你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 防火墙显式代理（预览版）

重要

显式代理目前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

默认情况下，Azure 防火墙在透明代理模式下运行。 在此模式下，会使用用户定义的路由 (UDR) 配置将流量发送到防火墙。 防火墙会拦截该内联流量并将其传递到目标。

在出站路径上设置显式代理后，可以在将 Azure 防火墙配置为代理的发送应用程序（例如 Web 浏览器）上配置代理设置。 因此，来自发送应用程序的流量会进入防火墙的专用 IP 地址，并直接从防火墙传出，而无需使用 UDR。

使用显式代理模式（支持 HTTP/S），可以在浏览器中定义指向防火墙专用 IP 地址的代理设置。 可以在浏览器或应用程序上手动配置 IP 地址，也可以配置代理自动配置 (PAC) 文件。 将 PAC 文件上传到防火墙后，防火墙可以托管该文件，以便为代理请求提供服务。

配置

• 启用该功能后，门户上会显示以下屏幕：

  

  注意

  HTTP 和 HTTPS 端口不能相同。

• 接下来，若要允许流量通过防火墙，请在防火墙策略中创建应用程序规则以允许此流量。

  重要

  必须使用应用程序规则。 网络规则不起作用。

• 若要使用代理自动配置 (PAC) 文件，请选择“启用代理自动配置”。

  

• 首先，将 PAC 文件上传到你创建的存储容器。 然后，在“启用显式代理”页上，配置共享访问签名 (SAS) URL。 配置为 PAC 提供服务的端口，然后选择页面底部的“应用”。

  SAS URL 必须具有“读取”权限，以便防火墙能够下载文件。 如果对 PAC 文件进行了更改，则需要在防火墙的“启用显式代理”页上生成并配置新的 SAS URL。

  

后续步骤

• 若要详细了解显式代理，请参阅 Demystifying Explicit proxy: Enhancing Security with Azure Firewall（揭秘显式代理：使用 Azure 防火墙增强安全性）。
• 若要了解如何部署 Azure 防火墙，请参阅使用 Azure PowerShell 部署和配置 Azure 防火墙。