Co to jest usługa Azure Firewall Manager?

Azure Firewall Manager to usługa zarządzania zabezpieczeniami, która zapewnia centralne zarządzanie zasadami zabezpieczeń i trasami dla obwodów zabezpieczeń opartych na chmurze.

Firewall Manager może zapewnić zarządzanie zabezpieczeniami dla dwóch typów architektury sieci:

  • Zabezpieczony koncentrator wirtualny

    Usługa Azure Virtual WAN Hub to zasób zarządzany przez firmę Microsoft, który umożliwia łatwe tworzenie architektur piasty i szprych. Gdy zasady zabezpieczeń i routingu są skojarzone z takim koncentratorem, jest on nazywany zabezpieczonym koncentratorem wirtualnym.

  • Sieć wirtualna centrum

    Jest to standardowa sieć wirtualna platformy Azure, która jest samodzielnie tworzyć i zarządzać nimi. Gdy zasady zabezpieczeń są skojarzone z takim koncentratorem, jest on określany jako sieć wirtualna koncentratora. Obecnie obsługiwane są tylko Azure Firewall zasad. Równorzędne sieci wirtualne, które zawierają serwery i usługi obciążeń, można za pomocą komunikacji równorzędnej. Możesz również zarządzać zaporami w autonomicznych sieciach wirtualnych, które nie są równorzędne z żadnym szprychą.

Aby uzyskać szczegółowe porównanie architektur zabezpieczonej sieci wirtualnej koncentratora i koncentratora, zobacz Jakie są Azure Firewall Manager architektury?.

firewall-manager

Azure Firewall Manager funkcji

Azure Firewall Manager oferuje następujące funkcje:

Centralne Azure Firewall i konfiguracja

Możesz centralnie wdrażać i konfigurować wiele Azure Firewall, które obejmują różne regiony i subskrypcje platformy Azure.

Zasady hierarchiczne (globalne i lokalne)

Za pomocą Azure Firewall Manager można centralnie zarządzać zasadami Azure Firewall w wielu zabezpieczonych koncentratorach wirtualnych. Centralne zespoły IT mogą ować globalne zasady zapory w celu wymuszania zasad zapory w całej organizacji między zespołami. Lokalnie tworzenie zasad zapory umożliwia model samoobsługi DevOps w celu lepszej elastyczności.

Zintegrowana z zabezpieczeniami jako usługą innych firm w celu zabezpieczenia zaawansowanego

Oprócz usługi Azure Firewall można zintegrować dostawców zabezpieczeń jako usługi (SECaaS) innych firm, aby zapewnić dodatkową ochronę sieci dla sieci wirtualnej i połączeń internetowych gałęzi.

Ta funkcja jest dostępna tylko w przypadku bezpiecznych wdrożeń koncentratora wirtualnego.

  • Filtrowanie ruchu z sieci wirtualnej do Internetu (V2I)

    • Filtrowanie wychodzącego ruchu sieciowego za pomocą preferowanego dostawcy zabezpieczeń innej firmy.
    • Korzystaj z zaawansowanej ochrony Internetu z informacjami o użytkownikach dla obciążeń w chmurze działających na platformie Azure.
  • Filtrowanie ruchu odgałęzienia do Internetu (B2I)

    Skorzystaj z łączności i dystrybucji globalnej platformy Azure, aby łatwo dodać filtrowanie gałęzi do scenariuszy z Internetem przez inne firmy.

Aby uzyskać więcej informacji na temat dostawców partnerów zabezpieczeń, zobacz Co to są dostawcy Azure Firewall Manager zabezpieczeń?

Scentralizowane zarządzanie trasami

Łatwo przekieruj ruch do zabezpieczonego koncentratora w celu filtrowania i rejestrowania bez konieczności ręcznego skonfigurowania tras zdefiniowanych przez użytkownika (UDR) w sieciach wirtualnych szprych.

Ta funkcja jest dostępna tylko w przypadku bezpiecznych wdrożeń koncentratora wirtualnego.

Dostawców innych firm można używać do filtrowania ruchu od oddziałów do Internetu (B2I) obok usługi Azure Firewall dla połączeń typu gałąź-sieć wirtualna (B2V), Z sieci wirtualnej do sieci wirtualnej (V2V) i Z sieci wirtualnej do Internetu (V2I).

Dostępność w danym regionie

Azure Firewall zasady mogą być używane w różnych regionach. Na przykład można utworzyć zasady w regionach Zachodnie stany USA i używać ich w regionach Wschodnie stany USA.

Znane problemy

Azure Firewall Manager ma następujące znane problemy:

Problem Description Ograniczanie ryzyka
Dzielenie ruchu Microsoft 365 i publiczny ruch PaaS platformy Azure nie są obecnie obsługiwane. W związku z tym wybranie zewnętrznego dostawcy dla interfejsu V2I lub B2I powoduje również wysłanie całego publicznego rozwiązania PaaS platformy Azure i Microsoft 365 ruchu za pośrednictwem usługi partnera. Badanie podziału ruchu w centrum.
Jeden zabezpieczony koncentrator wirtualny na region Nie można mieć więcej niż jednego zabezpieczonego koncentratora wirtualnego na region. Utwórz wiele wirtualnych sieci WAN w regionie.
Zasady podstawowe muszą znajdować się w tym samym regionie co zasady lokalne Utwórz wszystkie zasady lokalne w tym samym regionie co zasady podstawowe. Nadal można zastosować zasady, które zostały utworzone w jednym regionie, w zabezpieczonym centrum z innego regionu. Badanie
Filtrowanie ruchu między koncentratorami w bezpiecznych wdrożeniach koncentratora wirtualnego Filtrowanie komunikacji zabezpieczonego koncentratora wirtualnego z zabezpieczonym koncentratorem wirtualnym nie jest jeszcze obsługiwane. Jednak komunikacja między koncentratorami nadal działa, jeśli filtrowanie ruchu prywatnego za pośrednictwem Azure Firewall nie jest włączone. Badanie
Szprychy w innym regionie niż koncentrator wirtualny Szprychy w innym regionie niż koncentrator wirtualny nie są obsługiwane. Badanie

Utwórz koncentrator na region i równorzędne sieci wirtualne w tym samym regionie co koncentrator.
Ruch odgałęzienia do gałęzi z włączonym filtrowaniem ruchu prywatnego Ruch odgałęzienia do gałęzi nie jest obsługiwany, gdy jest włączone filtrowanie ruchu prywatnego. Badania.

Nie zabezpieczaj ruchu prywatnego, jeśli łączność między oddziałami ma krytyczne znaczenie.
Wszystkie zabezpieczone koncentratory wirtualne współdzielące tę samą wirtualną sieć WAN muszą znajdować się w tej samej grupie zasobów. To zachowanie jest obecnie dostosowane Virtual WAN Hubs. Utwórz wiele wirtualnych sieci WAN, aby umożliwić tworzenie zabezpieczonych koncentratorów wirtualnych w różnych grupach zasobów.
Zbiorcze dodawanie adresu IP kończy się niepowodzeniem Zapora bezpiecznego koncentratora przechodzi w stan awarii, jeśli dodasz wiele publicznych adresów IP. Dodaj mniejsze przyrosty publicznych adresów IP. Na przykład dodaj 10 jednocześnie.
DDoS Protection Standardowa nie jest obsługiwana w przypadku bezpiecznych koncentratorów wirtualnych DDoS Protection Standardowa nie jest zintegrowana z sieciami vWAN. Badanie
Dzienniki aktywności nie są w pełni obsługiwane Zasady zapory nie obsługują obecnie dzienników aktywności. Badanie

Następne kroki