网络安全管理
在本单元中,你将了解如何配置细化的规则,使 Azure VMware 解决方案私有云能够与 Internet 连接。
默认阻止
Azure 防火墙在“默认阻止”设计中配置。 这意味着将阻止配置为通过它传递的任何网络流量。 到目前为止,你已通过 Azure 防火墙为 Azure VMware 解决方案私有云注入了默认路由。 但 Azure 防火墙的“默认阻止”配置不允许任何流量。 这是一个很好的原则,可以基于该原则配置细化的规则,从而实现更严格的网络控制。
出站网络规则
虽然“默认阻止”是一个很好的原则,但需要从此原则中排除合法流量。 可以使用 Azure 防火墙提供的两项功能之一,从“默认阻止”配置中排除合法流量。 第一个功能称为“经典规则”或简称“规则”。顾名思义,每个 Azure 防火墙实例都配置了一个规则,该规则由协议、源 IP 地址空间、源端口、目标 IP 地址空间和目标端口组成。 对于较小的部署,这是一个不错的选择。 但对于企业级部署,此方法的可伸缩性有限,因为规则是按 Azure 防火墙实例定义的。 当有多个 Azure 防火墙实例时,定义规则的过程变得重复且难以管理。 这就是使用“Azure 防火墙策略”的第二个功能变得方便的原因。 使用 Azure 防火墙策略时,规则仅定义一次,然后应用于多个 Azure 防火墙实例。
Azure VMware 解决方案的防火墙规则
在本单元中,你将使用“规则”功能,而不是“Azure 防火墙策略”功能。 但是,建议对企业级部署使用“Azure 防火墙策略”功能,因为它提供更好的可伸缩性和可管理性。 为 Azure VMware 解决方案定义防火墙规则涉及工作负载段 IP 地址空间、协议和端口。 对于“目标类型”,请选择“IP 地址”。 对于“目标地址空间”,请选择“*”,对于“目标端口”,请选择“*”或特定端口,例如 80、443。 等等
