你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
有关Azure 防火墙的 Azure 良好架构框架视角
Azure 防火墙是云原生的智能网络防火墙安全服务,可为在 Azure 中运行的云工作负荷提供最佳威胁防护。 它是一种完全有状态的托管防火墙服务,具有内置的高可用性和不受限制的云可伸缩性。 Azure 防火墙提供东西部和南北交通检查。
本文假设作为架构师,你已查看了虚拟网络安全选项,并选择了Azure 防火墙作为工作负荷的网络安全服务。 本文中的指南提供了映射到 Azure 良好架构框架支柱原则的体系结构建议。
重要
如何使用本指南
每个部分都有一个 设计清单,该清单 提供关注的体系结构区域以及本地化为技术范围的设计策略。
还包括有关有助于具体化这些策略的技术功能的建议。 这些建议并不表示可用于Azure 防火墙及其依赖项的所有配置的详尽列表。 而是列出映射到设计透视的关键建议。 使用建议生成概念证明或优化现有环境。
演示主要建议的基础体系结构: Azure 中的中心辐射型网络拓扑。
技术范围
此评审重点介绍以下 Azure 资源的相关决策:
- Azure 防火墙
- Azure 防火墙管理器
可靠性
可靠性支柱的目的是通过 构建足够的复原能力和从故障中快速恢复的能力来提供持续的功能。
可靠性设计原则为各个组件、系统流和整个系统提供高级设计策略。
设计清单
根据 可靠性设计评审清单启动设计策略。 确定其与业务需求的相关性,同时记住所使用的策略和体系结构类型。 扩展策略以根据需要包含更多方法。
查看Azure 防火墙已知问题的列表。 Azure 防火墙产品维护已知问题的更新列表。 此列表包含有关按设计行为、正在构建的修补程序、平台限制以及可能的解决方法或缓解策略的重要信息。
确保Azure 防火墙策略遵循Azure 防火墙限制和建议。 策略结构有限制,包括规则和规则集合组数、策略大小总数、源目标和目标目标。 请务必撰写策略并保持在记录的 阈值以下。
跨多个可用性区域部署Azure 防火墙,以实现更高的服务级别协议(SLA)。 Azure 防火墙提供不同的 SLA,具体取决于是在单个可用性区域还是多个区域中部署服务。 有关详细信息,请参阅联机服务的 SLA。
在多区域环境中每个区域中部署Azure 防火墙实例。 有关传统的中心辐射型体系结构,请参阅 多区域注意事项。 对于安全的 Azure 虚拟 WAN中心,请配置路由意向和策略,以保护中心间和分支到分支通信。 对于抗故障和容错工作负荷,请考虑将Azure 防火墙和 Azure 虚拟网络实例视为区域资源。
监视Azure 防火墙指标和资源运行状况。 Azure 防火墙与Azure 资源运行状况。 使用资源运行状况检查查看Azure 防火墙的运行状况,并解决可能影响Azure 防火墙资源的服务问题。
在中心虚拟网络中或作为虚拟 WAN中心的一部分部署Azure 防火墙。
注意
传统中心辐射型模型与虚拟 WAN托管的安全中心模型之间的网络服务可用性有所不同。 例如,在虚拟 WAN中心,Azure 防火墙公共 IP 不能来自公共 IP 前缀,并且无法启用 Azure DDoS 防护。 选择模型时,请考虑在设计良好的框架的所有五大支柱上的要求。
建议
| 建议 | 好处 |
|---|---|
| 跨多个可用性区域部署Azure 防火墙。 | 跨多个可用性区域部署Azure 防火墙,以保持特定级别的复原能力。 如果一个区域遇到中断,另一个区域将继续为流量提供服务。 |
