保护网络通信

作为医疗保健行业中的领导者，Contoso 必须在严格的法规合规性环境中运营。 查看此类环境中网络通信的一些关键注意事项。

保护数字资产

必须保护 Azure 和 Azure VMware 解决方案私有云中部署的每个虚拟机（VM）。 必须实时检查进出 Azure VMware 解决方案私有云的网络流量是否存在恶意活动。 Contoso 希望允许其 IT 管理员允许或拒绝对潜在风险网站（例如某些类型的社交媒体网站）的访问。

控制网络流量

Contoso 具有多个 Azure 虚拟网络 (VNet)。 每个 VNet 具有多个子网。 Contoso 需要明确定义的规则，这些规则允许跨子网进行明确定义的网络流量。 此类规则使 Contoso 能够控制每个子网如何启动网络流量。 同时让他们能够替代 Azure 的默认网络策略，即允许跨子网的网络流。

防火墙 Internet 路由

Contoso 评估了保护和控制网络流量的要求后，他们选择使用 Azure 防火墙。 它是一种有状态的托管防火墙即服务。 Azure 防火墙使用 ExpressRoute 和 VPN 网关（与 Azure VMware 解决方案私有云相关）通过混合网络连接提供流量筛选。 虽然 Azure 防火墙可用于流量筛选，但它需要直接访问 Internet 本身，这可以通过在部署 Azure 防火墙的子网上配置相应的规则来实现。

使用以下单元中的说明实现 Azure 防火墙和网络流量控制。 此实现有助于满足本单元中讨论的关键网络安全要求。