Azure Firewall 簡介

    接下來準備寫幾篇關於Azure Firewall的介紹，firewall今年剛剛在mooncake落地，可是在Global GA已經有段時間了， Firewall做爲一款雲原生的NVA產品，無疑能夠解決在雲上安全的一大難題，自己低廉的售價更是增添了獨特的吸引力，對於但願可以有相似解決方案，而且不但願購買第三方NVA產品的用戶吸引力是很大的，從下圖中能夠看到，利用Azure Firewall也能夠很好地實現Azure經典的hub spoke網絡架構

    此次咱們就來一塊兒看下怎麼用Azure Firewall來作出來hub spoke的架構設計，首先，咱們先來看看Azure Firewall都能作什麼

    Azure Firewall 能夠跨訂閱和虛擬網絡集中建立、實施和記錄應用程序與網絡鏈接策略。 Azure 防火牆對虛擬網絡資源使用靜態公共 IP 地址，使外部防火牆可以識別來自你的虛擬網絡的流量。 而且能夠與 Azure Monitor 無縫集成。

    整體來講Azure Firewall有如下優點：

    

    內置的高可用性

    內置高可用性，所以不須要部署額外的負載均衡器，也不須要進行任何配置。

    

    不受限制的雲可伸縮性

    爲了適應不斷變化的網絡流量流，Azure 防火牆可盡最大程度進行縱向擴展，所以不須要爲峯值流量作出預算。

    

    應用程序 FQDN 篩選規則

    可將出站 HTTP/S 流量或 Azure SQL 流量（預覽版）限制到指定的一組徹底限定的域名 (FQDN)（包括通配符）。 此功能不須要 SSL 終止。

    

    網絡流量篩選規則

    能夠根據源和目標 IP 地址、端口和協議，集中建立「容許」或「拒絕」網絡篩選規則。 Azure 防火牆是徹底有狀態的，所以它能區分不一樣類型的鏈接的合法數據包。 將跨多個訂閱和虛擬網絡實施與記錄規則。

    

    FQDN 標記

    FQDN 標記使你能夠輕鬆地容許已知的 Azure 服務網絡流量經過防火牆。 例如，假設你想要容許 Windows 更新網絡流量經過防火牆。 建立應用程序規則，並在其中包括 Windows 更新標記。 如今，來自 Windows 更新的網絡流量將能夠流經防火牆。

    

    服務標記

    服務標記表示一組 IP 地址前綴，幫助最大程度地下降安全規則建立過程的複雜性。 沒法建立本身的服務標記，也沒法指定要將哪些 IP 地址包含在標記中。 Azure 會管理服務標記包含的地址前綴，並會在地址發生更改時自動更新服務標記。

    

    weixie情報

    能夠爲防火牆啓用基於智能的篩選，以提醒和拒絕來自/到達已知惡意 IP 地址和域的流量。 IP 地址和域源自 Azure 智能源。

    

    出站 SNAT 支持

    全部出站虛擬網絡流量 IP 地址將轉換爲 Azure 防火牆公共 IP（源網絡地址轉換）。 能夠識別源自你的虛擬網絡的流量，並容許將其發往遠程 Internet 目標。 若是目標 IP 是符合 IANA RFC 1918 的專用 IP 範圍，Azure 防火牆不會執行 SNAT。 若是組織對專用網絡使用公共 IP 地址範圍，Azure 防火牆會經過 SNAT 將流量發送到 AzureFirewallSubnet 中的某個防火牆專用 IP 地址。

    

    入站 DNAT 支持

    轉換到防火牆公共 IP 地址的入站網絡流量（目標網絡地址轉換）並將其篩選到虛擬網絡上的專用 IP 地址。

    

    簡單瞭解下Azure Firewall的功能以後，來看下咱們今天的環境

    

    咱們有三個VNET:

    1.Hub VNET，china north，也是咱們的firewall部署所在的VNET

    2.spoke VNET1, china north

    3.spoke VNET2, china east2

   Hub VNET和兩個spoke VNET分別用VNET Peering打通， 基本環境就是這樣，後邊就是咱們的Firewall的部署以及跟Firewall有關的測試了