[解决方案] 在 Azure Virtual WAN 中结合防火墙保护和 SD-WAN 连接性

[解决方案] 在 Azure Virtual WAN 中结合防火墙保护和 SD-WAN 连接性   # 产品功能分析 ## 新功能/新产品概述 Azure Virtual WAN 引入了新的安全性和连接性功能，包括在虚拟 WAN 中心（vhub）中集成管理第三方防火墙和 **SD-WAN** 虚拟设备。该功能旨在简化网络设计，提供 **防火墙保护** 和 **SD-WAN 连接性** 的无缝组合，适用于多区域网络环境。目标用户包括企业级客户，需要高效管理混合云网络，解决传统网络的复杂性和可扩展性问题。该产品的市场定位聚焦于 **Azure** 生态系统，强调自动化部署和原生集成，以应对全球分支机构互联和安全防护的需求。 ## 关键客户价值 - **简化部署和运维**：通过 **Routing Intent** 和管理 **SD-WAN** 部署，客户可自动配置防火墙和连接性，减少手动干预，提升整体效率；相比传统 IaaS 架构，这降低了运维复杂性，但可能在非管理部署中增加自定义配置需求。 - **增强安全性**：启用 **Routing Intent** 的私人流量保护，实现 **VNet-to-VNet**、**Branch-to-VNet** 和 **Branch-to-Branch** 流量检查，提高数据防护水平；然而，在某些方案中（如使用两个 vhub），**Branch-to-Branch** 流量可能未受检，潜在地限制了全面安全覆盖。 - **灵活性与扩展性**：支持管理或非管理部署选项，允许客户根据需求选择，如在同一 vhub 中结合 **Azure Firewall** 和 **SD-WAN**，实现快速扩展；与竞品相比，**Azure Virtual WAN** 的原生集成提供更强的可扩展性，但非管理方案可能面临路由配置挑战，影响大规模组网的便利性。 - 子级优势：在突发流量场景下，动态路由（如 **BGP**）确保高效连接，但需注意水平可扩展性不足可能导致性能瓶颈。 ## 关键技术洞察 - **技术独特性**：**Routing Intent** 机制允许在 vhub 内自动部署管理防火墙（如 **Azure Firewall** 或第三方解决方案），通过 **BGP** 动态路由实现流量引导和检查；这基于 **Azure** 的网络虚拟设备（NVA）架构，工作原理是将安全策略嵌入 vhub 路由器，提升流量处理的自动化水平。 - **创新点与影响**：引入管理 **SD-WAN** 部署，支持在 vhub 中无缝集成虚拟设备，实现事件驱动的连接优化，对性能和可用性有积极影响，如提高网络吞吐和冗余能力；然而，目前不支持在同一 vhub 内结合第三方防火墙和 **SD-WAN**，这可能限制了混合部署的灵活性，并带来路由冲突风险，需要通过双 vhub 设计来缓解。 - **挑战与解决方式**：技术实现面临路由意图兼容性问题，例如在非管理部署中使用 **Transit VNet** 时，需手动配置间接发言模型，可能增加管理复杂度；**Azure** 通过提供多种方案（如解决方案 1-5）来平衡管理与自定义需求，但间接模型下 **Branch-to-Branch** 流量未检的局限性需客户通过额外策略（如静态路由）来优化。 ## 其他信息文档结论指出，尽管当前无法在同一 vhub 内结合管理第三方防火墙和 **SD-WAN**，但多种设计选项（如管理或非管理部署）仍可满足多样化需求，体现了 **Azure Virtual WAN** 的适应性。   # 在 Azure 虚拟广域网中结合防火墙保护和 SD-WAN 连接 **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/combining-firewall-protection-and-sd-wan-connectivity-in-azure-virtual-wan/4394880](https://techcommunity.microsoft.com/blog/azurenetworkingblog/combining-firewall-protection-and-sd-wan-connectivity-in-azure-virtual-wan/4394880) **发布时间:** 2025-03-20 **厂商:** AZURE **类型:** TECH-BLOG --- ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLXROUVYzUw?revision=11&image-dimensions=2000x2000&constrain-image=true) Azure 网络博客 # 在 Azure 虚拟广域网中结合防火墙保护和 SD-WAN 连接 2025 年 3 月 20 日虚拟广域网 (vWAN) 在 Azure 中引入了新的安全和连接功能，包括在虚拟广域网中心 (vhub) 中原生集成托管的第三方防火墙和 SD-WAN 虚拟设备。本文将讨论这些集成带来的更新网络设计，并探讨如何在 vWAN 中结合防火墙保护和 SD-WAN 连接。目标不是深入探讨安全或 SD-WAN 连接解决方案的具体细节，而是提供一个可能性概述。 ## 目录 - 防火墙保护在 vWAN 中 - 路由意图 (managed firewall) - 中转 VNet (unmanaged firewall) - SD-WAN 连接在 vWAN 中 - SD-WAN 在 vWAN 中的部署 (managed) - VM-series 部署 (unmanaged) - 防火墙保护和 SD-WAN 在 vWAN 中 - **挑战！