Overzicht van de implementatie van Azure Firewall Manager
Er is meer dan één manier om Azure Firewall Manager te gebruiken om Azure Firewall te implementeren, maar het volgende algemene proces wordt aanbevolen.
Zie Wat zijn de opties voor Azure Firewall Manager-architectuur? om de opties voor netwerkarchitectuur te bekijken.
Algemeen implementatieproces
Virtuele netwerken van hub
Een firewallbeleid maken
- Een nieuw beleid maken
or - Een basisbeleid afleiden en een lokaal beleid aanpassen
or - Regels importeren vanuit een bestaande Azure-firewall. Verwijder de NAT-regels uit beleidsregels die moeten worden toegepast op meerdere firewalls
- Een nieuw beleid maken
Een hub en spoke-architectuur maken
- Maak een virtueel hubnetwerk met behulp van Azure Firewall Manager en verbindt er twee virtuele spoke-netwerken aan met behulp van peering van virtuele netwerken
or - Maak een virtueel netwerk en voeg er virtuele netwerkverbindingen aan toe; verbindt er virtuele spoke-netwerken aan met behulp van peering van virtuele netwerken
- Maak een virtueel hubnetwerk met behulp van Azure Firewall Manager en verbindt er twee virtuele spoke-netwerken aan met behulp van peering van virtuele netwerken
Selecteer beveiligingsproviders en koppel een firewallbeleid. Momenteel is alleen Azure Firewall een ondersteunde provider.
- Dit wordt gedaan tijdens het maken van een virtueel hubnetwerk
or - Converteer een bestaand virtueel netwerk naar een virtueel hubnetwerk. Het is ook mogelijk om meerdere virtuele netwerken te converteren.
- Dit wordt gedaan tijdens het maken van een virtueel hubnetwerk
Configureer door gebruiker gedefinieerde routes om verkeer naar de firewall van uw virtuele hubnetwerk om te leiden.
Beveiligde virtuele hubs
Een hub en spoke-architectuur maken
- Maak een beveiligde virtuele hub met behulp van Azure Firewall Manager en voeg virtuele netwerkverbindingen toe.
or - Maak een virtuele WAN-hub en voeg virtuele netwerkverbindingen toe.
- Maak een beveiligde virtuele hub met behulp van Azure Firewall Manager en voeg virtuele netwerkverbindingen toe.
Beveiligingsproviders selecteren
- Uitgevoerd tijdens het maken van een beveiligde virtuele hub.
or - Converteer een bestaande virtuele WAN-hub naar een beveiligde virtuele hub.
- Uitgevoerd tijdens het maken van een beveiligde virtuele hub.
Firewallbeleid maken en dit koppelen aan uw hub
- Alleen van toepassing als Azure Firewall wordt gebruikt.
- SECaaS-beleidsregels (Security as a Service) van derden worden geconfigureerd via de beheerervaring van partners.
Routerinstellingen configureren om verkeer om te leiden naar uw beveiligde hub
- Leid met behulp van de pagina voor het instellen van routes voor beveiligde virtuele hubs verkeer eenvoudig om naar uw beveiligde hub om het te filteren en in een logboek vast te leggen zonder UDR's (door de gebruiker gedefinieerde routes) in virtuele spoke-netwerken.
Notitie
- U mag geen overlappende IP-ruimten voor hubs in een vWAN hebben. Zie voor meer bekende problemen Wat is Azure Firewall Manager?
Virtuele netwerken converteren
De volgende informatie is van toepassing als u een bestaand virtueel netwerk converteert naar een virtueel netwerk van de hub:
- Als het virtuele netwerk een bestaande Azure-firewall heeft, selecteert u een firewallbeleid om aan de bestaande firewall te koppelen. De inrichtingsstatus van de firewall wordt bijgewerkt terwijl het firewallbeleid firewallregels vervangt. Tijdens de inrichtingsstatus blijft de firewall verkeer verwerken en treedt er geen downtime op. U kunt bestaande regels in een firewallbeleid importeren met Firewall Manager of Azure PowerShell.
- Als het virtuele netwerk geen gekoppelde Azure-firewall heeft, wordt er een firewall geïmplementeerd en word het firewallbeleid aan de nieuwe firewall gekoppeld.