| 监视 Log Analytics 工作区中的Azure 防火墙指标。 密切监视指示Azure 防火墙运行状况的指标,例如吞吐量、防火墙运行状况状态、SNAT 端口利用率和 AZFW 延迟探测指标。 使用 Azure 服务运行状况监视Azure 防火墙运行状况。 |
监视资源指标和服务运行状况,以便检测服务状态何时降级并采取主动措施来防止故障。 |
安全性
安全支柱的目的是为工作负载提供机密性、完整性和可用性保证。
安全设计原则通过对Azure 防火墙的技术设计应用方法,为实现这些目标提供了高级设计策略。
设计清单
根据 安全设计评审清单启动设计策略。 确定漏洞和控制以提高安全态势。 扩展策略以根据需要包含更多方法。
通过防火墙或网络虚拟设备(NVA) 从工作负荷发送所有 Internet 流量,以检测和阻止威胁。 配置用户定义的路由(UDR),以强制流量通过Azure 防火墙。 对于 Web 流量,请考虑将Azure 防火墙用作显式代理。
如果要使用这些提供程序来保护出站连接,请在防火墙管理器中配置支持的合作伙伴软件即服务(SaaS)安全提供程序。
限制直接绑定到虚拟机的公共 IP 地址的使用,以便流量无法绕过防火墙。 Azure 云采用框架模型将特定的 Azure 策略分配给 CORP 管理组。
如果安全需求要求为 Web 应用程序实施零信任方法(例如添加检查和加密),请按照零信任配置指南Azure 防火墙和应用程序网关。 按照本指南操作,为传统中心辐射和虚拟 WAN方案集成Azure 防火墙和应用程序网关。
有关详细信息,请参阅 边缘应用防火墙。
建立网络外围 作为工作负荷 分段策略 的一部分,以控制爆炸半径、模糊处理工作负荷资源以及阻止意外、禁止和不安全的访问。 根据最低特权访问条件为Azure 防火墙策略创建规则。
在强制隧道模式下配置Azure 防火墙时,请将公共 IP 地址设置为“无”以部署完全专用的数据平面。 此方法不适用于虚拟 WAN。
定义网络规则以简化管理时,请使用完全限定的域名(FQDN)和服务标记。
使用检测机制 努力监视威胁和滥用迹象。 利用平台提供的检测机制和措施。 启用入侵检测和防护系统(IDPS)。 将 Azure DDoS 防护计划与中心虚拟网络相关联。
有关详细信息,请参阅 检测滥用行为。
建议
| 建议 | 好处 |
|---|---|
| 如果需要将所有 Internet 绑定的流量路由到指定的下一跃点而不是直接路由到 Internet,请在强制隧道模式下配置Azure 防火墙。 此建议不适用于虚拟 WAN。 Azure 防火墙必须具有直接的 Internet 连接。 如果 AzureFirewallSubnet 通过边界网关协议了解到本地网络的默认路由,则必须在强制隧道模式下配置Azure 防火墙。 可以使用强制隧道功能为Azure 防火墙管理子网添加另一个 /26 地址空间。 将子网 命名为 AzureFirewallManagementSubnet。 如果现有Azure 防火墙实例无法在强制隧道模式下重新配置,请使用 0.0.0.0/0 路由创建 UDR。 将 NextHopType 值设置为 Internet。 若要维护 Internet 连接,请将 UDR 与 AzureFirewallSubnet 相关联。 在强制隧道模式下配置Azure 防火墙时,请将公共 IP 地址设置为“无”以部署完全专用的数据平面。 但是,管理平面仍需要公共 IP 才能用于管理目的。 来自虚拟和本地网络的内部流量不使用该公共 IP。 |
使用强制隧道,以便不会将 Azure 资源直接公开到 Internet。 此方法可降低攻击面,并最大程度地降低外部威胁的风险。 若要更有效地实施公司策略和符合性要求,请通过本地防火墙或 NVA 路由所有受 Internet 绑定的流量。 |
