Брандмауэр Azure против группы безопасности сети Azure
Я пытался понять разницу между брандмауэром Azure ( https://azure.microsoft.com/en-us/services/azure-firewall/) и функциями, предлагаемыми NSG / группами сетевой безопасности ( https://docs.microsoft.com/en-us/azure/virtual-network/security-overview).
В нашем разработанном ландшафте у нас в настоящее время около 5~10 виртуальных сетей в нашей подписке. У каждого из них на данный момент есть своя группа сетевой безопасности. Эти сети содержат различные продукты Azure (веб-приложения, vms, доступ только в надежных местах, доступ в Интернет и т. Д.). С моей точки зрения, мы можем управлять входящим и исходящим трафиком на основе групп безопасности сети. Я вижу, что единственным преимуществом брандмауэра является то, что он может использоваться как единая точка для управления правилами трафика. Но я не думаю, что стоимость брандмауэра стоит того, чтобы просто уменьшить управление этим. Я думаю, что упускаю что-то кропотливо очевидное на картинке о разнице между тем, что делает брандмауэр Azure, и тем, как работает группа сетевой безопасности. Но я не понимаю что.
Чтобы иметь конкретный вопрос:
- Когда необходимо использовать брандмауэр Azure в вашей архитектуре?
- В чем разница между группой безопасности сети Azure и брандмауэром Azure для управления правилами трафика (HTTPS & RDP)
2 ответа
Функции брандмауэра Azure https://docs.microsoft.com/en-us/azure/firewall/firewall-faq
Брандмауэр Azure против NSG https://docs.microsoft.com/en-us/azure/firewall/firewall-faq
Я использую NSG для ограничения доступа внутри vNET и Azure Firewall для ограничения доступа к vNET извне. Есть несколько хороших подробных объяснений в статьях документов.
Группы безопасности Azure - это функция виртуальной сети, которая описывает правила брандмауэра в подсетях Azure.
Брандмауэр Azure - это продукт для вашей транзитной виртуальной сети для защиты трафика в Azure через подписки и виртуальные сети.
Посмотрите на диаграммы в документации и решите, что соответствует вашему дизайну.