PerimeternetwerkenPerimeter networks

Perimeternetwerken maken veilige connectiviteit tussen uw cloudnetwerken en uw on-premises of fysieke datacenter-netwerken mogelijk, naast connectiviteit van en naar internet.Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. Een perimeter netwerk wordt ook wel een gedemilitariseerde zone of DMZ genoemd.A perimeter network is sometimes called a demilitarized zone or DMZ.

Perimeternetwerken kunnen pas effectief werken als binnenkomende pakketten worden doorgevoerd via beveiligingsapparaten die worden gehost in beveiligde subnetten voordat de back-endservers worden bereikt.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. Voor beelden zijn onder andere de firewall, indringings detectie systemen en indringings systemen.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. Voordat ze het netwerk verlaten, moeten de vanaf workloads naar internet verzonden pakketten ook worden doorgegeven aan de beveiligingsapparaten in het perimeternetwerk.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. Deze stroom is bedoeld voor beleidsafdwinging, inspectie en controle.The purposes of this flow are policy enforcement, inspection, and auditing.

Perimeternetwerken maken gebruik van de volgende Azure-functies en -services:Perimeter networks make use of the following Azure features and services:

Notitie

Azure-referentiearchitecturen bieden voorbeeldsjablonen die u kunt gebruiken om uw eigen perimeternetwerken te implementeren:Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

Normaal gesp roken zijn uw IT-team en beveiligings teams verantwoordelijk voor het definiëren van vereisten voor het gebruik van uw perimeter netwerken.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

Voor beeld van een hub-en-spoke-netwerk topologie afbeelding 1: voor beeld van een hub-en-spoke-netwerk topologie.Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

In het bovenstaande diagram ziet u een voor beeld- hub-en-spoke-netwerk topologie die het afdwingen van twee verbindingen met toegang tot het internet en een on-premises netwerk implementeert.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. Beide perimeters bevinden zich in de DMZ-hub.Both perimeters reside in the DMZ hub. In de DMZ-hub kan het perimeter netwerk naar het Internet worden opgeschaald om veel bedrijfs regels te ondersteunen via meerdere farms van Waf's en Azure Firewall instanties die de spoke-virtuele netwerken helpen beveiligen.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. De hub zorgt zo nodig ook voor verbinding via VPN of Azure ExpressRoute.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

Virtuele netwerkenVirtual networks

Perimeternetwerken worden doorgaans gebouwd met behulp van een virtueel netwerk met meerdere subnetten voor het hosten van de verschillende typen services die verkeer van of naar internet filteren en controleren via NVA's, WAF's en Azure Application Gateway-instanties.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

Door de gebruiker gedefinieerde routesUser-defined routes

Door door de gebruiker gedefinieerde routeste gebruiken, kunnen klanten firewalls, inbraak detectie systemen, inbraak preventie systemen en andere virtuele apparaten implementeren.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. Klanten kunnen vervolgens netwerkverkeer routeren via deze beveiligingsapparaten voor beleidsafdwinging, controle en inspectie voor beveiligingsgrenzen.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Door de gebruiker gedefinieerde routes kunnen worden gemaakt om te garanderen dat verkeer wordt doorgegeven via de opgegeven, aangepaste VM's, NVA's en load balancers.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

In een hub-en spoke-netwerk is het gegarandeerd dat verkeer dat wordt gegenereerd door virtuele machines die zich in de spoke bevinden via de juiste virtuele apparaten in de hub, een door de gebruiker gedefinieerde route vereist die is gedefinieerd in de subnetten van de spoke.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. Deze route stelt het front-end-IP-adres van de interne load balancer in als de volgende hop.This route sets the front-end IP address of the internal load balancer as the next hop. De interne load balancer distribueert het interne verkeer naar de virtuele apparaten (back-end-pool van de load balancer).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure firewall is een beheerde Cloud service die helpt bij het beveiligen van uw Azure Virtual Network-Resources.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. Het is een volledige stateful beheerde firewall met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall gebruikt een statisch openbaar IP-adres voor de resources van uw virtuele netwerk.Azure Firewall uses a static public IP address for your virtual network resources. Hiermee kunnen externe firewalls verkeer identificeren dat afkomstig is van uw virtuele netwerk.It allows outside firewalls to identify traffic that originates from your virtual network. De service werkt samen met Azure Monitor voor registratie en analyses.The service interoperates with Azure Monitor for logging and analytics.

