Azure 防火牆 管理員架構選項為何?
Azure 防火牆 管理員可為兩種網路架構類型提供安全性管理:
安全虛擬中樞
Azure 虛擬 WAN 中樞是一項由 Microsoft 管理的資源,可讓您輕鬆建立中樞和輪輻架構。 當安全性和路由原則與這類中樞產生關聯時,稱為 安全虛擬中樞。
中樞虛擬網路
這是您自行建立和管理的標準 Azure 虛擬網路。 當安全策略與這類中樞相關聯時,即稱為 中樞虛擬網路。 目前僅支援 Azure 防火牆原則。 您可以將包含工作負載伺服器和服務的輪輻虛擬網路對等互連。 您也可以在獨立虛擬網路中管理未對等互連到任何輪輻的防火牆。
比較
下表比較這兩個架構選項,並協助您決定哪一個適合組織的安全性需求:
| 中樞虛擬網路 | 安全虛擬中樞 | |
|---|---|---|
| 基礎資源 | 虛擬網路 | 虛擬 WAN 中樞 |
| 中樞和輪輻 | 使用虛擬網路對等互連 | 使用中樞虛擬網路連線進行自動化 |
| 內部部署連線能力 | VPN 閘道 最多 10 Gbps 和 30 個 S2S 連線;ExpressRoute | 可調整的 VPN 閘道 最多 20 Gbps 和 1000 個 S2S 連線;Express Route |
| 使用SDWAN的自動化分支連線 | 不支援 | 支援 |
| 每個區域的中樞 | 每個區域的多個 虛擬網絡 | 每個區域的多個虛擬中樞 |
| Azure 防火牆 – 多個公用IP位址 | 客戶提供 | 自動產生 |
| Azure 防火牆 可用性區域 | 支援 | 支援 |
| 使用第三方安全性即服務合作夥伴的進階因特網安全性 | 客戶已建立及受控 VPN 連線至所選合作夥伴服務 | 透過安全性合作夥伴提供者流程和合作夥伴管理體驗自動化 |
| 將流量路由傳送至中樞的集中式路由管理 | 客戶管理的使用者定義路由 | 支援使用 BGP |
| 多個安全性提供者支援 | 支援手動設定強制通道至第三方防火牆 | 自動支援兩個安全性提供者:Azure 防火牆 用於私人流量篩選和第三方進行因特網篩選 |
| 應用程式閘道 上的 Web 應用程式防火牆 | 虛擬網絡支援 | 輪輻網路中目前支援 |
| 網路虛擬設備 | 虛擬網絡中支援 | 輪輻網路中目前支援 |
| Azure DDoS 保護支援 | 是 | 否 |