Что такое Диспетчер брандмауэра Azure?
Начнем с определения и обзора основных функций диспетчера брандмауэра. Этот обзор поможет вам решить, когда следует использовать диспетчер брандмауэра и подходит ли он для требований организации.
Что такое централизованное управление брандмауэрами?
Централизованное управление брандмауэрами означает одновременное управление несколькими брандмауэрами. Обслуживание нескольких брандмауэров по отдельности может оказаться непростой задачей. По мере изменения потребностей безопасности может потребоваться перенастроить все брандмауэры, чтобы убедиться, что их параметры синхронизированы. Аналогичным образом, если необходимо расширить безопасность, может потребоваться обновить все брандмауэры. Использование Диспетчера брандмауэра упрощает управление брандмауэрами.
Определение Диспетчера брандмауэра
Диспетчер брандмауэра Azure позволяет централизовать управление несколькими экземплярами Брандмауэра Azure. Брандмауэр Azure — это полностью управляемая облачная служба сетевой безопасности. Внедрение Брандмауэра Azure поможет вам защитить ресурсы Azure.
Команда по безопасности должна настроить и обслуживать правила на уровне сети и приложения для фильтрации трафика. Если у вашей организации несколько Брандмауэр Azure экземпляров, вы можете централизованно использовать эти конфигурации. Диспетчер брандмауэра позволяет выполнять следующие задачи:
- Централизация управления брандмауэрами.
- Охват нескольких подписок Azure.
- Охват различных регионов Azure.
- Реализация звездообразных архитектур, чтобы обеспечить управление трафиком и его защиту.
Политика брандмауэра
Политика брандмауэра является основополагающим компонентом Диспетчера брандмауэра. Политика брандмауэра может включать в себя следующее:
- Параметры преобразования сетевых адресов (NAT).
- Коллекции правил сети.
- Коллекции правил приложений.
- Параметры аналитики угроз.
Политики брандмауэра применяют к брандмауэрам. После создания политик их можно связать с одной или несколькими виртуальными сетями или одним или несколькими виртуальными концентраторами.
Совет
Вы можете создавать политики Брандмауэра Azure и управлять ими с помощью портала Azure, REST API, шаблонов, Azure PowerShell и Azure CLI.
Централизованное управление брандмауэрами
Чтобы централизованно управлять брандмауэрами Azure, разверните диспетчер брандмауэров. Она предоставляет следующие возможности.
Централизованное развертывание и конфигурация
Позволяет настроить несколько экземпляров Брандмауэр Azure. Эти несколько экземпляров потенциально могут охватывать разные подписки и регионы Azure.Централизованное управление маршрутами
Передает требование вручную создавать определяемые пользователем маршруты в периферийных виртуальных сетях.Важно!
Централизованное управление маршрутами доступно только в архитектуре защищенных виртуальных концентраторов.
Иерархические политики
Они позволяют централизованно управлять политиками Брандмауэра Azure в нескольких защищенных виртуальных концентраторах. Затем ваша группа ИТ-безопасности может создавать глобальные политики брандмауэра и применять их в организации.Интеграция сторонних продуктов
Это позволяет интегрировать сторонние системы защиты в качестве поставщика услуг.Доступность между регионами
Позволяет создавать политики Брандмауэр Azure в одном регионе и применять их в других регионах.План защиты от атак DDoS
Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure.Управление политиками Брандмауэр веб-приложений
Вы можете централизованно создавать и связывать политики Брандмауэра веб-приложений (WAF) для платформ доставки приложений, включая Azure Front Door и Шлюз приложений Azure.
Диспетчер брандмауэра можно реализовать в форме одной из двух архитектур, описанных в следующей таблице.
| Тип архитектуры | Description |
|---|---|
| Центральная виртуальная сеть. | Стандартная виртуальная сеть Azure, которую вы создаете и которой управляете. При сопоставлении политик брандмауэра с этим типом концентратора создается центральная виртуальная сеть. Базовым ресурсом этой архитектуры является виртуальная сеть. |
| Защищенный виртуальный концентратор | Ресурс, управляемый корпорацией Майкрософт, который позволяет легко создавать звездообразные архитектуры. При сопоставлении политик вы используете защищенный виртуальный концентратор. Базовым ресурсом является виртуальный концентратор глобальной сети. |
На следующей схеме изображен каждый из этих типов архитектуры. Глобальный администратор имеет наиболее более полный контроль над политиками безопасности организации. Локальный администратор имеет некоторый контроль над политиками, связанными с центральной виртуальной сетью.
