Azure 防火牆管理員部署概觀
使用 Azure 防火牆管理員,以部署 Azure 防火牆的方法有很多種,但建議使用下列一般程序。
若要檢閱網路結構選項,請參閱什麼是 Azure 防火牆管理員結構選項?
一般部署程序
中樞虛擬網路
建立防火牆原則
- 建立新的原則
or - 衍生基底原則及自訂本機原則
or - 從現有的 Azure 防火牆匯入規則。 請務必從應套用到多個防火牆的原則中移除 NAT 規則
- 建立新的原則
建立中樞和輪輻架構
- 使用 Azure 防火牆管理員建立中樞虛擬網路,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至中樞虛擬網路
or - 建立虛擬網路及新增虛擬網路連線,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路
- 使用 Azure 防火牆管理員建立中樞虛擬網路,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至中樞虛擬網路
選取安全性提供者並建立防火牆原則的關聯。 目前,只有 Azure 防火牆是支援的提供者。
- 這會在您建立中樞虛擬網路時完成
or - 將現有虛擬網路轉換為中樞虛擬網路。 此外,也可能轉換多個虛擬網路。
- 這會在您建立中樞虛擬網路時完成
設定 [使用者定義路由],以將流量路由傳送至您的中樞虛擬網路防火牆。
安全虛擬中樞
建立中樞和輪輻架構
- 使用 Azure 防火牆管理員建立安全虛擬中樞,並新增虛擬網路連線。
or - 建立虛擬 WAN 中樞並新增虛擬網路連線。
- 使用 Azure 防火牆管理員建立安全虛擬中樞,並新增虛擬網路連線。
選取安全性提供者
- 在建立安全虛擬中樞時完成。
or - 將現有虛擬 WAN 中樞轉換成安全虛擬中樞。
- 在建立安全虛擬中樞時完成。
建立防火牆原則,並將它與您的中樞建立關聯
- 僅在使用 Azure 防火牆時才適用。
- 協力廠商安全性即服務 (SECaaS) 原則是透過合作夥伴管理體驗來設定。
設定路由設定以將流量路由傳送至安全中樞
- 使用 [安全虛擬中樞路由設定] 頁面,輕鬆地將流量路由傳送到安全中樞,以進行篩選和記錄,而不需要使用者定義路由 (UDR) 在輪輻虛擬網路上。
注意
- vWAN 中的中樞不能有重疊的 IP 空間。 如需更多已知問題,請參閱什麼是 Azure 防火牆管理員?
轉換虛擬網路
如果您將現有的虛擬網路轉換為中樞虛擬網路,則適用下列資訊:
- 如果虛擬網路具有現有的 Azure 防火牆,您可以選取要與現有防火牆產生關聯的防火牆原則。 當防火牆原則取代防火牆規則時,防火牆佈建狀態將會更新。 在佈建狀態期間,防火牆會繼續處理流量,且不會有停機時間。 您可以使用防火牆管理員或 Azure PowerShell,將現有的規則匯入防火牆原則。
- 如果虛擬網路沒有相關聯的 Azure 防火牆,則系統會部署防火牆,且防火牆原則會與新的防火牆相關聯。