使用 Azure 防火牆管理員保護網路

  • 7 分鐘

使用 Azure 防火牆管理員

Azure 防火牆管理員是一種安全性管理服務,能為雲端式安全界限提供集中的安全性原則及路由管理。

Diagram of the Azure Firewall Manager that shows the secure hub and hub VNet deployment option.

Azure 防火牆管理員可簡化集中定義網路和應用層級規則的程序,以跨多個 Azure 防火牆執行個體進行流量篩選。 您可以跨越中樞和輪輻架構中的不同 Azure 區域和訂閱,對流量進行控管和保護。

如果您管理多個防火牆,即會知道持續變更防火牆規則會使其難以保持同步。中央 IT 小組必須能夠定義基本防火牆原則,並跨多個營業單位實施。 同時,DevOps 小組想要建立自己的本機衍生防火牆原則,以跨組織實作。 Azure 防火牆管理員可協助解決這些問題。

防火牆管理員可為下列兩種網路架構類型提供安全性管理:

  • 安全虛擬中樞 - 這是提供給任何 Azure 虛擬 WAN 中樞的名稱 (若已有與其建立關聯的安全性和路由原則)。 Azure 虛擬 WAN 中樞是一項由 Microsoft 管理的資源,可讓您輕鬆建立中樞和輪輻架構。
  • 中樞虛擬網路 - 這是提供給任何標準 Azure 虛擬網路的名稱 (若已有與其建立關聯的安全性原則)。 標準 Azure 虛擬網路是您自行建立和管理的資源。 目前僅支援 Azure 防火牆原則。 您可以將包含工作負載伺服器和服務的輪輻虛擬網路對等互連。 您也可以在獨立虛擬網路中管理未對等互連到任何輪輻的防火牆。

Azure 防火牆管理員功能

Azure 防火牆管理員提供的主要功能包括:

  • 集中式 Azure 防火牆部署和設定

    您可以集中部署和設定跨越不同 Azure 區域和訂用帳戶的多個 Azure 防火牆執行個體。

  • 階層式原則 (全域和本機)

    您可以使用 Azure 防火牆管理員,集中管理多個安全虛擬中樞的 Azure 防火牆原則。 您的中央 IT 小組可以撰寫全域防火牆原則,以在多個小組間強制執行全組織的防火牆原則。 在本機撰寫的防火牆原則可讓 DevOps 自助模型獲得更高的靈活性。

  • 與第三方安全性即服務整合,以取得進階安全性

    除了 Azure 防火牆,您還可以整合第三方安全性即服務提供者,為您的 VNet 和分支網際網路連線提供額外的網路保護。 這項功能僅適用於安全虛擬中樞部署 (如上所示)。

  • 集中式路由管理

    您可以輕鬆地將流量路由傳送至安全中樞進行篩選和記錄,而不需要在輪輻虛擬網路上手動設定使用者定義的路由 (UDR)。 這項功能僅適用於安全虛擬中樞部署 (如上所示)。

  • 區域可用性

    您可以跨區域使用 Azure 防火牆原則。 例如,您在美國西部區域建立的原則仍可用於美國東部區域。

  • DDoS 保護計劃

    您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。

  • 管理 Web 應用程式防火牆原則

    您可以集中建立和關聯您的應用程式傳遞平台的 Web 應用程式防火牆 (WAF) 原則,包括 Azure Front Door 和 Azure 應用程式閘道。

Azure 防火牆管理員原則

防火牆原則是一種 Azure 資源,其中包含 NAT、網路和應用程式規則集合,以及威脅情報設定。 這是全域資源,可跨安全虛擬中樞及中樞虛擬網路中的多個 Azure 防火牆執行個體使用。 您可從頭開始建立新原則,或繼承自現有的原則。 繼承可讓 DevOps 在組織規定的基本原則之上建立本機防火牆原則。 原則可跨地區和訂用帳戶運作。

您可以使用 Azure 防火牆管理員建立防火牆原則和關聯。 不過,您也可以使用 REST API、範本、Azure PowerShell 和 Azure CLI 來建立和管理原則。 建立原則之後,您可以將原則與虛擬 WAN 中樞內的防火牆建立關聯,使其成為安全虛擬中樞,及/或將其與標準 Azure 虛擬網路中的防火牆建立關聯,使其成為中樞虛擬網路。

Diagram of Azure Firewall Manager with three firewalls deployed to different hub vnets with policies applied.

針對中樞虛擬網路部署 Azure 防火牆管理員

針對中樞虛擬網路部署 Azure 防火牆管理員的建議程序如下:

  1. 建立防火牆原則

    您可以建立新的原則、衍生基本原則和自訂本機原則,或從現有的 Azure 防火牆匯入規則。 請務必從應套用至多個防火牆的原則中移除 NAT 規則。

  2. 建立中樞和輪輻架構

    做法有兩種,第一種做法是建立使用 Azure 防火牆管理員的中樞虛擬網路,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路;第二種做法是建立虛擬網路並新增虛擬網路連線,並使用虛擬網路對等互連將輪輻虛擬網路對等互連至該虛擬網路。

  3. 選取安全性提供者並建立防火牆原則的關聯

    目前,只有 Azure 防火牆是支援的提供者。 若要這麼做,可以在建立中樞虛擬網路期間進行,或是透過將現有的虛擬網路轉換至中樞虛擬網路。 此外,也可能轉換多個虛擬網路。

  4. 設定使用者定義的路由,以將流量路由至您的中樞虛擬網路防火牆

針對安全虛擬中樞部署 Azure 防火牆管理員

針對安全虛擬中樞部署 Azure 防火牆管理員的建議程序如下:

  1. 建立中樞和輪輻架構

    若要這麼做,請使用 Azure 防火牆管理員建立安全虛擬中樞並新增虛擬網路連線,或建立虛擬 WAN 中樞並新增虛擬網路連線。

  2. 選取安全性提供者

    若要這麼做,可以在建立安全虛擬中樞時進行,或是透過將現有的虛擬 WAN 中樞轉換為安全的虛擬中樞。

  3. 建立防火牆原則,並將它與您的中樞建立關聯

    只有在使用 Azure 防火牆時才能這麼做。 協力廠商安全性即服務原則是透過合作夥伴管理體驗來設定的。

  4. 設定路由設定,以將流量路由傳送至您的安全虛擬中樞

    您可以 [安全虛擬中樞路由設定] 頁面,輕鬆地將流量路由傳送到安全中樞,以進行篩選和記錄,而不需要輪輻虛擬網路上的使用者定義路由 (UDR)。

每個區域的每個虛擬 WAN 只能有一個中樞,但在區域中新增多個虛擬 WAN 就能擁有多個中樞。

vWAN 中的中樞不得有重疊的 IP 空間。

您的中樞 VNet 連線必須與中樞位於相同的地區。