Параметры архитектуры Диспетчера брандмауэра Azure
Диспетчер брандмауэра Azure обеспечивает управление безопасностью для двух типов архитектуры сети:
Защищенный виртуальный концентратор.
Концентратор Виртуальной глобальной сети Azure — это управляемый корпорацией Майкрософт ресурс, который позволяет легко создавать звездообразные архитектуры. При связывании политик безопасности и маршрутизации с таким концентратором он называется защищенным виртуальным концентратором.
Центральная виртуальная сеть.
Это стандартная виртуальная сеть Azure, которую вы создаете и контролируете самостоятельно. Если политики безопасности связаны с таким концентратором, это называется виртуальной сетью концентратора. В настоящее время поддерживается только политика брандмауэра Azure. Можно также создать периферийные виртуальные сети, содержащие серверы рабочей нагрузки и службы. Вы также можете управлять брандмауэрами в автономных виртуальных сетях, не являющихся одноуровневыми для любого периферийного узла.
Сравнение
В следующей таблице ниже сравниваются эти два варианта архитектуры, чтобы вам было проще решить, какая из них лучше соответствует требованиям к безопасности в вашей организации:
| Центральная виртуальная сеть. | Защищенный виртуальный концентратор. | |
|---|---|---|
| Базовый ресурс | Виртуальная сеть | Концентратор Виртуальной глобальной сети |
| Звездообразная топология | Использует пиринг между виртуальными сетями | Автоматическое использование подключения к центральной виртуальной сети |
| Возможность локального подключения | VPN-шлюз до 10 Гбит/с и до 30 подключений "сеть — сеть"; ExpressRoute | VPN-шлюз с улучшенными возможностями масштабирования емкостью до 20 Гбит/с и до 1000 подключений "сеть — сеть"; Express Route |
| Автоматическое подключение ветвей с помощью SDWAN | Не поддерживается | Поддерживается |
| Количество концентраторов на регион | Несколько виртуальных сетей на регион | Несколько виртуальных концентраторов на регион |
| Брандмауэр Azure — несколько общедоступных IP-адресов | Предоставляемый пользователем | Создаются автоматически |
| Зоны доступности Брандмауэра Azure | Поддерживается | Поддерживается |
| Повышенный уровень интернет-безопасности при поддержке сторонних партнеров, работающих по модели "безопасность как услуга" | Клиент устанавливает VPN-подключение к службе партнера по выбору и управляет им | Автоматизированный процесс на основе потока работы с поставщиками безопасности партнеров и интерфейса управления партнерами |
| Централизованное управление маршрутами для маршрутизации трафика в концентратор | Определяемый пользователем маршрут, управляемый клиентом | Поддерживается с помощью BGP |
| Поддержка нескольких поставщиков безопасности | Поддерживается при настроенном вручную принудительном туннелировании в сторонние брандмауэры | Автоматическая поддержка двух поставщиков безопасности: Брандмауэр Azure для фильтрации частного трафика и сторонних разработчиков для фильтрации Интернета |
| Брандмауэр веб-приложений Шлюз приложений | Поддерживается в виртуальной сети | Сейчас поддерживается в периферийной сети |
| Сетевой виртуальный модуль | Поддерживается в виртуальной сети | Сейчас поддерживается в периферийной сети |
| Поддержка защиты от атак DDoS Azure | Да | Нет |