接下来准备写几篇关于Azure Firewall的介绍,firewall今年刚刚在mooncake落地,但是在Global GA已经有段时间了, Firewall作为一款云原生的NVA产品,无疑可以解决在云上安全的一大难题,本身低廉的售价更是增添了独特的吸引力,对于希望能够有类似解决方案,并且不希望购买第三方NVA产品的用户吸引力是很大的,从下图中可以看到,利用Azure Firewall也可以很好地实现Azure经典的hub spoke网络架构
这次我们就来一起看下怎么用Azure Firewall来做出来hub spoke的架构设计,首先,我们先来看看Azure Firewall都能做什么
Azure Firewall 可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 并且可以与 Azure Monitor 无缝集成。
总体来说Azure Firewall有以下优势:
内置的高可用性
内置高可用性,因此不需要部署额外的负载均衡器,也不需要进行任何配置。
不受限制的云可伸缩性
为了适应不断变化的网络流量流,Azure 防火墙可尽最大程度进行纵向扩展,因此不需要为峰值流量做出预算。
应用程序 FQDN 筛选规则
可将出站 HTTP/S 流量或 Azure SQL 流量(预览版)限制到指定的一组完全限定的域名 (FQDN)(包括通配符)。 此功能不需要 SSL 终止。
网络流量筛选规则
可以根据源和目标 IP 地址、端口和协议,集中创建“允许”或“拒绝”网络筛选规则。 Azure 防火墙是完全有状态的,因此它能区分不同类型的连接的合法数据包。 将跨多个订阅和虚拟网络实施与记录规则。
FQDN 标记
FQDN 标记使你可以轻松地允许已知的 Azure 服务网络流量通过防火墙。 例如,假设你想要允许 Windows 更新网络流量通过防火墙。 创建应用程序规则,并在其中包括 Windows 更新标记。 现在,来自 Windows 更新的网络流量将可以流经防火墙。
服务标记
服务标记表示一组 IP 地址前缀,帮助最大程度地降低安全规则创建过程的复杂性。 无法创建自己的服务标记,也无法指定要将哪些 IP 地址包含在标记中。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。
weixie情报
可以为防火墙启用基于智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Azure 智能源。
出站 SNAT 支持
所有出站虚拟网络流量 IP 地址将转换为 Azure 防火墙公共 IP(源网络地址转换)。 可以识别源自你的虚拟网络的流量,并允许将其发往远程 Internet 目标。 如果目标 IP 是符合 IANA RFC 1918 的专用 IP 范围,Azure 防火墙不会执行 SNAT。 如果组织对专用网络使用公共 IP 地址范围,Azure 防火墙会通过 SNAT 将流量发送到 AzureFirewallSubnet 中的某个防火墙专用 IP 地址。
入站 DNAT 支持
转换到防火墙公共 IP 地址的入站网络流量(目标网络地址转换)并将其筛选到虚拟网络上的专用 IP 地址。
简单了解下Azure Firewall的功能之后,来看下我们今天的环境
我们有三个VNET:
1.Hub VNET,china north,也是我们的firewall部署所在的VNET
2.spoke VNET1, china north
3.spoke VNET2, china east2
Hub VNET和两个spoke VNET分别用VNET Peering打通, 基本环境就是这样,后边就是我们的Firewall的部署以及跟Firewall有关的测试了