Omówienie wdrażania usługi Azure Firewall Manager
Istnieje więcej niż jeden sposób użycia usługi Azure Firewall Manager do wdrożenia usługi Azure Firewall, ale zalecany jest następujący ogólny proces.
Aby zapoznać się z opcjami architektury sieci, zobacz Co to są opcje architektury usługi Azure Firewall Manager?
Ogólny proces wdrażania
Sieci wirtualne koncentratora
Tworzenie zasad zapory
- Tworzenie nowych zasad
or - Tworzenie podstawowych zasad i dostosowywanie zasad lokalnych
or - Importowanie reguł z istniejącej usługi Azure Firewall. Pamiętaj, aby usunąć reguły NAT z zasad, które powinny być stosowane w wielu zaporach
- Tworzenie nowych zasad
Tworzenie architektury piasty i szprych
- Tworzenie sieci wirtualnej koncentratora przy użyciu usługi Azure Firewall Manager i równorzędnych sieci wirtualnych będącej szprychą przy użyciu komunikacji równorzędnej sieci wirtualnych
or - Tworzenie sieci wirtualnej i dodawanie do niej połączeń sieci wirtualnych i równorzędnych sieci wirtualnych szprych przy użyciu komunikacji równorzędnej sieci wirtualnych
- Tworzenie sieci wirtualnej koncentratora przy użyciu usługi Azure Firewall Manager i równorzędnych sieci wirtualnych będącej szprychą przy użyciu komunikacji równorzędnej sieci wirtualnych
Wybierz dostawców zabezpieczeń i skojarz zasady zapory. Obecnie tylko usługa Azure Firewall jest obsługiwanym dostawcą.
- Odbywa się to podczas tworzenia sieci wirtualnej koncentratora
or - Przekonwertuj istniejącą sieć wirtualną na sieć wirtualną koncentratora. Istnieje również możliwość konwersji wielu sieci wirtualnych.
- Odbywa się to podczas tworzenia sieci wirtualnej koncentratora
Konfigurowanie tras definiowanych przez użytkownika w celu kierowania ruchu do zapory sieci wirtualnej koncentratora.
Zabezpieczone koncentratory wirtualne
Tworzenie architektury piasty i szprych
- Utwórz zabezpieczony koncentrator wirtualny przy użyciu usługi Azure Firewall Manager i dodaj połączenia sieci wirtualnej.
or - Utwórz koncentrator usługi Virtual WAN i dodaj połączenia sieci wirtualnej.
- Utwórz zabezpieczony koncentrator wirtualny przy użyciu usługi Azure Firewall Manager i dodaj połączenia sieci wirtualnej.
Wybieranie dostawców zabezpieczeń
- Zakończono tworzenie zabezpieczonego koncentratora wirtualnego.
or - Przekonwertuj istniejący koncentrator usługi Virtual WAN na bezpieczny koncentrator wirtualny.
- Zakończono tworzenie zabezpieczonego koncentratora wirtualnego.
Tworzenie zasad zapory i kojarzenie ich z centrum
- Dotyczy tylko w przypadku korzystania z usługi Azure Firewall.
- Zasady zabezpieczeń jako usługi partnera (SECaaS) są konfigurowane za pośrednictwem środowiska zarządzania partnerami.
Konfigurowanie ustawień trasy w celu kierowania ruchu do zabezpieczonego centrum
- Łatwe kierowanie ruchu do zabezpieczonego centrum w celu filtrowania i rejestrowania bez tras zdefiniowanych przez użytkownika (UDR) w sieciach wirtualnych szprych przy użyciu strony Zabezpieczone ustawienie trasy koncentratora wirtualnego.
Uwaga
- Nie można mieć nakładających się przestrzeni IP dla koncentratorów w wirtualnej sieci WAN. Aby uzyskać więcej znanych problemów, zobacz Co to jest usługa Azure Firewall Manager?
Konwertowanie sieci wirtualnych
Poniższe informacje dotyczą konwersji istniejącej sieci wirtualnej na sieć wirtualną koncentratora:
- Jeśli sieć wirtualna ma istniejącą usługę Azure Firewall, należy wybrać zasady zapory do skojarzenia z istniejącą zaporą. Stan aprowizacji zapory jest aktualizowany, gdy zasady zapory zastępują reguły zapory. Podczas aprowizacji zapora kontynuuje przetwarzanie ruchu i nie ma przestoju. Istniejące reguły można zaimportować do zasad zapory przy użyciu menedżera zapory lub programu Azure PowerShell.
- Jeśli sieć wirtualna nie ma skojarzonej usługi Azure Firewall, zostanie wdrożona zapora, a zasady zapory zostaną skojarzone z nową zaporą.