| 为分层结构中的防火墙策略创建规则,以覆盖中央基本策略。 有关详细信息,请参阅使用Azure 防火墙策略来处理规则。 基于最低特权访问零信任原则创建规则 |
在分层结构中组织规则,以便精细策略可以满足特定区域的要求。 每个策略可以包含具有特定优先级、操作和处理订单的不同目标网络地址转换(DNAT)、网络和应用程序规则集。 |
| 在防火墙管理器中配置受支持的 安全合作伙伴提供程序 以保护出站连接。 此方案需要使用中心内的 S2S VPN 网关虚拟 WAN,因为它使用 IPsec 隧道连接到提供程序的基础结构。 托管安全服务提供商可能会收取额外的许可证费用,并限制 IPsec 连接上的吞吐量。 还可以使用替代解决方案,例如 Zscaler Cloud Connector。 |
在 Azure 防火墙 中启用安全合作伙伴提供商,以利用最佳品种的云安全产品/服务,为 Internet 流量提供高级保护。 这些提供商提供专门的、用户感知筛选和全面的威胁检测功能,可增强整体安全态势。 |
| 启用Azure 防火墙 DNS 代理配置。 此外,请将Azure 防火墙配置为使用自定义 DNS 转发 DNS 查询。 |
启用此功能可将虚拟网络中的客户端作为 DNS 服务器Azure 防火墙。 此功能可保护未直接访问和公开的内部 DNS 基础结构。 |
| 将 UDR 配置为在传统的中心辐射体系结构中通过Azure 防火墙强制流量,以便进行辐射到辐射、辐射到 Internet 和辐射到混合连接。 在虚拟 WAN中,配置路由意向和策略,以通过集成到中心的Azure 防火墙实例重定向专用流量或 Internet 流量。 如果无法应用 UDR,并且只需要 Web 流量重定向,请使用Azure 防火墙作为出站路径上的显式代理。 在将Azure 防火墙配置为代理时,可以在发送应用程序(例如 Web 浏览器)上配置代理设置。 |
通过防火墙发送流量以检查流量并帮助识别和阻止恶意流量。 使用 Azure 防火墙 作为出站流量的显式代理,以便 Web 流量到达防火墙的专用 IP 地址,因此无需使用 UDR 即可直接从防火墙传出。 此功能还有助于在不修改现有网络路由的情况下使用多个防火墙。 |
| 在网络规则中使用 FQDN 筛选。 必须启用Azure 防火墙 DNS 代理配置才能在网络规则中使用 FQDN。 | 在Azure 防火墙网络规则中使用 FQDN,以便管理员可以管理域名而不是多个 IP 地址,从而简化管理。 此动态解析可确保域 IP 更改时防火墙规则自动更新。 |
| 使用Azure 防火墙服务标记代替特定 IP 地址,以选择性地访问 Azure、Microsoft Dynamics 365 和 Microsoft 365 中的特定服务。 | 在网络规则中使用服务标记,以便可以根据服务名称而不是特定的 IP 地址定义访问控制,从而简化安全管理。 Microsoft IP 地址更改时自动管理和更新这些标记。 此方法可确保防火墙规则保持准确且有效,而无需手动干预。 |
| 使用应用程序规则中的 FQDN 标记提供对特定Microsoft 服务的选择性访问。 可以在应用程序规则中使用 FQDN 标记,以允许特定 Azure 服务的防火墙所需的出站网络流量,例如 Microsoft 365、Windows 365 和 Microsoft Intune。 |
在Azure 防火墙应用程序规则中使用 FQDN 标记来表示与已知Microsoft 服务关联的一组 FQDN。 此方法简化了网络安全规则的管理。 |
| 在警报和拒绝模式下对Azure 防火墙启用威胁情报。 | 使用威胁情报提供针对新兴威胁的实时防护,从而降低网络攻击的风险。 此功能使用Microsoft威胁情报源自动警报和阻止来自已知恶意 IP 地址、域和 URL 的流量。 |
