我必须将本地网络连接到 Azure VNET。我了解 Azure 虚拟网络网关可用于创建站点到站点 VPN。但我的客户担心安全性,正在寻找更安全的选项。
我读过有关使用 Cisco ASAv 和类似虚拟防火墙的文章。我的问题是,如果我计划使用其中一个虚拟设备,那么我可以避免在 VNET 中创建 Azure 虚拟网络网关吗?
我是否需要虚拟设备(在面向外部的“DMZ”子网中创建的虚拟设备)和 Azure 虚拟网络网关?
如果两者不是同时需要,那么使用虚拟设备而非 Azure 虚拟网络网关有什么优势?
答案1
正如一些评论所说,您的客户(和/或您)应该有一个 VPN 提供商应支持的安全需求列表,而不是关注框中是否写着“Azure 网关”或“Cisco ASAv”。关于 Azure 虚拟网络网关,您可以将其配置为支持各种算法和加密 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-compliance-crypto
对于需要特定加密算法或参数的通信(通常是由于合规性或安全性要求),客户现在可以将其 Azure VPN 网关配置为使用具有特定加密算法和密钥强度的自定义 IPsec/IKE 策略,而不是 Azure 默认策略集。
或者您可以选择具有同样功能的第三方设备。如果您选择第三方设备,则无需部署 Azure 网络网关。