您好,登錄后才能下訂單哦!
Azure Firewall的介紹
Azure 防火墻是托管的基于云的網(wǎng)絡(luò)安全服務(wù),可保護(hù) Azure 虛擬網(wǎng)絡(luò)資源。 它是一個服務(wù)形式的完全有狀態(tài)防火墻,具有內(nèi)置的高可用性和不受限制的云可伸縮性。可以跨訂閱和虛擬網(wǎng)絡(luò)集中創(chuàng)建、實施和記錄應(yīng)用程序與網(wǎng)絡(luò)連接策略。 Azure 防火墻對虛擬網(wǎng)絡(luò)資源使用靜態(tài)公共 IP 地址,使外部防火墻能夠識別來自你的虛擬網(wǎng)絡(luò)的流量。 該服務(wù)與用于日志記錄和分析的 Azure Monitor 完全集成。
endpoint的介紹
虛擬網(wǎng)絡(luò) (VNet) 服務(wù)終結(jié)點可通過直接連接將 VNet 的虛擬網(wǎng)絡(luò)專用地址空間和標(biāo)識擴(kuò)展到 Azure 服務(wù)。 使用終結(jié)點可以保護(hù)關(guān)鍵的 Azure 服務(wù)資源,只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進(jìn)行訪問。 從 VNet 發(fā)往 Azure 服務(wù)的流量始終保留在 Azure 主干網(wǎng)絡(luò)中。
服務(wù)終結(jié)點提供以下優(yōu)勢:
提高 Azure 服務(wù)資源的安全性:VNet 專用地址空間可能重疊,因此不能用于唯一標(biāo)識源自 VNet 的流量。 通過將 VNet 標(biāo)識擴(kuò)展到服務(wù),服務(wù)終結(jié)點可以將對 Azure 服務(wù)資源的訪問限定到你的虛擬網(wǎng)絡(luò)。 在虛擬網(wǎng)絡(luò)中啟用服務(wù)終結(jié)點后,可以通過將虛擬網(wǎng)絡(luò)規(guī)則添加到資源,在虛擬網(wǎng)絡(luò)中保護(hù) Azure 服務(wù)資源。 這完全消除了通過公共 Internet 對資源進(jìn)行訪問的可能性,并僅允許來自自己虛擬網(wǎng)絡(luò)的流量,從而提高了安全性。
來自虛擬網(wǎng)絡(luò)的 Azure 服務(wù)流量的最佳路由:當(dāng)前,虛擬網(wǎng)絡(luò)中強(qiáng)制 Internet 流量發(fā)往本地和/或虛擬設(shè)備的任何路由(稱為強(qiáng)制隧道)也會強(qiáng)制 Azure 服務(wù)流量采用與 Internet 流量相同的路由。 服務(wù)終結(jié)點為 Azure 流量提供最佳路由。
終結(jié)點始終將直接來自虛擬網(wǎng)絡(luò)的服務(wù)流量轉(zhuǎn)發(fā)到 Azure 主干網(wǎng)絡(luò)上的服務(wù)。 將流量保留在 Azure 主干網(wǎng)絡(luò)上可以通過強(qiáng)制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡(luò)的出站 Internet 流量,而不會影響服務(wù)流量。
設(shè)置簡單,管理開銷更少:不再需要使用虛擬網(wǎng)絡(luò)中的保留公共 IP 地址通過 IP 防火墻保護(hù) Azure 資源。 無需使用 NAT 或網(wǎng)關(guān)設(shè)備即可設(shè)置服務(wù)終結(jié)點。 只需單擊一下子網(wǎng),即可配置服務(wù)終結(jié)點。 不會產(chǎn)生與終結(jié)點維護(hù)相關(guān)的額外開銷。
聽起來很不錯,但是endpoint實際上是個regional的服務(wù),比如你得vnet在北一,paas服務(wù)在東一,這種場景下就算開啟了endpoint也不會有效果
這時候其實可以結(jié)合Azure firewall解決,前提是azure firewall部署在東一
首先來看下沒有endpoint適合的訪問場景,因為默認(rèn)路由指向FW,如果沒有FW的網(wǎng)絡(luò)規(guī)則允許訪問Azure SQL,訪問會被拒絕,即使加了Azure SQL白名單也沒用
接下來,首先在FW上添加規(guī)則允許出站訪問azure sql,這里可以看到,和nsg類似,firewall里也可以以service tag來添加規(guī)則,很方便
這次可以看到,提示我們沒有添加到白名單,但是起碼網(wǎng)絡(luò)肯定是通了
這里把FW的IP添加進(jìn)去,正常連接了
可以看到源IP就是FW的IP
接下來在firewall的subnet添加sql的endpoint
之后,在azure sql添加允許firewall所在的subnet訪問
這次再試一下,已經(jīng)可以看到訪問的IP是firewall的內(nèi)網(wǎng)IP了!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。