| 在警报或警报和拒绝模式下启用 IDPS。 考虑此功能的性能影响。 | 在Azure 防火墙中启用 IDPS 筛选可提供对网络流量的实时监视和分析,以检测和防止恶意活动。 此功能使用基于签名的检测来快速识别已知威胁,并在它们造成伤害之前阻止它们。 有关详细信息,请参阅 检测滥用行为。 |
| 将 TLS 检查与 Azure 防火墙 Premium 配合使用时,使用内部企业证书颁发机构(CA)生成证书。 仅用于 测试和概念证明(PoC)目的使用自签名证书。 | 启用 TLS 检查,使 Azure 防火墙 Premium 终止并检查 TLS 连接,以检测、警报和缓解 HTTPS 中的恶意活动。 |
| 使用防火墙管理器创建 Azure DDoS 防护计划并将其与中心虚拟网络相关联。 此方法不适用于虚拟 WAN。 | 配置 Azure DDoS 防护计划,以便可以集中管理 DDoS 保护以及防火墙策略。 此方法简化了管理网络安全的方式,并简化了部署和监视过程的方式。 |
成本优化
成本优化侧重于 检测支出模式、优先考虑关键领域的投资,并优化其他 领域以满足组织预算,同时满足业务需求。
成本优化设计原则为实现这些目标并提供高级设计策略,并在与Azure 防火墙及其环境相关的技术设计中做出权衡。
设计清单
根据 投资成本优化 的设计评审清单启动设计策略。 微调设计,使工作负荷与为工作负荷分配的预算保持一致。 设计应使用正确的 Azure 功能,监视投资,并查找随时间推移进行优化的机会。
选择要部署Azure 防火墙 SKU。 从三个Azure 防火墙 SKU 中进行选择:基本 SKU、标准 SKU 和高级 SKU。 使用 Azure 防火墙 Premium 来保护高度敏感的应用程序,例如付款处理。 如果工作负荷需要第 3 层到第 7 层防火墙,并且需要自动缩放来处理高达 30 Gbps 的高峰流量周期,请使用 Azure 防火墙 Standard。 如果使用 SMB 且最多需要 250 Mbps 的吞吐量,请使用 Azure 防火墙 Basic。 可以在 标准 SKU 和高级 SKU 之间降级或升级。 有关详细信息,请参阅选择正确的Azure 防火墙 SKU。
删除未使用的防火墙部署并优化未使用的部署。 停止Azure 防火墙无需持续运行的部署。 识别和删除未使用的Azure 防火墙部署。 若要降低运营成本,请监视和优化防火墙实例使用情况、Azure 防火墙管理器策略配置以及使用的公共 IP 地址和策略数。
共享同一个Azure 防火墙实例。 可以在中心虚拟网络中使用Azure 防火墙的中心实例或虚拟 WAN安全中心,并在连接到同一区域的辐射虚拟网络之间共享同一个Azure 防火墙实例。 确保中心辐射型拓扑中没有意外的跨区域流量。
通过防火墙优化流量。 定期查看Azure 防火墙进程的流量。 查找减少遍历防火墙的流量的机会。
减少存储的日志数据量。 Azure 防火墙可以使用Azure 事件中心全面记录流量的元数据,并将其发送到 Log Analytics 工作区、Azure 存储或非Microsoft解决方案。 所有日志记录解决方案都会产生处理数据和提供存储的成本。 大量数据可能会产生巨大的成本。 考虑一种经济高效的方法和 Log Analytics 的替代方法,并估算成本。 考虑是否需要记录所有日志记录类别的流量元数据。
建议
| 建议 | 好处 |
|---|---|
| 停止Azure 防火墙无需持续运行的部署。 你可能具有仅在工作时间使用的开发或测试环境。 有关详细信息,请参阅解除分配和分配Azure 防火墙。 | 在非高峰时段或空闲时关闭这些部署,以减少不必要的费用,但在关键时间保持安全性和性能。 |
