Azure Stack HCI 上的資料中心防火牆
Azure Stack HCI 軟體定義網路 (SDN) 資料中心防火牆功能,可能有助於增強環境的安全性。 資料中心防火牆也可以將硬體裝置的激增降到最低,以支援貴公司的整合計劃。 您需要確保資料中心防火牆功能超出虛擬網路,以提供與現有虛擬區域網路絡 (VLAN) 環境的整合。
如同使用實體防火牆設備來限制網路連線的傳統內部部署資料中心,SDN 環境必須能夠控制連線能力。 分散式資料中心防火牆提供這項功能以及軟體負載平衡和遠端存取服務器 (RAS),作為 SDN 的核心元件。 網路控制站提供資料中心防火牆的集中管理和監視介面,以協助保護虛擬化工作負載免於遭受未經授權的網路存取。
資料中心防火牆的優點
傳統的防火牆是以邊緣連線為目標,篩選內部部署資料中心與網際網路之間的流量 (通常稱為「南北向」通訊)。 這種方法在現今的世界中提供有限的保護,其中網路周邊對於保護界限的重要性較低。
為了在零信任策略中提供有意義的保護,防火牆也必須協助保護資料中心內的資源免於遭受內部威脅。 使用實體防火牆來篩選內部部署通訊 (也稱為「東西向」流量) 具有挑戰性,因為其需要新增硬體投資和作業額外負荷。 透過個別實體裝置路由傳送所有受保護的流量也會增加延遲,這會對內部工作負載造成負面影響。
在 Azure Stack HCI 內,您可以定義虛擬化工作負載的軟體型細微篩選,適用於外部和內部流量。 資料中心防火牆會透過邏輯和虛擬網路中的存取控制清單 (ACL) 來提供這項篩選。
針對 Azure Stack HCI 系統管理員,資料中心防火牆提供下列優點:
- 可集中管理的高度可調整軟體型防火牆解決方案。
- 跨 Azure Stack HCI 叢集節點移動虛擬機器 (VM) 的能力,而不會影響防火牆設定。
- 不論其客體作業系統為何,都能夠保護租用戶 VM。
針對 Azure Stack HCI 租用戶,資料中心防火牆會在下列案例中提供網路層級保護:
- Azure Stack HCI 虛擬和邏輯網路內的網際網路對應工作負載。
- Azure Stack HCI 虛擬和邏輯網路子網之間的通訊。
- 資料中心網路與 Azure Stack HCI 所裝載租用戶工作負載之間的通訊。
資料中心防火牆功能
資料中心防火牆是一種網路層、具狀態、多租用戶的防火牆,可支援透過以下五個參數的任何組合進行篩選:來源和目的地連接埠號碼、來源和目的地 IP 位址,以及通訊協定。 資料中心防火牆會實作為具有原則的分散式防火牆,您可以在 VM-network 介面、邏輯網路子網路或虛擬網路子網路層級套用該原則。
您可以限制外部和內部網路中虛擬化工作負載之間的流量。 網路控制站會將防火牆原則套用至作為 Hyper-V 主機運作的 Azure Stack HCI 叢集節點虛擬交換器連接埠。 這些原則支援連線至 VLAN 型網路的 Azure Stack HCI 工作負載。
若要實作資料中心防火牆型流量篩選,您可以使用支援與北向網路控制站具象狀態傳輸 (REST) API 通訊的任何管理工具,來定義防火牆原則。 這些工具包括 PowerShell、Windows Admin Center和 Microsoft System Center Virtual Machine Manager (VMM)。
如果您跨叢集節點移動 VM,規則就會自動更新。 網路控制站也會自動補救因本機設定變更而影響您所定義原則的任何偏差。 此程序會促進可攜性,並協助確保防火牆型保護保持一致。
下圖顯示網路控制站如何與分散式防火牆搭配運作。 資料中心防火牆會使用原則來管理保護 VM 的防火牆。