** - 解决方案 1: 使用 Azure 防火墙和托管 SD-WAN 的路由意图 (同一 vhub) - 解决方案 2: 使用第三方防火墙和托管 SD-WAN 的路由意图 (2 个 vhub) - 解决方案 3: 路由意图和 SD-WAN 发言 VNet (同一 vhub) - 解决方案 4: 中转防火墙 VNet 和托管 SD-WAN (同一 vhub) - 解决方案 5: 中转防火墙 VNet 和 SD-WAN 发言 VNet (同一 vhub) - 结论 ## 防火墙保护在 vWAN 中在 vWAN 环境中，防火墙解决方案可以 _自动_ 部署在 vhub 中 (_路由意图 (Routing Intent)_) 或 _手动_ 部署在中转 VNet 中 (VM-series 部署)。 ### 路由意图 (managed firewall) [路由意图](<https://learn.microsoft.com/en-us/azure/virtual-wan/how-to-routing-policies#background>) 指的是在 vhub 中实现托管防火墙解决方案，用于 _互联网保护 (internet protection)_ 或 _私有流量保护 (private traffic protection)_ (VNet-to-VNet、Branch-to-VNet、Branch-to-Branch)，或两者兼有。防火墙可以是 Azure 防火墙或第三方防火墙，作为网络虚拟设备 (Network Virtual Appliances) 或 SaaS 解决方案部署在 vhub 中。包含托管防火墙的 vhub 称为 _安全中心 (secured hub)_。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLTVaWkdWYg?image-dimensions=750x750&revision=11) 有关路由意图支持的第三方解决方案的更新列表，请参考 - [托管 NVAs](<https://learn.microsoft.com/en-us/azure/virtual-wan/about-nva-hub#partners:~:text=The%20>) - [SaaS 解决方案](<https://learn.microsoft.com/en-us/azure/virtual-wan/how-to-palo-alto-cloud-ngfw>) ### 中转 VNet (unmanaged firewall) 另一种在 vWAN 中提供检测的方法是手动在 vhub 的发言中部署防火墙解决方案，并将实际发言级联到该中转防火墙 VNet 后面 (也称为 _间接发言模型 (indirect spoke model)_ 或 _分层 VNet 设计 (tiered-VNet design)_)。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLW9TcXlzdg?image-dimensions=750x750&revision=11) 在此讨论中，选择非托管部署的主要原因是：防火墙解决方案缺少集成 vWAN 产品，或虽有集成产品但在水平可伸缩性或特定功能上不如基于 VM 的版本。有关每种设计的优缺点详细分析，请参考 [此文章](<https://github.com/Danieleg82/vWAN-Indirect-Spoke>)。 ## SD-WAN 连接在 vWAN 中与防火墙部署选项类似，将 SD-WAN 覆盖扩展到 Azure vWAN 环境有两种主要方法：在 vhub 中进行托管部署，或在 vhub 的发言中进行标准 VM-series 部署。更多选项 [在此](<https://learn.microsoft.com/en-us/azure/virtual-wan/sd-wan-connectivity-architecture>)。 ### SD-WAN 在 vWAN 中的部署 (managed) 在此场景中，一对虚拟 SD-WAN 设备会自动部署并集成到 vhub 中，使用动态路由 (BGP) 与 vhub 路由器连接。部署和管理过程简化，这些设备无缝地在 Azure 中配置，并设置为简单导入到合作伙伴门户 (SD-WAN 编排器)。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLTFvMVJnQQ?image-dimensions=750x750&revision=11) 有关支持的 SD-WAN 合作伙伴的更新列表，请参考 [此链接](<https://learn.microsoft.com/en-us/azure/virtual-wan/about-nva-hub#partners>)。有关 SD-WAN 在 vWAN 部署的更多信息，请参考 [此文章](<https://techcommunity.microsoft.com/blog/azurenetworkingblog/managed-sd-wan-in-vwan-throughput-considerations-and-underlay-options/4097864>)。 ### VM-series 部署 (unmanaged) 此解决方案需要手动在 vhub 的发言中部署虚拟 SD-WAN 设备。底层 VM 和水平扩展由客户管理。与 vWAN 环境的动态路由交换通过 [与 vhub 的 BGP 对等](<https://learn.microsoft.com/en-us/azure/virtual-wan/scenario-bgp-peering-hub>) 实现。