Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Явный прокси-сервер в настоящее время находится в стадии предварительного просмотра. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Брандмауэр Azure работает в прозрачном режиме прокси по умолчанию. В этом режиме трафик отправляется в брандмауэр с помощью пользовательской конфигурации маршрута (UDR). Брандмауэр перехватывает встроенный трафик и передает его в место назначения.
С помощью явного прокси-сервера, установленного на исходящем трафике, можно настроить параметры прокси-сервера для приложения-отправителя (например, веб-браузера) с Azure Firewall, настроенным в качестве прокси. В результате трафик от отправляемого приложения переходит к частному IP-адресу брандмауэра и, следовательно, исходят непосредственно из брандмауэра без использования UDR.
С помощью явного режима прокси-сервера (поддерживается для HTTP/S), можно определить параметры прокси-сервера в браузере, чтобы указать частный IP-адрес брандмауэра. Вы можете вручную настроить IP-адрес в браузере или приложении или настроить файл автоматической настройки прокси-сервера (PAC). Брандмауэр может разместить PAC-файл для обслуживания прокси-запросов после его отправки в брандмауэр.
Настройка
После включения функции на портале отображается следующий экран:
Примечание.
Порты HTTP и HTTPS не могут совпадать.
Затем, чтобы разрешить трафик через брандмауэр, создайте правило приложения в политике брандмауэра, чтобы разрешить этот трафик.
Внимание
Необходимо использовать правило приложения. Сетевое правило не будет работать.
Чтобы использовать файл автоматической настройки прокси-сервера (PAC), выберите включить автоматическую настройку прокси-сервера.
Сначала отправьте PAC-файл в создаваемый контейнер хранилища. Затем на странице "Включить явный прокси-сервер" настройте URL-адрес с общей подписью доступа (SAS). Настройте порт, из которого обслуживается PAC, а затем нажмите кнопку "Применить " в нижней части страницы.
URL-адрес SAS должен иметь разрешения READ, чтобы брандмауэр может скачать файл. Если изменения вносятся в PAC-файл, необходимо создать и настроить новый URL-адрес SAS на странице включения явного прокси-сервера брандмауэра.
Система управления и соответствие требованиям
Чтобы обеспечить согласованную конфигурацию явных параметров прокси-сервера в развертываниях брандмауэра Azure, можно использовать определения политики Azure. Для управления явными конфигурациями прокси-сервера доступны следующие политики:
- Обязательное включение явной конфигурации прокси-сервера для политик брандмауэра: Убедитесь, что для всех политик брандмауэра Azure явно включена конфигурация прокси-сервера.
- Включите конфигурацию файла PAC при использовании явного прокси-сервера: проверяет, что при включении явного прокси-сервера файл PAC (автоматическая настройка прокси-сервера) также настроен правильно.
Дополнительные сведения об этих политиках и их реализации см. в статье "Использование политики Azure" для защиты развертываний брандмауэра Azure.
Следующие шаги
- Дополнительные сведения о явном прокси-сервере см. в разделе "Демистификация явного прокси-сервера: повышение безопасности с помощью Брандмауэр Azure".
- Изучите дополнительные сведения о том, как развернуть и настроить Брандмауэр Azure с помощью Azure PowerShell.