Общие сведения о развертывании Диспетчера брандмауэра Azure
Существует несколько способов использования диспетчера Брандмауэр Azure для развертывания Брандмауэр Azure, но рекомендуется выполнить следующий общий процесс.
Сведения о параметрах сетевой архитектуры см. в разделе "Что такое параметры архитектуры диспетчера Брандмауэр Azure"?
Общий процесс развертывания
Центральные виртуальные сети
Создание политики брандмауэра.
- Создание новой политики
or - Наследование базовой политики и настройка локальной политики
or - импортируйте правила из существующего Брандмауэра Azure. Обязательно удалите правила NAT из политик, которые нужно применить к нескольким брандмауэрам.
- Создание новой политики
Создание звездообразной архитектуры
- Создание концентратора виртуальная сеть с помощью диспетчера Брандмауэр Azure и периферийных виртуальных сетей с помощью пиринга виртуальных сетей
or - Создайте виртуальную сеть, добавьте виртуальные сетевые подключения и установите пиринг между ней и лучеобразными виртуальными сетями.
- Создание концентратора виртуальная сеть с помощью диспетчера Брандмауэр Azure и периферийных виртуальных сетей с помощью пиринга виртуальных сетей
Выбор поставщиков средств безопасности и привязывание политики брандмауэра. Сейчас поддерживается только один поставщик: Брандмауэр Azure.
- Это делается при создании концентратора виртуальная сеть
or - преобразуйте существующую виртуальную сеть в центральную. Кроме того, можно преобразовать несколько виртуальных сетей.
- Это делается при создании концентратора виртуальная сеть
Настройка определяемых пользователями маршрутов для маршрутизации трафика в брандмауэр центральной виртуальной сети.
Защищенные виртуальные концентраторы
Создание звездообразной архитектуры
- Создайте защищенный виртуальный концентратор с помощью диспетчера брандмауэра Azure и добавьте подключения к виртуальной сети.
or - Создайте концентратор виртуальной глобальной сети и добавьте подключения к виртуальной сети.
- Создайте защищенный виртуальный концентратор с помощью диспетчера брандмауэра Azure и добавьте подключения к виртуальной сети.
Выбор поставщика безопасности
- Выполняется при создании защищенного виртуального концентратора.
or - Преобразуйте существующий концентратор виртуальной глобальной сети в защищенный виртуальный концентратор.
- Выполняется при создании защищенного виртуального концентратора.
Создание политики брандмауэра и связывание ее с концентратором
- Применяется только при использовании Брандмауэра Azure.
- Политики безопасности партнеров как услуги (SECaaS) настраиваются с помощью интерфейса управления партнерами.
Настройка параметров маршрута для маршрутизации трафика в защищенный центр
- Направьте трафик в защищенный центр для фильтрации и ведения журнала без определяемых пользователем маршрутов (UDR) в периферийных виртуальных сетях с помощью страницы параметров маршрутов защищенного виртуального концентратора.
Примечание.
- Не допускается перекрытие пространств IP-адресов для концентраторов в виртуальной глобальной сети. Дополнительные сведения об известных проблемах см. в разделе Общие сведения о Диспетчере брандмауэра Azure.
Преобразование виртуальных сетей
Ниже приведены сведения для преобразования существующей виртуальной сети в виртуальную сеть концентратора.
- Если в виртуальной сети есть Брандмауэр Azure, выберите политику брандмауэра, чтобы связать ее с этим брандмауэром. Состояние подготовки брандмауэра обновляется, а политика брандмауэра заменяет правила брандмауэра. Во время подготовки брандмауэр продолжает обработку трафика и не простаивает. Существующие правила можно импортировать в политику брандмауэра с помощью Диспетчера брандмауэра или Azure PowerShell.
- Если с виртуальной сетью не связан Брандмауэр Azure, то будет развернут новый брандмауэр, с которым будет связана политика брандмауэра.