Поделиться через


Общие сведения о развертывании Диспетчера брандмауэра Azure

Существует несколько способов использования диспетчера Брандмауэр Azure для развертывания Брандмауэр Azure, но рекомендуется выполнить следующий общий процесс.

Сведения о параметрах сетевой архитектуры см. в разделе "Что такое параметры архитектуры диспетчера Брандмауэр Azure"?

Общий процесс развертывания

Центральные виртуальные сети

  1. Создание политики брандмауэра.

    • Создание новой политики
      or
    • Наследование базовой политики и настройка локальной политики
      or
    • импортируйте правила из существующего Брандмауэра Azure. Обязательно удалите правила NAT из политик, которые нужно применить к нескольким брандмауэрам.
  2. Создание звездообразной архитектуры

    • Создание концентратора виртуальная сеть с помощью диспетчера Брандмауэр Azure и периферийных виртуальных сетей с помощью пиринга виртуальных сетей
      or
    • Создайте виртуальную сеть, добавьте виртуальные сетевые подключения и установите пиринг между ней и лучеобразными виртуальными сетями.
  3. Выбор поставщиков средств безопасности и привязывание политики брандмауэра. Сейчас поддерживается только один поставщик: Брандмауэр Azure.

    • Это делается при создании концентратора виртуальная сеть
      or
    • преобразуйте существующую виртуальную сеть в центральную. Кроме того, можно преобразовать несколько виртуальных сетей.
  4. Настройка определяемых пользователями маршрутов для маршрутизации трафика в брандмауэр центральной виртуальной сети.

Защищенные виртуальные концентраторы

  1. Создание звездообразной архитектуры

    • Создайте защищенный виртуальный концентратор с помощью диспетчера брандмауэра Azure и добавьте подключения к виртуальной сети.
      or
    • Создайте концентратор виртуальной глобальной сети и добавьте подключения к виртуальной сети.
  2. Выбор поставщика безопасности

    • Выполняется при создании защищенного виртуального концентратора.
      or
    • Преобразуйте существующий концентратор виртуальной глобальной сети в защищенный виртуальный концентратор.
  3. Создание политики брандмауэра и связывание ее с концентратором

    • Применяется только при использовании Брандмауэра Azure.
    • Политики безопасности партнеров как услуги (SECaaS) настраиваются с помощью интерфейса управления партнерами.
  4. Настройка параметров маршрута для маршрутизации трафика в защищенный центр

    • Направьте трафик в защищенный центр для фильтрации и ведения журнала без определяемых пользователем маршрутов (UDR) в периферийных виртуальных сетях с помощью страницы параметров маршрутов защищенного виртуального концентратора.

Примечание.

Преобразование виртуальных сетей

Ниже приведены сведения для преобразования существующей виртуальной сети в виртуальную сеть концентратора.

  • Если в виртуальной сети есть Брандмауэр Azure, выберите политику брандмауэра, чтобы связать ее с этим брандмауэром. Состояние подготовки брандмауэра обновляется, а политика брандмауэра заменяет правила брандмауэра. Во время подготовки брандмауэр продолжает обработку трафика и не простаивает. Существующие правила можно импортировать в политику брандмауэра с помощью Диспетчера брандмауэра или Azure PowerShell.
  • Если с виртуальной сетью не связан Брандмауэр Azure, то будет развернут новый брандмауэр, с которым будет связана политика брандмауэра.

Следующие шаги