Возможности сетевой безопасности и вложенияNetwork security and containment capabilities

В этой статье перечислены возможности, которые могут помочь при работе с сетевым трафиком и включением.This article lists capabilities that can help with network traffic and containment.

Возможности, которые работают с приложениями SaaS, PaaS и IaaSCapabilities that work with SaaS, PaaS, and IaaS apps


ФункцияCapability ОписаниеDescription Дополнительные сведенияMore information
Azure ExpressRouteAzure ExpressRoute Используйте Azure ExpressRoute для создания частных подключений между центрами обработки данных Azure и инфраструктурой на локальном компьютере или в среде совместного размещения.Use Azure ExpressRoute to create private connections between Azure datacenters and infrastructure on your premises or in a colocation environment. Подключения ExpressRoute не проходят через общедоступный Интернет и обеспечивают повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями.ExpressRoute connections don't go over the public Internet, and they offer more reliability, faster speeds, and lower latencies than typical Internet connections. Azure ExpressRouteAzure ExpressRoute

Azure ExpressRoute для Office 365Azure ExpressRoute for Office 365

Возможности, работающие с PaaS и приложениями IaaSCapabilities that work with PaaS and IaaS apps


ФункцияCapability ОписаниеDescription Дополнительные сведенияMore information
Шлюз приложений AzureAzure Application Gateway Шлюз приложений Azure — это подсистема балансировки нагрузки веб-трафика, предназначенная для управления трафиком веб-приложений.Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications. Традиционные подсистемы балансировки нагрузки работают на транспортном уровне (уровень 4 OSI — протоколы TCP и UDP) и маршрутизируют трафик к IP-адресу и порту назначения в зависимости от исходного IP-адреса и порта.Traditional load balancers operate at the transport layer (OSI layer 4 - TCP and UDP) and route traffic based on source IP address and port, to a destination IP address and port. С помощью Шлюза приложений можно принимать решение о маршрутизации на основе дополнительных атрибутов HTTP-запроса, например пути URI или заголовков узла.With Application Gateway, you can make routing decisions based on additional attributes of an HTTP request, such as URI path or host headers. Что такое шлюз приложений Azure?What is Azure Application Gateway?
Диспетчер трафика AzureAzure Traffic Manager Диспетчер трафика Azure — это подсистема балансировки нагрузки трафика на основе DNS, которая позволяет оптимально распределять трафик между службами во всех регионах Azure, обеспечивая высокий уровень доступности и скорости реагирования.Azure Traffic Manager is a DNS-based traffic load balancer that enables you to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Диспетчер трафика использует DNS для направления клиентских запросов к наиболее подходящей конечной точке службы в зависимости от метода маршрутизации трафика и работоспособности конечных точек.Traffic Manager uses DNS to direct client requests to the most appropriate service endpoint based on a traffic-routing method and the health of the endpoints. Что такое диспетчер трафика?What is Traffic Manager?

Дополнительные возможности для приложений IaaSAdditional capabilities for IaaS apps


ФункцияCapability ОписаниеDescription Дополнительные сведенияMore information
Виртуальная сеть AzureAzure Virtual Network Виртуальная сеть (VNet) Azure — это стандартный строительный блок для вашей частной сети в Azure.Azure Virtual Network (VNet) is the fundamental building block for your private network in Azure. Виртуальная сеть позволяет ресурсам Azure различных типов (например, виртуальным машинам Azure) обмениваться данными друг с другом через локальные сети и через Интернет.VNet enables many types of Azure resources, such as Azure Virtual Machines (VM), to securely communicate with each other, the internet, and on-premises networks. Виртуальная сеть похожа на традиционную сеть, c которой вы будете работать в собственном центре обработки данных, но предлагает дополнительные возможности инфраструктуры Azure, как например масштабирование, доступность и изоляция.VNet is similar to a traditional network that you'd operate in your own data center, but brings with it additional benefits of Azure's infrastructure such as scale, availability, and isolation.

