PerimeternätverkPerimeter networks

Perimeternätverk aktiverar säkra anslutningar mellan dina molnnätverk och lokala eller fysiska datacenternätverk, tillsammans med någon anslutning till och från Internet.Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. Ett perimeternätverk kallas ibland för en demilitariserad zon eller DMZ.A perimeter network is sometimes called a demilitarized zone or DMZ.

För att perimeternätverket ska vara effektiva måste inkommande paket flöda genom säkerhetsenheter som finns i säkra undernät innan de når serverdelen.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. Exempel på detta är brand väggen, intrångs identifiering system och system för skydd mot intrång.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. Innan de lämnar nätverket bör Internet-baserade paket från arbetsbelastningen också flöda genom säkerhetsenheterna i perimeternätverket.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. Syftet med det här flödet är principtillämpning, inspektion och granskning.The purposes of this flow are policy enforcement, inspection, and auditing.

Perimeternätverket använder följande Azure-funktioner och -tjänster:Perimeter networks make use of the following Azure features and services:

Anteckning

Referensarkitekturen för Azure innehåller exempelmallar som du kan använda för att implementera dina egna perimeternätverk:Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

Vanligt vis ansvarar ditt centrala IT-team och säkerhets team för att definiera krav för att använda dina perimeternätverk.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

Exempel på en hubb och eker-nätverkstopologi bild 1: exempel på en nätverkstopologi för nav och ekrar.Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

Diagrammet ovan visar ett exempel på hubb och eker -nätverkstopologi som implementerar tvingande av två perimeter med åtkomst till Internet och ett lokalt nätverk.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. Båda perimeterna finns i DMZ-hubben.Both perimeters reside in the DMZ hub. I DMZ-hubben kan perimeternätverket till Internet skala upp till att stödja många affärs linjer via flera grupper av WAF-och Azure Firewall-instanser som hjälper till att skydda de eker-virtuella nätverken.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. Hubben tillåter också anslutning via VPN eller Azure-ExpressRoute efter behov.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

Virtuella nätverkVirtual networks

Perimeternätverk skapas vanligtvis med hjälp av ett virtuellt nätverk med flera undernät som är värdar för de olika typerna av tjänster som filtrerar och inspekterar trafik till eller från Internet via instanser NVA, WAF och Azure Application Gateway.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

Användardefinierade vägarUser-defined routes

Genom att använda användardefinierade vägarkan kunder distribuera brand väggar, intrångs identifiering system, system för skydd mot intrång och andra virtuella apparater.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. Kunderna kan sedan dirigera nätverkstrafik genom de här säkerhetsanordningarna för tillämpning, granskning och inspektion av säkerhetsgränser.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Användardefinierade vägar kan skapas för att garantera att trafiken passerar genom de angivna anpassade virtuella datorerna, NVA:erna och belastningsutjämnare.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

I ett exempel på hubb och ekrar som garanterar att trafiken som genereras av virtuella datorer som finns i ekern passerar genom rätt virtuella enheter i hubben kräver en användardefinierad väg som definierats i under näten i ekern.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. Den här vägen anger klientdelens IP-adress för den interna belastningsutjämnaren som nästa hopp.This route sets the front-end IP address of the internal load balancer as the next hop. Den interna belastningsutjämnaren distribuerar den interna trafiken till de virtuella datorerna (belastningsutjämnarens serverdelspool).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure Firewall är en hanterad molnbaserad tjänst som hjälper dig att skydda dina Azure Virtual Network-resurser.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. Det är en helt tillståndskänslig hanterad brandvägg med inbyggd hög tillgänglighet och obegränsad molnskalbarhet.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. Du kan centralt skapa, framtvinga och logga principer för tillämpning och nätverksanslutning över prenumerationer och virtuella nätverk.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall använder en statisk offentlig IP-adress för dina virtuella nätverksresurser.Azure Firewall uses a static public IP address for your virtual network resources. Det gör att externa brandväggar kan identifiera trafiken från ditt virtuella nätverk.It allows outside firewalls to identify traffic that originates from your virtual network. Tjänsten är helt integrerad med Azure Monitor för loggning och analys.The service interoperates with Azure Monitor for logging and analytics.

Virtuella nätverksinstallationerNetwork virtual appliances

Perimeternätverket med åtkomst till Internet hanteras normalt via en Azure Firewall-instans eller en brandväggsgrupp eller brandväggar för webbaserade program.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

Olika affärs linjer använder ofta många webb program.Different lines of business commonly use many web applications. Dessa webbprogram tenderar att drabbas av sårbarheter och potentiella hot.These applications tend to suffer from various vulnerabilities and potential exploits. En brand vägg för webbaserade program identifierar attacker mot webb program (HTTP/S) i större djup än en allmän brand vägg.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. Jämfört med traditionell brandväggsteknik har brandväggar för webbaserade program specifika funktioner som skyddar inre webbservrar mot hot.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

En Azure Firewall-instans och en [NVA]-brand vägg för virtuella nätverk använder ett gemensamt administrations plan med en uppsättning säkerhets regler som hjälper till att skydda arbets belastningarna som finns i ekrar och styra åtkomsten till lokala nätverk.An Azure Firewall instance and a [network virtual appliance][nva] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure-brandväggen har inbyggd skalbarhet, medan NVA-brandväggar kan skalas manuellt bakom en belastningsutjämnare.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

