Что такое NVA?
Сетевой виртуальный модуль (NVA) — это виртуальный модуль, состоящий из различных уровней, таких как:
- брандмауэр;
- оптимизатор глобальной сети;
- контроллеры доставки приложений;
- маршрутизаторы
- подсистемами балансировки нагрузки;
- IDS/IPS;
- прокси-серверы;
Вы можете развернуть сетевые виртуальные модули от поставщиков в Azure Marketplace. В число таких поставщиков входят Cisco, Check Point, Barracuda, Sophos, WatchGuard и SonicWall. С помощью сетевого виртуального модуля можно фильтровать входящий трафик виртуальной сети и блокировать вредоносные запросы или запросы из непредвиденных источников.
В примере розничной организации вам необходимо сотрудничать с группой специалистов по безопасности и сетям. Требуется реализовать безопасную среду, в которой изучается весь входящий трафик и блокируется передача несанкционированного трафика во внутреннюю сеть. Вы хотите защитить и сети виртуальных машин, и сети служб Azure в рамках стратегии безопасности сети вашей организации.
Ваша цель — помешать нежелательному или небезопасному сетевому трафику достичь ключевых систем.
Стратегия сетевой безопасности предполагает управление потоком трафика в виртуальной сети. Кроме того, вам необходимо изучить роль NVA и преимущества использования NVA для управления потоком трафика через сеть Azure.
Сетевой виртуальный модуль
Сетевые виртуальные модули (NVA) — это виртуальные машины, управляющие потоком сетевого трафика посредством маршрутизации. Обычно они применяются для управления трафиком, передаваемым из сети периметра в другие сети или подсети.
Модули брандмауэра можно развертывать в виртуальной сети в различных конфигурациях. Вы можете поместить модуль брандмауэра в подсети периметра в виртуальной сети либо, если требуется более полный контроль над безопасностью, можно выбрать подход с использованием микросегментации.
Подход на основе микросегментации позволяет создать выделенные подсети для брандмауэра, а затем развернуть веб-приложения и другие службы в других подсетях. Весь трафик направляется через брандмауэр и проверяется сетевыми виртуальными модулями. В сетевых интерфейсах виртуального модуля включается пересылка для передачи допустимого трафика в соответствующую подсеть.
Микросегментация позволяет брандмауэру проверять все пакеты на уровне OSI 4, а также, для модулей, поддерживающих приложения, на уровне 7. При развертывании модуля NVA в Azure он выступает в качестве маршрутизатора и перенаправляет запросы между подсетями в виртуальной сети.
Для некоторых модулей NVA требуется несколько сетевых интерфейсов. Один сетевой интерфейс выделяется для сети управления модуля. Дополнительные сетевые интерфейсы управляют обработкой трафика. После развертывания модуля NVA можно настроить его для маршрутизации трафика через соответствующий интерфейс.
Определяемые пользователем маршруты
Системных маршрутов по умолчанию, уже определенных в Azure, достаточно для подготовки большинства сред к работе. Однако в некоторых случаях следует создать таблицу маршрутизации и добавить пользовательские маршруты. Вот некоторые примеры.
- Доступ к Интернету через локальную сеть с помощью принудительного туннелирования
- управление потоком трафика с помощью виртуальных модулей.
В Azure можно создать несколько таблиц маршрутизации. Каждая таблица маршрутизации может быть связана с одной или несколькими подсетями. Подсеть может быть связана только с одной таблицей маршрутизации.
Сетевые виртуальные модули в архитектуре с высоким уровнем доступности
Когда трафик направляется через модуль NVA, последний становится критически важной частью инфраструктуры. Любые сбои будут напрямую влиять на способность служб обмениваться данными. Поэтому для развертывания NVA важно реализовать архитектуру с высоким уровнем доступности.
При использовании NVA есть несколько методов обеспечения высокого уровня доступности. Сведения об использовании NVA в сценариях высокой доступности можно найти в конце этого модуля.