Übersicht über die Bereitstellung mit Azure Firewall Manager
Es gibt mehrere Möglichkeiten, Azure Firewall Manager bereitzustellen, jedoch sollten Sie den folgenden allgemeinen Prozess nutzen.
Informationen zum Überprüfen der Netzwerkarchitekturoptionen finden Sie unter Was sind die Optionen für die Azure Firewall Manager-Architektur?
Allgemeiner Bereitstellungsprozess
Virtuelle Hubnetzwerke
Erstellen einer Firewallrichtlinie
- Erstellen einer neuen Richtlinie
or - Leiten Sie eine Basisrichtlinie ab, und passen Sie eine lokale Richtlinie an.
or - Importieren Sie Regeln aus einer vorhandenen Azure Firewall-Instanz. Entfernen Sie unbedingt die NAT-Regeln aus Richtlinien, die auf mehrere Firewalls angewendet werden sollen.
- Erstellen einer neuen Richtlinie
Erstellen Ihrer Hub-and-Spoke-Architektur
- Erstellen Sie mit Azure Firewall Manager ein virtuelles Hubnutzwerk, und verknüpfen Sie unter Verwendung des Peerings virtueller Netzwerke virtuelle Spoke-Netzwerke damit.
or - Erstellen Sie ein virtuelles Netzwerk, fügen Sie virtuelle Netzwerkverbindungen hinzu, und verknüpfen Sie unter Verwendung des Peerings virtueller Netzwerke virtuelle Spoke-Netzwerke damit.
- Erstellen Sie mit Azure Firewall Manager ein virtuelles Hubnutzwerk, und verknüpfen Sie unter Verwendung des Peerings virtueller Netzwerke virtuelle Spoke-Netzwerke damit.
Auswählen von Sicherheitsanbietern und Zuweisen der Firewallrichtlinie. Derzeit wird nur Azure Firewall als Anbieter unterstützt.
- Dieser Schritt wird während der Erstellung eines virtuellen Hubnetzwerks ausgeführt.
or - Konvertieren Sie ein vorhandenes virtuelles Netzwerk in ein virtuelles Hubnetzwerk. Es ist auch möglich, mehrere virtuelle Netzwerke zu konvertieren.
- Dieser Schritt wird während der Erstellung eines virtuellen Hubnetzwerks ausgeführt.
Konfigurieren benutzerdefinierter Routen zum Weiterleiten von Datenverkehr an die Firewall Ihres virtuellen Hubnetzwerks
Geschützte virtuelle Hubs
Erstellen Ihrer Hub-and-Spoke-Architektur
- Erstellen Sie mit Azure Firewall Manager einen geschützten virtuellen Hub, und fügen Sie virtuelle Netzwerkverbindungen hinzu.
or - Erstellen Sie einen virtuellen WAN-Hub, und fügen Sie virtuelle Netzwerkverbindungen hinzu.
- Erstellen Sie mit Azure Firewall Manager einen geschützten virtuellen Hub, und fügen Sie virtuelle Netzwerkverbindungen hinzu.
Auswählen von Sicherheitsanbietern
- Erfolgt beim Erstellen eines geschützten virtuellen Hubs.
or - Konvertieren Sie einen vorhandenen virtuellen WAN-Hub in einen geschützten virtuellen Hub.
- Erfolgt beim Erstellen eines geschützten virtuellen Hubs.
Erstellen einer Firewallrichtlinie und deren Zuordnung zu Ihrem Hub
- Gilt nur, wenn Azure Firewall verwendet wird.
- SECaaS-Richtlinien (Security-as-a-Service, Sicherheit als Dienst) von Partnern werden über die Verwaltungsbenutzeroberfläche von Partnern konfiguriert.
Konfigurieren von Routeneinstellungen zum Weiterleiten von Datenverkehr an Ihren geschützten Hub
- Leiten Sie mithilfe der Seite zur Routeneinstellung für geschützte virtuelle Hubs den Datenverkehr zur Filterung und Protokollierung ohne benutzerdefinierte Routen (UDR) auf virtuellen Spoke-Netzwerken einfach an Ihren geschützten Hub weiter.
Hinweis
- Überlappende IP-Adressräume für Hubs sind in einem VWAN nicht möglich. Weitere bekannte Probleme finden Sie unter Was ist Azure Firewall Manager?
Konvertieren von virtuellen Netzwerken
Die folgenden Informationen gelten, wenn Sie ein vorhandenes virtuelles Netzwerk in ein virtuelles Hubnetzwerk konvertieren:
- Wenn das virtuelle Netzwerk über eine bereits vorhandene Azure Firewall verfügt, können Sie eine Firewallrichtlinie auswählen, die der vorhandenen Firewall zugeordnet werden soll. Der Bereitstellungsstatus der Firewall wird aktualisiert, während die Firewallregeln durch die Firewallrichtlinie ersetzt werden. Während des Bereitstellungsstatus fährt die Firewall mit der Verarbeitung des Datenverkehrs fort, und es kommt nicht zu Ausfallzeiten. Sie können vorhandene Regeln in eine Firewallrichtlinie importieren, indem Sie Firewall Manager oder Azure PowerShell verwenden.
- Wenn das virtuelle Netzwerk nicht über eine zugeordnete Azure Firewall verfügt, wird eine Firewall bereitgestellt, und die Firewallrichtlinie wird der neuen Firewall zugeordnet.