Я пытался понять разницу между брандмауэром Azure (https://azure.microsoft.com/en-us/services/azure-firewall/) и функции, предлагаемые NSG / группами безопасности сети (https://docs.microsoft.com/en-us/azure/virtual-network/security-overview).
В нашем разработанном ландшафте в настоящее время у нас есть около 5-10 виртуальных сетей в рамках нашей подписки. У каждого из них на данный момент есть своя собственная группа сетевой безопасности. Эти сети содержат множество продуктов Azure (веб-приложения, виртуальные машины, доступные только в надежных расположениях, доступные в Интернете, ...). С моей точки зрения, мы можем управлять входящим и исходящим трафиком на основе групп сетевой безопасности. Я вижу, что единственное преимущество брандмауэра в том, что его можно использовать как единую точку для управления правилами трафика. Но я не думаю, что стоимость брандмауэра стоит просто сокращения управления им. Я думаю, что мне не хватает чего-то очевидного в картине о разнице между тем, что делает брандмауэр Azure, и тем, как работает группа сетевой безопасности. Но я не понимаю что.
Чтобы задать конкретный вопрос:
Возможности брандмауэра Azure https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-capabilities-are-supported-in-azure-firewall
Брандмауэр Azure против NSG https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-is-the-difference-between-network-security-groups-nsgs-and-azure-firewall
Я использую NSG для ограничения доступа в vNET и брандмауэра Azure для ограничения доступа к vNET извне. В статьях документации есть хорошее подробное объяснение
Группы безопасности Azure - это функция виртуальной сети, которая описывает правила брандмауэра в подсетях. в Лазурный.
Брандмауэр Azure - это продукт для транзитной виртуальной сети для защиты трафика к Azure в рамках подписок и виртуальных сетей.
Посмотрите схемы в документации и решите, что соответствует вашему дизайну.