Azure 防火牆與 Azure 網路安全組

我一直在嘗試了解 Azure 防火牆 ( https://azure.microsoft.com/en-us/services/azure-firewall/ ) 和 NSG/網路安全組提供的功能 ( https:// docs.microsoft.com/en-us/azure/virtual-network/security-overview）。

在我們設計的環境中，我們目前在訂閱中擁有大約 5~10 個虛擬網路。目前，它們中的每一個都有自己的網路安全組。這些網路包含各種 Azure 產品（Web 應用程序、虛擬機、僅暴露於受信任的位置、暴露於網際網路……）。從我的角度來看，我們可以通過網路安全組管理入站和出站流量。我看到，防火牆的唯一好處是它可以用作管理流量規則的單點。但我認為防火牆的成本不值得僅僅減少對此的管理。我認為我在圖片中遺漏了一些非常明顯的東西，即 Azure 防火牆的作用與網路安全組的運作方式之間的區別。但我不明白是什麼。

有一個具體的問題：

• 什麼時候需要在您的體系結構中安裝 Azure 防火牆？
• Azure 網路安全組和 Azure 防火牆管理流量規則（HTTPS 和 RDP）有什麼區別

Azure 防火牆功能 https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-c ​​apabilities-are-supported-in-azure-firewall

Azure 防火牆與 NSG https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-is-the-difference-between-network-security-groups-nsgs-and-azure-firewall

我使用 NSG 來限制 vNET 內的訪問，並使用 Azure 防火牆來限制從外部對 vNET 的訪問。文件文章中有一些很好的詳細解釋

Azure 安全組是 VNet 的一項功能，用於描述 Azure 子網上的防火牆規則。

Azure 防火牆是一種用於傳輸 VNet 的產品，用於保護跨訂閱和VNet到Azure 的流量。

查看文件中的圖表並確定符合您的設計的內容。

引用自：https://serverfault.com/questions/962585