Planera för inkommande och utgående Internet anslutningPlan for inbound and outbound internet connectivity

I det här avsnittet beskrivs rekommenderade anslutnings modeller för inkommande och utgående anslutning till och från det offentliga Internet.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Design överväganden:Design considerations:

  • Azure-inbyggda nätverkssäkerhetstjänster som Azure Firewall, Azure Web Application Firewall (WAF) på Azure Application Gateway och Azure Front Door är fullständigt hanterade tjänster.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. Det innebär att du inte ådrar dig de drift- och hanteringskostnader som är kopplade till infrastruktursdistributioner, som kan bli komplexa i större skala.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • Arkitekturen i företags skala är helt kompatibel med partner NVA, om din organisation föredrar att använda NVA eller för situationer där interna tjänster inte uppfyller organisationens specifika krav.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Design rekommendationer:Design recommendations:

  • Använd Azure-brandväggen för att styra:Use Azure Firewall to govern:

    • Utgående Azure-trafik till Internet.Azure outbound traffic to the internet.

    • Icke-HTTP/S inkommande anslutningar.Non-HTTP/S inbound connections.

    • Trafik filtrering i öst/väst (om din organisation kräver det).East/west traffic filtering (if your organization requires it).

  • Använd brand Väggs hanteraren med Virtual WAN för att distribuera och hantera Azure-brandväggar i virtuella WAN-nav eller i hubb virtuella nätverk.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. Firewall Manager är nu allmänt tillgänglig för både virtuella WAN och vanliga virtuella nätverk.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • Skapa en global Azure Firewall-princip för att styra säkerhets position i den globala nätverks miljön och tilldela den till alla Azure Firewall-instanser.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Tillåt detaljerade principer för att uppfylla kraven i vissa regioner genom att delegera stegvisa brand Väggs principer till lokala säkerhets team via rollbaserad åtkomst kontroll i Azure.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via Azure role-based access control.

  • Konfigurera partner SaaS-säkerhetsleverantörer som stöds i brand Väggs hanteraren om organisationen vill använda sådana lösningar för att skydda utgående anslutningar.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Använd WAF i ett virtuellt nätverk i landnings zonen för att skydda inkommande HTTP/S-trafik från Internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Använd Azures frontend-och WAF-principer för att tillhandahålla globalt skydd i Azure-regioner för inkommande HTTP/S-anslutningar till en landnings zon.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • När du använder Azures frontend-dörr och Azure Application Gateway för att skydda HTTP/S-program, använder du WAF-principer i Azures front dörr.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S applications, use WAF policies in Azure Front Door. Lås Azure Application Gateway för att endast ta emot trafik från Azures front dörr.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • Om partner NVA krävs för öst/väst eller syd/norra trafik skydd och filtrering:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • För topologier för virtuella WAN-nätverk distribuerar du NVA till ett separat virtuellt nätverk (till exempel NVA virtuellt nätverk).For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). Anslut sedan den till den regionala virtuella WAN-hubben och till de landnings zoner som kräver åtkomst till NVA.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. I den här artikeln beskrivs processen.This article describes the process.
    • För topologier som inte är virtuella WAN-nätverk distribuerar du partner NVA i det centrala nätverket i den centrala hubben.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Om partner NVA krävs för inkommande HTTP/S-anslutningar distribuerar du dem i ett virtuellt nätverk i landnings zonen och tillsammans med de program som de skyddar och exponerar för Internet.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the applications that they're protecting and exposing to the internet.

  • Använd Azure DDoS Protection standard skydds planer för att skydda alla offentliga slut punkter som finns i dina virtuella nätverk.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • Replikera inte lokala avskärmade undernätskoncept och -arkitekturer till Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. Liknande säkerhetsfunktioner är tillgängliga i Azure, men implementering och arkitektur måste anpassas till molnet.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.