Я пытался понять разницу между брандмауэром Azure ( https://azure.microsoft.com/en-us/services/azure-firewall/ ) и функциями, предлагаемыми группами безопасности сети / группами безопасности сети ( https : //docs.microsoft.com/en-us/azure/virtual-network/security-overview ).
В нашем разработанном ландшафте в настоящее время у нас есть около 5-10 виртуальных сетей в рамках нашей подписки. Каждая из в настоящее время у них есть своя собственная группа сетевой безопасности. Эти сети содержат множество продуктов Azure (веб-приложения, виртуальные машины, доступ только к надежным расположениям, доступ в Интернет, ...). С моей точки зрения, мы можем управлять получать входящий и исходящий трафик на основе групп безопасности сети. Я вижу, что единственное преимущество межсетевого экрана в том, что его можно использовать как единую точку для управления правилами трафика. Но я не думаю, что стоимость брандмауэра стоит того, чтобы просто сократить управление им. Я думаю, что мне не хватает чего-то очевидного в картине о разнице между тем, что делает брандмауэр Azure, и тем, как работает группа сетевой безопасности. Но я не понимаю, что.
Чтобы задать конкретный вопрос:
Функции брандмауэра Azure https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-capabilities-are-supported-in-azure-firewall
Брандмауэр Azure против NSG https://docs.microsoft.com/en-us/azure/firewall/firewall-faq#what-is-the-difference-between-network-security-groups-nsgs-and-azure-firewall
Я использую NSG для ограничения доступа в vNET и брандмауэр Azure для ограничения доступа к vNET извне. Есть хорошее подробное объяснение в статьях документации
Группы безопасности Azure - это функция виртуальной сети, которая описывает правила брандмауэра в подсетях в Azure.
Брандмауэр Azure - это продукт для вашей транзитной виртуальной сети для защиты трафика - Azure, между подписками и виртуальными сетями.
Посмотрите на диаграммы в документации и решите, что соответствует вашему проекту.