Virtuele netwerkapparatenNetwork virtual appliances

Perimeternetwerken met toegang tot internet worden doorgaans beheerd via een Azure Firewall-instantie of een firewall-farm of Web Application Firewalls.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

Verschillende bedrijfs regels gebruiken vaak veel webtoepassingen.Different lines of business commonly use many web applications. Deze toepassingen zijn vaak gevoelig voor verschillende beveiligingsproblemen en mogelijke aanvallen.These applications tend to suffer from various vulnerabilities and potential exploits. Een firewall voor webtoepassingen detecteert aanvallen tegen webtoepassingen (HTTP/S) in meer dieper dan een algemene firewall.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. Vergeleken met traditionele firewall-technologie kennen Web Application Firewalls een serie specifieke functies die interne webservers tegen bedreigingen beschermen.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Een Azure Firewall-exemplaar en een firewall van [netwerk virtueel apparaat] [NVA] gebruiken een gemeen schappelijk beheer vlak met een reeks beveiligings regels om de werk belastingen te beveiligen die worden gehost in de spokes en de toegang tot on-premises netwerken te beheren.An Azure Firewall instance and a [network virtual appliance][NVA] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure Firewall heeft ingebouwde schaalbaarheid, terwijl NVA-firewalls handmatig kunnen worden geschaald achter een load balancer.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

Een firewall-farm heeft gewoonlijk minder gespecialiseerde software dan een WAF, maar heeft een uitgebreider toepassingsbereik voor het filteren en controleren van elk type uitgaand en inkomend verkeer.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. Als u een NVA-benadering gebruikt, kunt u de software in Azure Marketplace vinden en van daaruit implementeren.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

Gebruik één serie Azure Firewall-instanties (of NVA's) voor verkeer dat afkomstig is van internet en een andere serie voor verkeer met een on-premises oorsprong.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. Gebruik van slechts één serie firewalls voor beide verkeersstromen kan gevaarlijk zijn, omdat er geen beveiligingsperimeter tussen de twee sets netwerkverkeer bestaat.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. Gebruik van afzonderlijke firewall-lagen maakt het controleren van de beveiligingsregels minder complex en geeft inzicht in welke regels horen bij welke inkomende netwerkaanvraag.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer biedt een service met maximale beschikbaarheid van laag 4 (TCP/UDP), waarmee binnenkomend verkeer kan worden gedistribueerd tussen service-instanties die zijn gedefinieerd in een set met gelijke taakverdeling.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Verkeer dat vanaf front-endeindpunten (openbare IP-eindpunten of particuliere IP-eindpunten) naar de load balancer wordt verzonden, kan met of zonder adresomzetting opnieuw worden gedistribueerd naar een groep back-end-IP-adressen (zoals NVA's of VM's).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer kan ook de status van de verschillende serverinstanties testen.Azure Load Balancer can also probe the health of the various server instances. Wanneer een instantie niet op de test reageert, stopt de load balancer met het verzenden van verkeer naar de beschadigde instantie.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

Als voor beeld van het gebruik van een hub-en-spoke-netwerk topologie kunt u een externe load balancer implementeren op zowel de hub als de spokes.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. In de hub wordt het verkeer door de load balancer efficiënt naar services in de spokes gerouteerd.In the hub, the load balancer efficiently routes traffic to services in the spokes. In de spokes wordt verkeer van toepassingen door load balancers beheerd.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure front-deur is het Maxi maal beschik bare en schaal bare platform voor webtoepassingen van micro soft en de wereld WIJDe HTTPS-Load Balancer.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. U kunt Azure front-deur gebruiken om uw dynamische webtoepassingen en statische inhoud te bouwen, te gebruiken en uit te schalen.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Het wordt uitgevoerd op meer dan honderd locaties aan de rand van het wereldwijde netwerk van Microsoft.It runs in more than 100 locations at the edge of Microsoft's global network.