| 定期查看Azure 防火墙进程的流量,并查找原始工作负荷优化。 顶部流日志(也称为胖流日志)显示通过防火墙导致最高吞吐量的顶级连接。 | 优化通过防火墙生成最多流量的工作负荷,以减少流量,从而降低防火墙上的负载,并最大限度地减少数据处理和带宽成本。 |
| 识别和删除未使用的Azure 防火墙部署。 分析 与指向防火墙专用 IP 的子网关联的监视指标 和 UDR。 另请考虑有关环境和部署的其他验证和内部文档。 例如,分析Azure 防火墙的任何经典 NAT、网络和应用程序规则。 并考虑你的设置。 例如,可以将 DNS 代理设置配置为 “已禁用”。 有关详细信息,请参阅“监视Azure 防火墙”。 |
使用此方法可检测一段时间内经济高效的部署,并消除未使用的资源,从而避免不必要的成本。 |
| 仔细查看防火墙管理器策略、关联和继承,以优化成本。 策略根据防火墙关联计费。 具有零个或一个防火墙关联的策略是免费的。 存在多个防火墙关联的策略按固定费率计费。 有关详细信息,请参阅 防火墙管理器定价。 |
正确使用防火墙管理器及其策略来降低运营成本、提高效率并减少管理开销。 |
| 查看配置中的所有公共 IP 地址,取消关联并删除不使用的 IP 地址。 在删除任何 IP 地址之前评估源网络地址转换(SNAT)端口使用情况。 有关详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口使用情况。 |
删除未使用的 IP 地址以降低成本。 |
卓越运营
卓越运营主要侧重于开发 实践、可观测性和发布管理的过程。
卓越运营设计原则提供了一个高级设计策略,用于实现工作负荷操作要求的目标。
设计清单
根据卓越运营的设计评审清单启动设计策略,以定义与Azure 防火墙相关的可观测性、测试和部署过程。
将防火墙管理器与传统的中心辐射型拓扑或虚拟 WAN网络拓扑配合使用,以部署和管理Azure 防火墙实例。 使用本机安全服务进行流量治理和保护,以创建中心辐射型和可传递体系结构。 有关详细信息,请参阅 网络拓扑和连接。
将Azure 防火墙经典规则迁移到现有部署的防火墙管理器策略。 使用防火墙管理器集中管理防火墙和策略。 有关详细信息,请参阅迁移到 Azure 防火墙 Premium。
维护 Azure Policy 项目的常规备份。 如果使用基础结构即代码方法来维护Azure 防火墙和所有依赖项,则应对Azure 防火墙策略进行备份和版本控制。 如果没有,可以部署 基于外部逻辑应用的配套机制 ,以提供有效的自动化解决方案。
监视 Azure 防火墙日志和指标。 利用诊断日志进行防火墙监视和故障排除,以及用于审核操作的活动日志。
分析监视数据以评估系统的整体运行状况。 使用内置的Azure 防火墙监视工作簿,熟悉 Kusto 查询语言 (KQL) 查询,并使用策略分析仪表板来识别潜在问题。
定义关键事件的 警报,以便操作员可以快速响应它们。
利用 Azure 中平台提供的检测机制来检测滥用行为。 将 Azure 防火墙 与 Microsoft Defender for Cloud 集成,并尽可能Microsoft Sentinel。 与 Defender for Cloud 集成,以便可以在一个位置可视化网络基础结构和网络安全的状态,包括 Azure 中不同区域中所有虚拟网络和虚拟网络中心的 Azure 网络安全。 与 Microsoft Sentinel 集成以提供威胁检测和防护功能。
建议
| 建议 | 好处 |
|---|---|