При создании виртуальной сети настраиваются следующие элементы: адресное пространство, подсети, регионы и подписка.When you create a VNet, you configure the following elements: address space, subnets, regions, and subscription.
Что такое виртуальная сеть Azure?What is Azure Virtual Network?

Документация по виртуальным сетямVirtual Network documentation
Виртуальная частная сеть (VPN) типа "точка — сеть" и VPN-подключение "сеть — сеть"Point-to-site virtual private network (VPN) and Site-to-site VPN Вы можете подключить локальные компьютеры и сети к виртуальной сети, используя любое сочетание параметров VPN и Azure ExpressRoute.You can connect your on-premises computers and networks to a virtual network using any combination of these VPN options and Azure ExpressRoute. VPN типа "точка-сеть"Point-to-site VPN

VPN типа "сеть — сеть"Site-to-site VPN
Группы безопасности и сетевые виртуальные устройстваSecurity groups and Network virtual appliances Можно фильтровать сетевой трафик между подсетями с помощью одного или обоих параметров.You can filter network traffic between subnets using either or both of these options.

Группы безопасности сети и приложения могут содержать несколько правил безопасности относительно входящего и исходящего трафика, что позволяет фильтровать его по исходному и конечному IP-адресу, порту и протоколу.Network security groups and application security groups can contain multiple inbound and outbound security rules that enable you to filter traffic to and from resources by source and destination IP address, port, and protocol.

Виртуальный сетевой модуль представляет собой виртуальную машину, которая выполняет сетевую функцию (например, брандмауэр, оптимизация WAN и др.).A network virtual appliance is a VM that performs a network function, such as a firewall, WAN optimization, or other network function.
Группы безопасности сетиNetwork security groups

Группы безопасности приложенийApplication security groups

Сетевые виртуальные устройства (Azure Marketplace)Network virtual appliances (Azure Marketplace)
Таблицы маршрутов и маршруты протокола BGPRoute tables and border gateway protocol (BGP) routes По умолчанию Azure маршрутизирует трафик между подсетями, подключенными виртуальными сетями, локальными сетями и Интернетом.Azure routes traffic between subnets, connected virtual networks, on-premises networks, and the Internet, by default. Можно реализовать один или оба параметра, чтобы переопределить маршруты по умолчанию, создаваемые Azure.You can implement either or both of the options to override the default routes Azure creates. Таблицы маршрутовRoute tables

Использования BGP с VPN-шлюзами AzureAbout BGP with Azure VPN Gateway
Защита от атак DDoS AzureAzure DDoS Protection Служба "Защита от атак DDoS Azure" обеспечит защиту от атак DDoS, если соблюдаются рекомендации по проектированию приложений.Azure DDoS protection, combined with application design best practices, provide defense against DDoS attacks.

Azure от атак DDoS Protection Basic автоматически включается в составе платформы Azure и обеспечивает устранение распространенных атак на уровне сети в режиме реального времени.Azure DDoS Protection Basic is automatically enabled as part of the Azure platform and provides real-time mitigation of common network-level attacks.

Стандарт защиты от атак DDoS предоставляет дополнительные возможности по устранению рисков, настроенные специально для ресурсов виртуальной сети Azure.DDoS Protection Standard provides additional mitigation capabilities that are tuned specifically to Azure Virtual Network resources. От атак DDoS Protection Standard может смягчить следующие типы атак: атаки объемные, атаки протокола и атаки уровня ресурсов (приложений).DDoS Protection Standard can mitigate the following types of attacks: volumetric attacks, protocol attacks, and resource (application) layer attacks.
Общие сведения о защите от атак DDoS Azure уровня "Стандартный"Azure DDoS Protection Standard overview
Брандмауэр AzureAzure Firewall Собственная облачная безопасность сети для защиты ресурсов виртуальной сети Azure.Cloud-native network security to protect your Azure Virtual Network resources. Брандмауэр AzureAzure Firewall

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.