我一直在尝试了解 Azure 防火墙 (https://azure.microsoft.com/en-us/services/azure-firewall/) 以及 NSG/网络安全组提供的功能 (https://docs.microsoft.com/en-us/azure/virtual-network/security-overview)。
在我们设计的环境中,我们目前在订阅中拥有大约 5 到 10 个虚拟网络。目前,每个网络都有自己的网络安全组。这些网络包含各种 Azure 产品(Web 应用程序、虚拟机、仅暴露给受信任的位置、暴露给互联网等)。从我的角度来看,我们可以通过网络安全组管理传入和传出流量。我认为防火墙的唯一好处是它可以用作管理流量规则的单点。但我认为防火墙的成本不值得仅仅减少对此的管理。我认为我在图片中遗漏了一些非常明显的东西,即 Azure 防火墙的功能与网络安全组的工作方式之间的区别。但我不明白是什么。
要提出一个具体的问题:
- 什么时候需要在架构中安装 Azure 防火墙?
- Azure 网络安全组和 Azure 防火墙在管理流量规则(HTTPS 和 RDP)方面有何区别
答案1
Azure 防火墙与 NSG https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#network-security-groups-nsgs-and-azure-firewall 之间的区别
我使用 NSG 来限制 vNET 内的访问,并使用 Azure 防火墙来限制从外部对 vNET 的访问。文档文章中有一些很好的详细解释
答案2
Azure 安全组是 VNet 的一项功能,用于描述子网上的防火墙规则在天蓝色。
Azure 防火墙是一款用于保护传输 VNet 流量的产品到Azure,跨订阅和 VNet。
查看文档中的图表并决定什么适合您的设计。