheren vanuit uw netwerk en niet via internet.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub from inside your network, and not from the internet.

Voor bedrijfs organisaties kan het externe netwerk het bestaande bedrijfs netwerk zijn.For enterprise organizations, the external network can be the existing corporate network. In dit scenario moet u eind punten publiceren om Azure Stack hub vanuit het bedrijfs netwerk te kunnen uitvoeren.In this scenario, you must publish endpoints to operate Azure Stack Hub from the corporate network.

NetwerkadresomzettingNetwork Address Translation

Network Address Translation (NAT) is de aanbevolen methode om de virtuele implementatie machine (DVM) toe te staan om toegang te krijgen tot externe bronnen en Internet tijdens de implementatie, evenals de Vm's met ERCS (Emergency Recovery Console) of privileged endpoint (PEP) tijdens de registratie en het oplossen van problemen.Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources and the internet during deployment as well as the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT kan ook een alternatief zijn voor open bare IP-adressen op het externe netwerk of open bare Vip's.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. Dit wordt echter niet aanbevolen, omdat het de gebruikers ervaring van de Tenant beperkt en de complexiteit toeneemt.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. Eén optie is een van de opties voor één NAT waarvoor nog steeds één openbaar IP-adres per gebruiker voor de groep is vereist.One option would be a one to one NAT that still requires one public IP per user IP on the pool. Een andere optie is een veel-op-een NAT waarvoor een NAT-regel per gebruikers-VIP is vereist voor alle poorten die een gebruiker kan gebruiken.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

Enkele van de neerwaartse vermogens van het gebruik van NAT voor open bare VIP zijn:Some of the downsides of using NAT for Public VIP are:

  • NAT voegt overhead toe bij het beheren van firewall regels, omdat gebruikers hun eigen eind punten en hun eigen publicatie regels beheren in de SDN-stack (software-defined Networking).NAT adds overhead when managing firewall rules because users control their own endpoints and their own publishing rules in the software-defined networking (SDN) stack. Gebruikers moeten contact opnemen met de operator van de Azure Stack hub om hun Vip's te publiceren en de lijst met poorten bij te werken.Users must contact the Azure Stack Hub operator to get their VIPs published, and to update the port list.
  • Terwijl het NAT-gebruik de gebruikers ervaring beperkt, krijgt de operator volledige controle over publicatie aanvragen.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Voor hybride Cloud scenario's met Azure moet u er rekening mee houden dat Azure geen ondersteuning biedt voor het instellen van een VPN-tunnel naar een eind punt met behulp van NAT.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL-interceptieSSL interception

Het wordt momenteel aanbevolen SSL-interceptie uit te scha kelen (bijvoorbeeld offloading voor ontsleuteling) op alle Azure Stack hub-verkeer.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub traffic. Als het wordt ondersteund in toekomstige updates, wordt er richt lijnen gegeven voor het inschakelen van SSL-interceptie voor Azure Stack hub.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub.

Edge firewall-scenarioEdge firewall scenario

In een Edge-implementatie wordt Azure Stack hub direct achter de edge-router of de firewall geïmplementeerd.In an edge deployment, Azure Stack Hub is deployed directly behind the edge router or the firewall. In deze scenario's wordt het ondersteund voor de firewall boven de rand (scenario 1) waar deze zowel Active-Active als Active-passieve firewall configuraties ondersteunt, of als het Border-apparaat (scenario 2) waarbij het alleen ondersteuning biedt voor het gebruik van Active-Active firewall-configuraties die gebruikmaken van een gelijk-kosten Multi-Path (ECMP) met BGP of statische route ring voor failover.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations or acting as the border device (Scenario 2) where it only supports active-active firewall configuration relying on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

Open bare IP-adressen voor routeerbaar worden opgegeven voor de open bare VIP-groep van het externe netwerk op het moment van implementatie.Public routable IP addresses are specified for the public VIP pool from the external network at deployment time. In een rand scenario is het niet raadzaam open bare routeerbaar Ip's te gebruiken in een ander netwerk om veiligheids redenen.In an edge scenario, it's not recommended to use public routable IPs on any other network for security purposes. Met dit scenario kan een gebruiker de volledige zelf-beheerde Cloud ervaring ervaren, zoals in een open bare Cloud zoals Azure.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Azure Stack hub Edge-Firewall-voor beeld

Scenario voor het firewall intranet of perimeter netwerkEnterprise intranet or perimeter network firewall scenario

In een intranet-of implementatie in een bedrijfs netwerk wordt Azure Stack hub geïmplementeerd op een firewall met meerdere zones of tussen de Edge-firewall en de interne firewall voor bedrijfs netwerken.In an enterprise intranet or perimeter deployment, Azure Stack Hub is deployed on a multi-zoned firewall or in between the edge firewall and the internal, corporate network firewall. Het verkeer wordt vervolgens gedistribueerd tussen het beveiligde, perimeter netwerk (of DMZ) en de onbeveiligde zones zoals hieronder wordt beschreven:Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • Beveiligde zone: dit is het interne netwerk dat interne of bedrijfs Routeer bare IP-adressen gebruikt.Secure zone: This is the internal network that uses internal or corporate routable IP addresses. Het beveiligde netwerk kan worden gedeeld, Internet-uitgaande toegang hebben via NAT op de firewall en is doorgaans vanaf elke locatie in uw Data Center via het interne netwerk toegankelijk.The secure network can be divided, have internet outbound access through NAT on the Firewall, and is usually accessible from anywhere inside your datacenter via the internal network. Alle Azure Stack hub-netwerken moeten zich in de beveiligde zone bevinden, met uitzonde ring van de open bare VIP-groep van het externe netwerk.All Azure Stack Hub networks should reside in the secure zone except for the external network's public VIP pool.
  • De perimeter zone.Perimeter zone. Het perimeter netwerk is een plek waar externe of Internet gerichte apps zoals webservers doorgaans worden geïmplementeerd.The perimeter network is where external or internet-facing apps like Web servers are typically deployed. Het wordt doorgaans bewaakt door een firewall om aanvallen zoals DDoS en indringing (hacken) te voor komen, terwijl er nog steeds inkomend verkeer van Internet wordt toegestaan.It's usually monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the internet. Alleen de open bare VIP-groep van het externe netwerk van Azure Stack hub moet zich in de zone DMZ bevinden.Only the external network public VIP pool of Azure Stack Hub should reside in the DMZ zone.
  • Onbeveiligde zone.Unsecure zone. Dit is het externe netwerk, Internet.This is the external network, the internet. Het is niet raadzaam om Azure stack hub te implementeren in de zone unsecure.It is not recommended to deploy Azure Stack Hub in the unsecure zone.

Voor beeld van Azure Stack hub-perimeter netwerk

Meer informatieLearn more

Meer informatie over poorten en protocollen die worden gebruikt door Azure stack hub-eind punten.Learn more about ports and protocols used by Azure Stack Hub endpoints.

Volgende stappenNext steps

PKI-vereisten voor Azure Stack hubAzure Stack Hub PKI requirements