或者，根据地址规划的复杂性，静态路由也可能可行。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLXA5bGRlcQ?image-dimensions=750x750&revision=11) ## 防火墙保护 _和_ SD-WAN 在 vWAN 中 ### **挑战！** > 目前，仅能在同一 vhub 中将托管的第三方 SD-WAN 连接与 Azure 防火墙链接，或使用 [双重角色](<https://learn.microsoft.com/en-us/azure/virtual-wan/about-nva-hub#partners:~:text=The%20>)。 > 由第三方防火墙提供的路由意图与另一个托管 SD-WAN 解决方案在同一 vhub 中结合 [尚未支持](<https://learn.microsoft.com/en-us/azure/virtual-wan/whats-new#:~:text=Configuring%20routing%20intent%20to%20route%20between%20connectivity%20and%20firewall%20NVAs%20in%20the%20same%20Virtual%20WAN%20Hub>)。 > **但如何在 vWAN 中将防火墙保护和 SD-WAN 连接整合在一起？** ### 解决方案 1: 使用 Azure 防火墙和托管 SD-WAN 的路由意图 (同一 vhub) > 防火墙解决方案: managed。 > SD-WAN 解决方案: managed。此设计仅与使用 Azure 防火墙的路由意图兼容，因为它是唯一能在同一 vhub 中与托管 SD-WAN 部署结合的防火墙解决方案。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLXpUNUR5ag?image-dimensions=750x750&revision=11) 启用路由意图的 _私有流量保护_ 策略后，所有东西向流量 (VNet-to-VNet、Branch-to-VNet、Branch-to-Branch) 都会被检测。 ### 解决方案 2: 使用第三方防火墙和托管 SD-WAN 的路由意图 (2 个 vhub) > 防火墙解决方案: managed。 > SD-WAN 解决方案: managed。要在同一区域中同时拥有 vWAN 中的第三方防火墙托管解决方案和 SD-WAN 托管解决方案，唯一选项是使用一个 vhub 专用于安全解决方案部署，另一个 vhub 专用于 SD-WAN 解决方案部署。在每个区域，发言 VNet 连接到安全 vhub，而 SD-WAN 分支连接到包含 SD-WAN 部署的 vhub。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLUowOEN2YQ?image-dimensions=750x750&revision=11) 在此设计中，路由意图 _私有流量保护_ 提供 VNet-to-VNet 和 Branch-to-VNet 检测。但是，Branch-to-Branch 流量不会被检测。 ### 解决方案 3: 路由意图和 SD-WAN 发言 VNet (同一 vhub) > 防火墙解决方案: managed。 > SD-WAN 解决方案: unmanaged。此设计兼容任何路由意图支持的防火墙解决方案 (Azure 防火墙或第三方) 和任何 SD-WAN 解决方案。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLWFPTGVjYQ?image-dimensions=750x750&revision=11) 启用路由意图 _私有流量保护_ 后，所有东西向流量 (VNet-to-VNet、Branch-to-VNet、Branch-to-Branch) 都会被检测。 ### 解决方案 4: 中转防火墙 VNet 和托管 SD-WAN (同一 vhub) > 防火墙解决方案: unmanaged。 > SD-WAN 解决方案: managed。此设计利用间接发言模型，启用 vWAN 中托管 SD-WAN 设备的部署。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLXlsTzlxTw?image-dimensions=750x750&revision=11) 此设计提供 VNet-to-VNet 和 Branch-to-VNet 检测。但由于防火墙解决方案未托管在中心，Branch-to-Branch 流量不会被检测。 ### 解决方案 5: 中转防火墙 VNet 和 SD-WAN 发言 VNet (同一 vhub) > 防火墙解决方案: unmanaged。 > SD-WAN 解决方案: unmanaged。此设计将安全和 SD-WAN 连接作为非托管解决方案整合，部署和管理防火墙和 SD-WAN 中心的责任由客户承担。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00Mzk0ODgwLWRNZlVDVQ?image-dimensions=750x750&revision=11) 与解决方案 4 类似，仅 VNet-to-VNet 和 Branch-to-VNet 流量会被检测。 ## 结论尽管目前无法在同一 vhub 中将托管的第三方防火墙解决方案与托管 SD-WAN 部署结合，但仍有众多设计选项可满足各种需求，无论偏好托管还是非托管方法。更新于 2025 年 3 月 20 日版本 5.0