Azure 防火牆管理員部署概觀

使用 Azure 防火牆管理員，以部署 Azure 防火牆的方法有很多種，但建議使用下列一般程序。

若要檢閱網路結構選項，請參閱什麼是 Azure 防火牆管理員結構選項？

一般部署程序

中樞虛擬網路

1. 建立防火牆原則

   • 建立新的原則
     or
     
   • 衍生基底原則及自訂本機原則
     or
     
   • 從現有的 Azure 防火牆匯入規則。 請務必從應套用到多個防火牆的原則中移除 NAT 規則

2. 建立中樞和輪輻架構

   • 使用 Azure 防火牆管理員建立中樞虛擬網路，並使用虛擬網路對等互連將輪輻虛擬網路對等互連至中樞虛擬網路
     or
     
   • 建立虛擬網路及新增虛擬網路連線，並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路

3. 選取安全性提供者並建立防火牆原則的關聯。 目前，只有 Azure 防火牆是支援的提供者。

   • 這會在您建立中樞虛擬網路時完成
     or
     
   • 將現有虛擬網路轉換為中樞虛擬網路。 也可以轉換多個虛擬網路。

4. 設定 [使用者定義路由]，以將流量路由傳送至您的中樞虛擬網路防火牆。

安全虛擬中樞

1. 建立中樞和輪輻架構

   • 使用 Azure 防火牆管理員建立安全虛擬中樞，並新增虛擬網路連線。
     or
     
   • 建立虛擬 WAN 中樞並新增虛擬網路連線。

2. 選取安全性提供者

   • 在建立安全虛擬中樞時完成。
     or
     
   • 將現有虛擬 WAN 中樞轉換成安全虛擬中樞。

3. 建立防火牆原則，並將它與您的中樞建立關聯

   • 僅在使用 Azure 防火牆時才適用。
   • 合作夥伴安全性即服務 (SECaaS) 原則是透過合作夥伴管理體驗來設定。

4. 設定路由設定以將流量路由傳送至安全中樞

   • 使用 [安全虛擬中樞路由設定] 頁面，輕鬆地將流量路由傳送到安全中樞，以進行篩選和記錄，而不需要使用者定義路由 (UDR) 在輪輻虛擬網路上。

注意

• vWAN 中的中樞不能有重疊的 IP 空間。 如需更多已知問題，請參閱什麼是 Azure 防火牆管理員？

轉換虛擬網路

如果您將現有的虛擬網路轉換為中樞虛擬網路，則適用下列資訊：

• 如果虛擬網路具有現有的 Azure 防火牆，您可以選取要與現有防火牆產生關聯的防火牆原則。 當防火牆原則取代防火牆規則時，會更新防火牆佈建狀態。 在佈建狀態期間，防火牆會繼續處理流量，且不會有停機時間。 您可以使用防火牆管理員或 Azure PowerShell，將現有的規則匯入防火牆原則。
• 如果虛擬網路沒有相關聯的 Azure 防火牆，則系統會部署防火牆，且防火牆原則會與新的防火牆相關聯。

下一步

• 教學課程：使用 Azure 入口網站以 Azure 防火牆管理員保護雲端網路
• 深入了解 Azure 網路安全性