Azure Firewall 简介

    接下来准备写几篇关于Azure Firewall的介绍，firewall今年刚刚在mooncake落地，可是在Global GA已经有段时间了， Firewall做为一款云原生的NVA产品，无疑能够解决在云上安全的一大难题，自己低廉的售价更是增添了独特的吸引力，对于但愿可以有相似解决方案，而且不但愿购买第三方NVA产品的用户吸引力是很大的，从下图中能够看到，利用Azure Firewall也能够很好地实现Azure经典的hub spoke网络架构

    此次咱们就来一块儿看下怎么用Azure Firewall来作出来hub spoke的架构设计，首先，咱们先来看看Azure Firewall都能作什么

    Azure Firewall 能够跨订阅和虚拟网络集中建立、实施和记录应用程序与网络链接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址，使外部防火墙可以识别来自你的虚拟网络的流量。 而且能够与 Azure Monitor 无缝集成。

    整体来讲Azure Firewall有如下优点：

    

    内置的高可用性

    内置高可用性，所以不须要部署额外的负载均衡器，也不须要进行任何配置。

    

    不受限制的云可伸缩性

    为了适应不断变化的网络流量流，Azure 防火墙可尽最大程度进行纵向扩展，所以不须要为峰值流量作出预算。

    

    应用程序 FQDN 筛选规则

    可将出站 HTTP/S 流量或 Azure SQL 流量（预览版）限制到指定的一组彻底限定的域名 (FQDN)（包括通配符）。 此功能不须要 SSL 终止。

    

    网络流量筛选规则

    能够根据源和目标 IP 地址、端口和协议，集中建立“容许”或“拒绝”网络筛选规则。 Azure 防火墙是彻底有状态的，所以它能区分不一样类型的链接的合法数据包。 将跨多个订阅和虚拟网络实施与记录规则。

    

    FQDN 标记

    FQDN 标记使你能够轻松地容许已知的 Azure 服务网络流量经过防火墙。 例如，假设你想要容许 Windows 更新网络流量经过防火墙。 建立应用程序规则，并在其中包括 Windows 更新标记。 如今，来自 Windows 更新的网络流量将能够流经防火墙。

    

    服务标记

    服务标记表示一组 IP 地址前缀，帮助最大程度地下降安全规则建立过程的复杂性。 没法建立本身的服务标记，也没法指定要将哪些 IP 地址包含在标记中。 Azure 会管理服务标记包含的地址前缀，并会在地址发生更改时自动更新服务标记。

    

    weixie情报

    能够为防火墙启用基于智能的筛选，以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。 IP 地址和域源自 Azure 智能源。

    

    出站 SNAT 支持

    全部出站虚拟网络流量 IP 地址将转换为 Azure 防火墙公共 IP（源网络地址转换）。 能够识别源自你的虚拟网络的流量，并容许将其发往远程 Internet 目标。 若是目标 IP 是符合 IANA RFC 1918 的专用 IP 范围，Azure 防火墙不会执行 SNAT。 若是组织对专用网络使用公共 IP 地址范围，Azure 防火墙会经过 SNAT 将流量发送到 AzureFirewallSubnet 中的某个防火墙专用 IP 地址。

    

    入站 DNAT 支持

    转换到防火墙公共 IP 地址的入站网络流量（目标网络地址转换）并将其筛选到虚拟网络上的专用 IP 地址。

    

    简单了解下Azure Firewall的功能以后，来看下咱们今天的环境

    

    咱们有三个VNET:

    1.Hub VNET，china north，也是咱们的firewall部署所在的VNET

    2.spoke VNET1, china north

    3.spoke VNET2, china east2

   Hub VNET和两个spoke VNET分别用VNET Peering打通， 基本环境就是这样，后边就是咱们的Firewall的部署以及跟Firewall有关的测试了