| 为Azure 防火墙启用诊断日志。 使用防火墙日志或工作簿监视Azure 防火墙。 此外,可以使用活动日志来审核对 Azure 防火墙资源执行的操作。 使用结构化防火墙日志格式。 只有具有需要它的现有工具时,才使用以前的 诊断日志格式 。 不要同时启用这两种日志记录格式。 |
启用诊断日志以优化Azure 防火墙的监视工具和策略。 使用结构化防火墙日志来构建日志数据,以便可以轻松搜索、筛选和分析。 最新的监视工具基于这种类型的日志,因此通常是先决条件。 |
| 使用内置Azure 防火墙工作簿。 | 使用Azure 防火墙工作簿从Azure 防火墙事件中提取有价值的见解,分析应用程序和网络规则,并检查有关跨 URL、端口和地址的防火墙活动的统计信息。 |
| 监视Azure 防火墙日志和指标,并为Azure 防火墙容量创建警报。 创建警报以监视吞吐量、防火墙运行状况、SNAT 端口利用率和 AZFW 延迟探测指标。 | 为关键事件设置警报,以便在出现潜在问题之前通知操作员,帮助防止中断,并启动快速容量调整。 |
| 定期查看 策略分析仪表板 ,以确定潜在问题。 | 使用策略分析来分析Azure 防火墙策略的影响。 确定策略中的潜在问题,例如会议策略限制、不当规则和不正确的 IP 组使用情况。 获取改进安全状况和规则处理性能的建议。 |
| 了解 KQL 查询,以便可以使用Azure 防火墙日志快速分析和解决问题。 Azure 防火墙提供示例查询。 | 使用 KQL 查询快速识别防火墙内的事件,并检查触发的规则或允许或阻止请求的规则。 |
性能效率
性能效率与保持用户体验有关 ,即使通过管理容量增加负载 也是如此。 该策略包括缩放资源、识别和优化潜在瓶颈,以及优化峰值性能。
性能效率设计原则提供了一种高级设计策略,用于针对预期使用情况实现这些容量目标。
设计清单
根据 性能效率的设计评审清单启动设计策略。 定义基于Azure 防火墙的关键绩效指标的基线。
根据精心构建的框架建议优化Azure 防火墙配置,以优化代码和基础结构并确保峰值操作。 若要保持高效且安全的网络,请定期查看和优化防火墙规则。 这种做法有助于确保防火墙配置在最新安全威胁中保持有效且最新。
评估策略要求,并查找汇总 IP 范围和 URL 列表的机会。 使用 Web 类别批量允许或拒绝出站访问,以简化管理和增强安全性。 评估 IDPS 在 警报和拒绝 模式下的性能影响,因为此配置可能会影响网络延迟和吞吐量。 配置公共 IP 地址以支持 SNAT 端口要求。 按照这些做法创建可靠且可缩放的网络安全基础结构。
不要将Azure 防火墙用于虚拟网络内部流量控制。 使用Azure 防火墙控制以下类型的流量:
- 跨虚拟网络的流量
- 虚拟网络与本地网络之间的流量
- 发到 Internet 的出站流量
- 传入的非 HTTP 或非 HTTPS 流量
对于虚拟网络内部流量控制,请使用 网络安全组。
在性能测试之前正确预热Azure 防火墙。 在测试前 20 分钟创建不属于负载测试的初始流量。 使用诊断设置捕获纵向扩展和缩减事件。 可以使用 Azure 负载测试服务生成初始流量,以便将Azure 防火墙纵向扩展到最大实例数。
使用 /26 地址空间配置Azure 防火墙子网。 需要一个专用子网才能Azure 防火墙。 Azure 防火墙在缩放时预配更多容量。 /26 地址空间确保防火墙有足够的 IP 地址来应对缩放操作。 Azure 防火墙不需要大于 /26 的子网。 将Azure 防火墙子网命名为 AzureFirewallSubnet。
如果不需要高级日志记录,请不要启用它。 Azure 防火墙提供了一些高级日志记录功能,这些功能可能会产生巨大的成本来保持活动状态。 相反,可以将这些功能用于故障排除目的以及有限的时间。 当不需要这些功能时,请禁用这些功能。 例如,顶级流和流跟踪日志成本高昂,可能会导致Azure 防火墙基础结构上的 CPU 和存储使用率过高。