Azure front-deur biedt uw toepassing voor Unified Regional/postzegel Maintenance Automation, BCDR Automation, Unified client/User Information, caching en service Insights.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Het platform biedt prestaties, betrouwbaarheid en ondersteunings-SLA's.The platform offers performance, reliability, and support SLAs. Het biedt ook nalevingscertificeringen en controleerbare beveiligingsprocedures die door Azure zelf worden ontwikkeld, uitgevoerd en ondersteund.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure-toepassing gateway is een speciaal virtueel apparaat dat een beheerde controller voor de levering van toepassingen biedt.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. Het biedt een aantal mogelijkheden voor taak verdeling voor laag 7 voor uw toepassing.It offers various Layer 7 load-balancing capabilities for your application.

Met Azure-toepassing gateway kunt u de productiviteit van webfarms optimaliseren door CPU-intensieve SSL-beëindiging naar de Application Gateway te offloaden.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. Het biedt ook andere Layer 7-routerings mogelijkheden, waaronder round robin-distributie van inkomend verkeer, op cookies gebaseerde sessie affiniteit, op URL-gebaseerde route ring en de mogelijkheid om meerdere websites achter één toepassings gateway te hosten.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

De WAF SKU van Azure-toepassing gateway bevat een Web Application firewall.The Azure Application Gateway WAF SKU includes a Web Application Firewall. Deze SKU biedt beveiliging voor webtoepassingen tegen algemene webbeveiligingsproblemen en aanvallen.This SKU provides protection to web applications from common web vulnerabilities and exploits. U kunt Azure-toepassing gateway configureren als een Internet gerichte gateway, een alleen-interne gateway of een combi natie van beide.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

Openbare IP-adressenPublic IPs

Met sommige Azure-functies kunt u service-eindpunten koppelen aan een openbaar IP-adres, zodat uw resource toegankelijk is via internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. Dit eind punt gebruikt Network Address Translation (NAT) om verkeer te routeren naar het interne adres en de poort op de Azure-Virtual Network.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure Virtual Network. Dit pad is de belangrijkste manier waarop extern verkeer in het virtuele netwerk terecht kan komen.This path is the primary way for external traffic to pass into the virtual network. U kunt openbare IP-adressen configureren om te bepalen welk verkeer wordt doorgegeven en hoe en waar het in het virtuele netwerk wordt vertaald.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Azure DDoS Protection StandardAzure DDoS Protection Standard

Azure DDoS Protection Standard biedt extra mogelijkheden voor risico beperking ten opzichte van de Basic -servicelaag die specifiek zijn afgestemd op Azure Virtual Network-Resources.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. De DDoS-beschermings standaard is eenvoudig in te scha kelen en vereist geen wijzigingen in de toepassing.DDoS protection standard is simple to enable and requires no application changes.

U kunt beveiligingsbeleid afstemmen via bewaking van toegewezen verkeer en algoritmen voor machine learning.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. Beleidsregels worden toegepast op openbare IP-adressen die zijn gekoppeld aan resources die in virtuele netwerken zijn geïmplementeerd.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Voor beelden zijn Azure Load Balancer, Application Gateway en Service Fabric exemplaren.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

Realtime telemetrie is beschikbaar via Azure Monitor-weergaven, zowel tijdens een aanval als omwille van historische doeleinden.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. U kunt de beveiliging van de toepassingslaag toevoegen met behulp van de Web Application firewall in Azure-toepassing gateway.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. Beveiliging wordt geboden voor openbare Azure-IPv4-adressen.Protection is provided for IPv4 Azure public IP addresses.