你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 防火墙基本版功能
Azure 防火墙基本版是基于云的托管网络安全服务,可保护 Azure 虚拟网络资源。
Azure 防火墙基本版包括以下功能:
- 内置的高可用性
- 可用性区域
- 应用程序 FQDN 筛选规则
- 网络流量筛选规则
- FQDN 标记
- 服务标记
- 警报模式下的威胁情报
- 出站 SNAT 支持
- 入站 DNAT 支持
- 多个公共 IP 地址
- Azure Monitor 日志记录
- 认证
若要比较所有防火墙 SKU 的 Azure 防火墙功能,请参阅根据需求选择合适的 Azure 防火墙 SKU。
内置的高可用性
内置高可用性,因此不需要部署额外的负载均衡器,也不需要进行任何配置。
可用性区域
在部署期间,可将 Azure 防火墙配置为跨多个可用性区域,以提高可用性。 出于邻近原因,也可以将 Azure 防火墙关联到特定的区域。 要了解有关可用性的详细信息,请参阅 Azure 防火墙服务级别协议 (SLA)。
在多个可用性区域中部署的防火墙不会产生额外的费用。 但是,与可用性区域关联的入站和出站数据传输会产生额外的费用。 有关详细信息,请参阅带宽定价详细信息。
在支持可用性区域的区域中可以使用 Azure 防火墙可用性区域。 有关详细信息,请参阅Azure 中支持可用性区域的区域。
应用程序 FQDN 筛选规则
可将出站 HTTP/S 流量或 Azure SQL 流量限制到指定的一组完全限定的域名 (FQDN)(包括通配符)。 此功能不需要 TLS 终止。
以下视频演示如何创建应用程序规则:
网络流量筛选规则
可以根据源和目标 IP 地址、端口和协议,集中创建“允许”或“拒绝”网络筛选规则。 Azure 防火墙是完全有状态的,因此它能区分不同类型的连接的合法数据包。 将跨多个订阅和虚拟网络实施与记录规则。
Azure 防火墙支持对第 3 层和第 4 层网络协议进行有状态筛选。 通过在网络规则中选择“任意”协议可以筛选第 3 层 IP 协议,并为端口选择通配符 *。
FQDN 标记
FQDN 标记使你可以轻松地允许已知的 Azure 服务网络流量通过防火墙。 例如,假设你想要允许 Windows 更新网络流量通过防火墙。 创建应用程序规则,并在其中包括 Windows 更新标记。 现在,来自 Windows 更新的网络流量将可以流经防火墙。
服务标记
服务标记表示一组 IP 地址前缀,帮助最大程度地降低安全规则创建过程的复杂性。 无法创建自己的服务标记,也无法指定要将哪些 IP 地址包含在标记中。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。
威胁情报
可以为防火墙启用基于威胁情报的筛选,以提醒来自/流向已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。
出站 SNAT 支持
所有出站虚拟网络流量 IP 地址将转换为 Azure 防火墙公共 IP(源网络地址转换)。 可以识别源自你的虚拟网络的流量,并允许将其发往远程 Internet 目标。 如果目标 IP 是符合 IANA RFC 1918 的专用 IP 范围,Azure 防火墙不会执行 SNAT。
如果组织对专用网络使用公共 IP 地址范围,Azure 防火墙会通过 SNAT 将流量发送到 AzureFirewallSubnet 中的某个防火墙专用 IP 地址。 可以将 Azure 防火墙配置为不 SNAT 公共 IP 地址范围。 有关详细信息,请参阅 Azure 防火墙 SNAT 专用 IP 地址范围。
可以在 Azure 防火墙指标中监视 SNAT 端口利用率。 在防火墙日志和指标文档中了解详细信息并查看我们对 SNAT 端口利用率的建议。
有关 Azure 防火墙 NAT 行为的详细信息,请参阅 Azure 防火墙 NAT 行为。
入站 DNAT 支持
转换到防火墙公共 IP 地址的入站 Internet 网络流量(目标网络地址转换)并将其筛选到虚拟网络上的专用 IP 地址。
多个公共 IP 地址
可以将多个公共 IP 地址与防火墙关联。
这样可以实现以下方案:
- DNAT - 可将多个标准端口实例转换为后端服务器。 例如,如果你有两个公共 IP 地址,可以转换这两个 IP 地址的 TCP 端口 3389 (RDP)。
- SNAT - 更多端口可用于出站 SNAT 连接,以减少 SNAT 端口耗尽的可能性。 目前,Azure 防火墙会随机选择用于建立连接的源公共 IP 地址。 如果你在网络中进行任何下游筛选,则需要允许与防火墙关联的所有公共 IP 地址。 请考虑使用公共 IP 地址前缀来简化此配置。
Azure Monitor 日志记录
所有事件与 Azure Monitor 集成,使你能够在存储帐户中存档日志、将事件流式传输到事件中心,或者将其发送到 Azure Monitor 日志。 有关 Azure Monitor 日志示例,请参阅 Azure 防火墙的 Azure Monitor 日志。
有关详细信息,请参阅教程:监视 Azure 防火墙日志和指标。
Azure 防火墙工作簿为 Azure 防火墙数据分析提供了一个灵活的画布。 该画布可用于在 Azure 门户中创建丰富的视觉对象报表。 有关详细信息,请参阅使用 Azure 防火墙工作簿监视日志。
认证
Azure 防火墙符合支付卡行业 (PCI)、服务组织控制 (SOC) 和国际标准化组织 (ISO) 标准。 有关详细信息,请参阅 Azure 防火墙符合性认证。