En brandväggsgrupp har vanligtvis mindre specialiserad programvara än en brandvägg för webbaserade program men den har ett bredare programdefinitionsområde för att filtrera och inspektera all typ av ingående och utgående trafik.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. Om du använder en NVA-metod kan du söka efter och distribuera programvaran från Azure Marketplace.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

Använd en uppsättning Azure Firewall-instanser (eller NVA) för trafik som kommer från Internet och en annan uppsättning för trafik som kommer från lokala platser.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. Att bara ha en uppsättning med brandväggar är en säkerhetsrisk eftersom det inte ger någon säkerhetsperimeter mellan de två uppsättningarna med nätverkstrafik.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. När separata brandväggslager används minskas komplexiteten för kontroll av säkerhetsregler och tydliggör vilka regler som motsvarar respektive inkommande nätverksbegäran.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer är en tjänst för hög tillgänglighet för Layer 4 (TCP/UDP) som kan distribuera inkommande trafik mellan tjänstinstanser som definierats i en belastningsutjämnad uppsättning.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Trafik som skickas till belastningsutjämnaren från klientdelsslutpunkter (offentliga IP-slutpunkter eller privata IP-slutpunkter) kan distribueras om med eller utan adressöversättning till en grupp IP-adresser för serverdelen (t. ex. NVA eller virtuella datorer).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer kan också avsöka hälsotillståndet för de olika serverinstanserna.Azure Load Balancer can also probe the health of the various server instances. När en instans inte svarar på avsökningen slutar belastningsutjämnaren att skicka trafik till de ohälsosamma instanserna.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

Som ett exempel på att använda en nätverkstopologi för nav och ekrar kan du distribuera en extern belastningsutjämnare till både hubben och ekrarna.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. I hubben dirigerar belastningsutjämnaren trafik effektivt till tjänster i ekrarna.In the hub, the load balancer efficiently routes traffic to services in the spokes. I ekrarna hanterar belastningsutjämnarna programtrafik.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azures frontend är Microsofts hög tillgängliga och skalbara plattform för webb program acceleration och global https Load Balancer.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Du kan använda Azures front dörr för att bygga, hantera och skala ut ditt dynamiska webb program och statiskt innehåll.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Den körs på över 100 platser på kanten av Microsofts globala nätverk.It runs in more than 100 locations at the edge of Microsoft's global network.

Azures front dörr ger ditt program en enhetlig, regional/stämplad underhålls automatisering, BCDR Automation, enhetlig klient/användar information, cachelagring och service insikter.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Plattformen erbjuder prestanda, tillförlitlighet och stöd för serviceavtal.The platform offers performance, reliability, and support SLAs. Den erbjuder även certifieringar för regelefterlevnad och granskningsbara säkerhetsmetoder som utvecklas, drivs och stöds internt av Azure.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure Application Gateway är en dedikerad virtuell installation som tillhandahåller en leverans kontroll enhet för hanterade program.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. Det erbjuder olika nivåer för belastnings utjämning för ditt program.It offers various Layer 7 load-balancing capabilities for your application.

Med Azure Application Gateway kan du optimera webb server gruppens produktivitet genom att avlasta CPU-intensiv SSL-avslutning till Application Gateway.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. Det ger även andra funktioner för Layer 7-routning, inklusive resursallokering av inkommande trafik, cookie-baserad sessionsgräns, URL-sökväg baserad Routning och möjligheten att vara värd för flera webbplatser bakom en enda Programgateway.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

Azure Application Gateway WAF SKU: n innehåller en brand vägg för webbaserade program.The Azure Application Gateway WAF SKU includes a Web Application Firewall. Den här SKU:n skyddar webbprogram mot vanliga säkerhetsrisker och sårbarheter på webben.This SKU provides protection to web applications from common web vulnerabilities and exploits. Du kan konfigurera Azure Application Gateway som en Internetbaserad Gateway, en intern gateway eller en kombination av båda.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

Offentliga IP-adresserPublic IPs

Med vissa Azure-funktioner kan du associera tjänstslutpunkter till en offentlig IP-adress så att din resurs kan nås från Internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. Den här slutpunkten använder Network Address Translation (NAT) för att dirigera trafik till den interna adressen och porten i det virtuella Azure-nätverket.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure virtual network. Den här vägen är det primära sättet för extern trafik att skickas till det virtuella nätverket.This path is the primary way for external traffic to pass into the virtual network. Du kan konfigurera offentliga IP-adresser för att avgöra vilken trafik som skickas och hur och var den översätts till det virtuella nätverket.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Azure DDoS Protection StandardAzure DDoS Protection Standard

Azure DDoS Protection standard ger ytterligare funktioner för minskning av de grundläggande tjänst nivåer som är specifika för Azure Virtual Network-resurser.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection standard är enkelt att aktivera och kräver inga program ändringar.DDoS protection standard is simple to enable and requires no application changes.

Du kan justera skyddsprinciperna genom dedikerad trafikövervakning och algoritmer för maskininlärning.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. Principer tillämpas på offentliga IP-adresser som är kopplade till resurser som har distribuerats i virtuella nätverk.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Exempel på detta är Azure Load Balancer, Application Gateway och Service Fabric instanser.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

Telemetri i realtid är tillgängligt via Azure Monitor-vyer, såväl under pågående angrepp som i efterhand.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. Du kan lägga till program lager skydd genom att använda brand väggen för webbaserade program i Azure Application Gateway.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. Skydd finns för offentliga IP-adresser med IPv4-protokoll i Azure.Protection is provided for IPv4 Azure public IP addresses.