什么是 NVA？

网络虚拟设备 (NVA) 是一种虚拟设备，由各种层构成，例如：

可以部署从 Azure 市场中的提供程序选择的 NVA。此类提供程序包括 Cisco、Check Point、Barracuda、Sophos、WatchGuard 和 SonicWall。可以使用 NVA 筛选虚拟网络的入站流量，以阻止恶意请求，并阻止意外资源发出的请求。

在零售组织示例场景中，必须与安全和网络团队合作。你希望实现一个安全的环境，该环境仔细检查所有传入流量并阻止未经授权的流量传入内部网络。作为公司网络安全策略的一部分，还需要保护虚拟机网络和 Azure 服务网络。

目标是阻止不需要的或者不安全的网络流量到达关键系统。

在网络安全策略中，必须控制虚拟网络中的流量流。还必须了解 NVA 的作用，以及使用 NVA 来控制通过 Azure 网络的流量流的好处。

网络虚拟设备

网络虚拟设备 (NVA) 是可通过控制路由来控制网络流量流的虚拟机。通常使用它们来管理从外围网络环境流向其他网络或子网的流量。

Visualization of a network architecture with a network virtual appliance.

可以将防火墙设备部署到采用不同配置的虚拟网络中。可以将防火墙设备放在虚拟网络中的外围网络子网中，或者，如果想要更好地控制安全性，可以实现微分段方法。

利用微分段方法可以为防火墙创建专用子网，然后在其他子网中部署 Web 应用程序和其他服务。所有流量都通过防火墙路由，并由 NVA 检查。在虚拟设备网络接口上启用转发，以通过适当的子网传递接受的流量。

借助微分段，防火墙可以检查 OSI 第 4 层和第 7 层（针对应用程序感知设备）上的所有数据包。将 NVA 部署到 Azure 时，它充当路由器，并在虚拟网络上的子网之间转发请求。

有些 NVA 需要多个网络接口。一个网络接口专用于设备的管理网络。其他网络接口管理和控制流量处理。部署 NVA 后，可以将设备配置为通过适当的接口路由流量。

对于大多数环境，已由 Azure 定义的默认系统路由足以使环境正常运行。在某些情况下，应创建路由表并添加自定义路由。示例包括：

可以在 Azure 中创建多个路由表。每个路由表都可与一个或多个子网相关联。子网仅能与一个路由表相关联。

如果流量经由 NVA 路由，该 NVA 会成为基础结构的关键部分。任何 NVA 故障都将直接影响服务的通信能力。请务必在 NVA 部署中添加高可用性体系结构。

使用 NVA 时，有几种方法可以实现高可用性。可以在本模块末尾找到有关在高可用性场景中使用 NVA 的详细信息。

使用网络虚拟设备的主要优势是什么？

控制对 Internet 的出站访问。

跨多个 Azure 虚拟机和跨两个区域对来自 Internet 的传入流量进行负载均衡，以实现灾难恢复。

控制来自外围网络的传入流量，并且仅允许满足安全要求的流量通过。

控制谁可以从外围网络访问 Azure 资源。

如何部署网络虚拟设备？

路由表、用户定义路由和子网更新后，可以配置 Windows 虚拟机并启用 IP 转发。或者可以使用 Azure 市场中的合作伙伴映像。

使用 Azure CLI，在 Azure 中部署 Linux 虚拟机，将此虚拟机连接到生产虚拟网络，并分配公共 IP 地址。

使用 Azure 门户部署 Windows 2016 Server 实例。接下来，使用 Azure 应用程序网关，将 Windows 2016 Server 实例添加为目标终结点。

从 Azure 市场下载虚拟设备，并将设备配置为连接到生产和外围网络。

在检查工作前，必须回答所有问题。