设计和实现 Azure 防火墙
已完成
- 7 分钟
Azure 防火墙 是一种托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 Azure 防火墙具有内置的高可用性和不受限制的云可伸缩性。 Azure 防火墙不仅适用于进出 Internet 的流量,还适用于内部流量。 内部流量筛选包括本地网络和 Azure 虚拟网络之间的辐射型流量和混合云流量。
何时使用 Azure 防火墙
Azure 防火墙有三个 SKU:Azure 防火墙基本版、Azure 防火墙标准版和 Azure 防火墙高级版。 所有版本都可以在这些情况下帮助你。
- 你想要保护网络免受渗透影响。
- 你想要保护网络免受用户错误的影响。
- 你的业务包括电子商务或信用卡支付。
- 你想要配置辐射型连接。
- 你想要监视传入和传出流量。
什么是 Azure 防火墙规则?
默认情况下,Azure 防火墙拒绝所有流量,直到手动将规则配置为允许流量。 规则在规则集合组中包含的规则集合内进行组织。 在 Azure 防火墙中,可以配置 NAT 规则、网络规则和应用程序规则。
| 规则类型 | DESCRIPTION |
|---|---|
| NAT | 根据防火墙的公共 IP 地址和指定的端口号,转换并筛选入站 Internet 流量。 例如,若要启用与虚拟机的远程桌面连接,可以使用 NAT 规则将防火墙的公共 IP 地址和端口 3389 转换为虚拟机的专用 IP 地址。 |
| 应用程序 | 根据 FQDN 筛选流量。 例如,您可以使用应用程序规则允许出站流量通过 FQDN server10.database.windows.net 访问 Azure SQL 数据库实例。 |
| 网络 | 根据以下三个网络参数中的一个或多个参数筛选流量:IP 地址、端口和协议。 例如,可以使用网络规则允许出站流量使用端口 53 访问指定 IP 地址处的特定 DNS 服务器。 |
Azure 防火墙按优先级顺序应用规则。 基于威胁情报的规则始终具有最高优先级,且先予以处理。 之后,按类型应用规则:先是 NAT 规则,然后是网络规则,再然后是应用程序规则。 在每种类型中,规则将根据创建规则时分配的优先级值(从最低值到最高值)予以处理。
小窍门
在 Azure 防火墙简介 模块中了解有关 Azure 防火墙的详细信息。