Compartir a través de


Opciones de arquitectura de Azure Firewall Manager

Azure Firewall Manager puede proporcionar administración de seguridad para dos tipos de arquitectura de red:

  • Centro virtual protegido

    Un centro de Azure Virtual WAN es un recurso administrado por Microsoft que permite crear fácilmente arquitecturas de tipo hub-and-spoke (centro y radio). Cuando las directivas de seguridad y enrutamiento se asocian a este centro, se conoce como un centro virtual protegido.

  • Red virtual de centro

    Se trata de una red virtual estándar de Azure que crea y administra uno mismo. Cuando las directivas de seguridad están asociadas a este centro de conectividad, se conoce como una red virtual del centro. En este momento, solo se admite la directiva de Azure Firewall. Puede emparejar las redes virtuales de radio que contienen los servidores y servicios de carga de trabajo. También puede administrar los firewalls de redes virtuales independientes que no estén emparejadas con ningún radio.

De comparación

En la tabla siguiente se comparan estas dos opciones de arquitectura, lo que puede ayudarle a decidir cuál es la adecuada para los requisitos de seguridad de la organización:

Red virtual de centro Centro virtual protegido
Recurso subyacente Virtual network Centro de Virtual WAN
Centro y radio Usa emparejamiento de red virtual Automatizado mediante conexión de red virtual de centro
Conectividad local VPN Gateway de hasta 10 Gbps y 30 conexiones S2S; ExpressRoute VPN Gateway más escalable de hasta 20 Gbps y 1000 conexiones S2S; ExpressRoute
Conectividad de rama automatizada mediante SDWAN No compatible Compatible
Centros por región Varias redes virtuales por región Varios centros virtuales por región
Azure Firewall: varias direcciones IP públicas Proporcionado por el cliente Generado automáticamente
Availability Zones de Azure Firewall Compatible Compatible
Seguridad avanzada de Internet con seguridad de terceros como asociados de servicio Conectividad VPN administrada y establecida por el cliente con el servicio asociado que se prefiera Automatizado a través de la experiencia de administración de asociados y el flujo de proveedor de asociados de seguridad
Administración de rutas centralizada para enrutar el tráfico al centro Ruta definida por el usuario administrada por el cliente Se admite con BGP
Compatibilidad con varios proveedores de seguridad Compatible con la tunelización forzada configurada manualmente a firewalls de terceros Compatibilidad automatizada con dos proveedores de seguridad: Azure Firewall para el filtrado de tráfico privado y de terceros para el filtrado de Internet
Firewall de aplicaciones web en Application Gateway Se admite en Virtual Network Actualmente se admite en redes de radio
Aplicación virtual de red Se admite en Virtual Network Actualmente se admite en redes de radio
Servicio Azure DDoS Protection No

Pasos siguientes