Freigeben über


Welche Optionen bietet die Azure Firewall Manager-Architektur?

Azure Firewall Manager kann die Sicherheitsverwaltung für zwei Netzwerkarchitekturtypen bieten:

  • Geschützter virtueller Hub

    Ein Azure Virtual WAN Hub ist eine von Microsoft verwaltete Ressource, mit der Sie ganz einfach Hub-and-Spoke-Architekturen erstellen können. Wenn Sicherheits- und Routingrichtlinien einem solchen Hub zugeordnet sind, spricht man von einem gesicherten virtuellen Hub.

  • Virtuelles Hubnetzwerk

    Hierbei handelt es sich um ein virtuelles Azure-Standardnetzwerk, das Sie selbst erstellen und verwalten. Wenn Sicherheitsrichtlinien mit einem solchen Hub verbunden sind, spricht man von einem virtuellen Hub-Netzwerk. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt. Sie können virtuelle Spoke-Netzwerke, die Ihre Workloadserver und -dienste enthalten, per Peering verknüpfen. Sie können auch Firewalls in eigenständigen virtuellen Netzwerken verwalten, die nicht per Peering mit einem Spoke verknüpft sind.

Vergleich

In der folgenden Tabelle werden diese beiden Architekturoptionen miteinander verglichen, sodass Sie entscheiden können, welche sich für die Sicherheitsanforderungen Ihrer Organisation am besten eignet:

Virtuelles Hubnetzwerk Geschützter virtueller Hub
Zugrunde liegende Ressource Virtuelles Netzwerk Virtual WAN-Hub
Hub and Spoke Verwendet das Peering virtueller Netzwerke Automatisiert über virtuelle Hubnetzwerkverbindung
Lokale Konnektivität VPN Gateway mit bis zu 10 Gbit/s und 30 Site-to-Site-Verbindungen; ExpressRoute Besser skalierbares VPN Gateway mit bis zu 20 Gbit/s und 1000 Site-to-Site-Verbindungen; ExpressRoute
Automatisierte Branchkonnektivität über SDWAN Nicht unterstützt Unterstützt
Hubs pro Region Mehrere virtuelle Netzwerke pro Region Mehrere virtuelle Hubs pro Region
Azure Firewall – mehrere öffentliche IP-Adressen Vom Kunden bereitgestellt Automatisch generiert
Azure Firewall-Verfügbarkeitszonen Unterstützt Unterstützt
Erweiterte Internetsicherheit mit Security-as-a-Service-Lösungen von Drittanbietern Vom Kunden hergestellte und verwaltet VPN-Konnektivität mit dem gewünschten Partnerdienst Automatisiert über Flow für Sicherheitspartneranbieter und Partnerverwaltungslösung
Zentralisierte Routenverwaltung zum Weiterleiten von Datenverkehr an den Hub Kundenseitig verwaltete benutzerdefinierte Route Unterstützt über BGP
Unterstützung mehrerer Sicherheitsanbieter Unterstützt mit manuell konfiguriertem erzwungenem Tunneling zu Firewalls von Drittanbietern Automatisierte Unterstützung für zwei Sicherheitsanbieter: Azure Firewall für Filterung des privaten Datenverkehrs und Drittanbieter für Internetfilterung
Web Application Firewall auf Application Gateway Unterstützt in virtuellem Netzwerk Derzeit in Spoke-Netzwerk unterstützt
Virtuelles Netzwerkgerät Unterstützt in virtuellem Netzwerk Derzeit in Spoke-Netzwerk unterstützt
Azure DDoS Protection-Unterstützung Ja Nein

Nächste Schritte