建议
| 建议 | 好处 |
|---|---|
| 使用策略分析仪表板确定优化Azure 防火墙策略的方法。 | 使用策略分析来确定策略中的潜在问题,例如会议策略限制、规则不当和 IP 组使用不当。 获取改进安全状况和规则处理性能的建议。 |
| 将常用规则放在组中,以优化具有大型规则集的Azure 防火墙策略的延迟。 有关详细信息,请参阅使用Azure 防火墙策略来处理规则。 |
将常用规则置于规则集中,以优化处理延迟。 Azure 防火墙根据规则类型、继承、规则集合组优先级和规则集合优先级来处理规则。 Azure 防火墙首先处理高优先级规则收集组。 在规则集合组中,Azure 防火墙先处理优先级最高的规则集合。 |
| 使用 IP 组汇总 IP 地址范围,并避免超出 唯一源或唯一目标网络规则的限制。 创建网络规则时,Azure 防火墙将 IP 组视为单个地址。 | 此方法可有效地增加可以覆盖的 IP 地址数,而不会超过限制。 对于每个规则,Azure 将端口乘以 IP 地址。 因此,如果一个规则有四个 IP 地址范围和五个端口,则使用 20 个网络规则。 |
| 使用Azure 防火墙 Web 类别可以批量允许或拒绝出站访问,而不是显式构建和维护一长串公共 Internet 网站。 | 此功能动态对 Web 内容进行分类,并允许创建压缩的应用程序规则,从而减少操作开销。 |
| 评估警报和拒绝模式下 IDPS 的性能影响。 有关详细信息,请参阅 Azure 防火墙性能。 | 在 警报和拒绝 模式下启用 IDPS,以检测和防止恶意网络活动。 此功能可能会带来性能损失。 了解对工作负荷的影响,以便可以相应地进行规划。 |
| 为易受 SNAT 端口耗尽的部署配置至少五个公共 IP 地址Azure 防火墙部署。 | Azure 防火墙为每个后端 Azure 虚拟机规模集实例使用的每个公共 IP 地址支持 2,496 个端口。 此配置将可用的 SNAT 端口增加五倍。 默认情况下,Azure 防火墙为每个流目标 IP、目标端口和 TCP 或 UDP 协议部署两个支持 4,992 个端口的两个虚拟机规模集实例。 防火墙最多可以扩展到 20 个实例。 |
Azure 策略
Azure 提供了一组与Azure 防火墙及其依赖项相关的大量内置策略。 可以通过 Azure Policy 审核上述一些建议。 例如,可以检查以下情况:
网络接口不应具有公共 IP。 此策略拒绝使用公共 IP 配置的网络接口。 公共 IP 地址允许 Internet 资源与 Azure 资源的入站通信,Azure 资源可以与 Internet 进行出站通信。
所有 Internet 流量都应通过已部署的Azure 防火墙实例进行路由。 Azure 安全中心标识某些子网不受下一代防火墙的保护。 保护子网免受潜在威胁。 使用Azure 防火墙或受支持的下一代防火墙来限制对子网的访问。
有关全面的治理,请查看 Azure Policy 内置定义,了解Azure 防火墙和其他可能影响网络安全性的策略。
Azure 顾问建议
Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 下面是一些建议,可帮助你提高Azure 防火墙的可靠性、安全性、成本效益、性能和运营卓越性。
后续步骤
请参阅以下资源,这些资源演示了本文中的建议。
使用以下参考体系结构作为如何将本文指南应用于工作负荷的示例:
使用以下资源改进实施专业知识:
请参阅其他资源: