你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 架构良好的框架评审 - Azure 防火墙
本文提供有关Azure 防火墙的体系结构建议。 本指南基于卓越体系结构的五大支柱:
- 可靠性
- 安全性
- 成本优化
- 卓越运营
- 性能效率
我们假设你具备Azure 防火墙知识,并且熟悉其功能。 有关详细信息,请参阅Azure 防火墙概述。
先决条件
- 了解 Azure Well-Architected Framework 支柱有助于生成高质量、稳定且高效的云体系结构。 使用 架构良好的框架评审评估来评审 工作负荷。
- 根据本文中提供的指南,使用参考体系结构查看注意事项。 从 与 PaaS 数据存储建立专用连接的网络强化 Web 应用程序 开始, 并实现安全的混合网络。
可靠性
若要了解 Azure 防火墙 如何可靠地支持工作负载,请参阅以下文章:
设计清单
在为Azure 防火墙做出设计选择时,请查看设计原则的可靠性。
- 将Azure 防火墙部署在中心虚拟网络中或作为 Azure 虚拟 WAN 中心的一部分。
- 利用可用性区域复原能力。
- 创建Azure 防火墙策略结构。
- 查看“已知问题”列表。
- 监视Azure 防火墙运行状况状态。
注意
传统中心 & 辐射型模型与虚拟 WAN托管的安全中心之间的网络服务可用性存在差异。 例如,在虚拟 WAN中心中,不能从公共 IP 前缀获取Azure 防火墙公共 IP,也不能启用 DDoS 防护。 选择一个或另一个模型必须考虑 Well-Architected 框架的所有五个支柱的要求。
建议
浏览以下建议表,以优化Azure 防火墙配置的可靠性。
| 建议 | 好处 |
|---|---|
| 将 Azure 防火墙 Manager 与传统的中心 & 辐射或 Azure 虚拟 WAN网络拓扑配合使用来部署和管理Azure 防火墙实例。 | 使用本机安全服务轻松创建中心辐射型和可传递体系结构,实现流量治理和保护。 有关网络拓扑的详细信息,请参阅 Azure 云采用框架文档。 |
| 创建Azure 防火墙策略来管理全球网络环境的安全状况。 将策略分配给Azure 防火墙的所有实例。 | Azure 防火墙策略可以按分层结构进行排列,以覆盖中央基策略。 允许精细策略以满足特定区域的要求。 通过基于角色的访问控制 (RBAC) ,将增量防火墙策略委托给本地安全团队。 某些设置特定于每个实例,例如 DNAT 规则和 DNS 配置,因此可能需要多个专用策略。 |
| Azure 防火墙经典规则迁移到现有部署Azure 防火墙 Manager 策略。 | 对于现有部署,请将Azure 防火墙规则迁移到 Azure 防火墙 Manager 策略。 使用 Azure 防火墙 Manager 集中管理防火墙和策略。 有关详细信息,请参阅迁移到 Azure 防火墙 Premium。 |
| 查看Azure 防火墙已知问题的列表。 | Azure 防火墙产品组在此位置维护已知问题的更新列表。 此列表包含与设计行为、正在构建的修补程序、平台限制以及可能的解决方法或缓解措施相关的重要信息。 |
| 确保Azure 防火墙策略遵守Azure 防火墙限制和建议。 | 策略结构存在限制,包括规则和规则集合组的数量、策略总大小、源/目标目标。 请务必编写策略,并始终落后于 记录的阈值。 |
| 跨多个可用性区域部署Azure 防火墙,以实现更高的服务级别协议 (SLA) 。 | Azure 防火墙在单个可用性区域中部署和部署在多个区域中时,会提供不同的 SLA。 详细信息请参阅 Azure 防火墙 SLA。 有关所有 Azure SLA 的信息,请参阅 Azure 服务的 SLA 摘要。 |
| 在多区域环境中,为每个区域部署一个 Azure 防火墙 实例。 | 对于传统的中心 & 辐射体系结构, 本文介绍了多区域的详细信息。 对于安全虚拟中心 (Azure 虚拟 WAN) ,必须将路由意向和策略配置为保护中心间和分支到分支的通信。 对于设计为抗故障和容错的工作负载,请记住,Azure 防火墙 和 Azure 的实例虚拟网络区域资源。 |
| 监视Azure 防火墙指标和资源运行状况状态。 | 密切监视Azure 防火墙运行状况状态的关键指标指示器,例如吞吐量、防火墙运行状况状态、SNAT 端口利用率和 AZFW 延迟探测指标。 此外,Azure 防火墙现在与 Azure 资源运行状况 集成。 使用Azure 防火墙 资源运行状况 检查,现在可以查看Azure 防火墙的运行状况并解决可能影响Azure 防火墙资源的服务问题。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
安全性
安全性是任何体系结构最为重视的方面之一。 Azure 防火墙 是一种智能防火墙安全服务,可为 Azure 中运行的云工作负载提供威胁防护。
设计清单
在为Azure 防火墙做出设计选择时,请查看安全性设计原则。
- 确定是否需要 强制隧道。
- 基于最低特权访问条件为策略创建规则。
- 利用 威胁智能。
- 启用Azure 防火墙 DNS 代理。
- 通过Azure 防火墙定向网络流量。
- 确定是否要将第三方安全性用作服务 (SECaaS) 提供程序。
- 使用 DDoS 保护Azure 防火墙公共 IP 地址。
建议
浏览以下建议表,以优化Azure 防火墙配置的安全性。
| 建议 | 好处 |
|---|---|
| 如果需要将所有 Internet 绑定的流量路由到指定的下一跃点而不是直接转到 Internet,请在强制隧道模式下配置Azure 防火墙, (不适用于 Azure 虚拟 WAN) 。 | Azure 防火墙必须具有直接的 Internet 连接。 如果 AzureFirewallSubnet 通过边界网关协议了解到本地网络的默认路由,则必须在强制隧道模式下配置Azure 防火墙。 使用强制隧道功能,Azure 防火墙管理子网需要另一个 /26 地址空间。 需要将其命名为 AzureFirewallManagementSubnet。 如果这是无法在强制隧道模式下重新配置的现有Azure 防火墙实例,请创建路由为 0.0.0.0.0/0 的 UDR。 将 NextHopType 值设置为 Internet。 将其与 AzureFirewallSubnet 关联,以保持 Internet 连接。 |
| 在强制隧道模式下配置Azure 防火墙时,将公共 IP 地址设置为“无”, (不适用于 Azure 虚拟 WAN) 。 | 部署新的 Azure 防火墙 实例时,如果启用强制隧道模式,可以将公共 IP 地址设置为“无”以部署完全专用的数据平面。 但是,管理平面仍需要公共 IP,仅用于管理目的。 来自虚拟和本地网络的内部流量不会使用该公共 IP。 有关强制隧道的详细信息,请参阅Azure 防火墙强制隧道。 |
| 基于最低特权访问条件为防火墙策略创建规则。 | Azure 防火墙策略可以按分层结构进行排列,以覆盖中央基策略。 允许精细策略以满足特定区域的要求。 每个策略可以包含具有特定优先级、操作和处理顺序的不同 DNAT、网络和应用程序规则集。 基于最小特权访问零信任原则 创建规则。 本文介绍了规则的处理方式。 |
| 在警报和拒绝模式下对Azure 防火墙启用威胁智能。 | 你可以为防火墙启用基于威胁情报的筛选,以发出警报并拒绝来自或送到未知 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁情报源。 Intelligent Security Graph 支持 Microsoft 威胁智能,供多个服务使用,包括 Microsoft Defender for Cloud。 |
| 在警报或警报和拒绝模式下启用 IDPS。 | IDPS 是最强大的Azure 防火墙 (Premium) 安全功能之一,应启用。 根据安全性和应用程序要求,并考虑性能影响, (请参阅下面的成本部分) ,可以选择 警报 或 警报和拒绝 模式。 |
| 启用 Azure 防火墙 (DNS) 代理配置。 | 启用此功能后,VNet 中的客户端将Azure 防火墙为 DNS 服务器。 它将保护不会直接访问和公开的内部 DNS 基础结构。 Azure 防火墙还必须配置为使用将用于转发 DNS 查询的自定义 DNS。 |
| (UDR) 配置用户定义的路由,以强制流量通过Azure 防火墙。 | 在传统的中心 & 辐射体系结构中,配置 UDR 以强制流量通过 、 和 SpoketoHybrid 连接的Azure 防火墙。SpoketoSpokeSpoketoInternet 相反,在 Azure 虚拟 WAN中,配置路由意向和策略,以通过集成到中心的Azure 防火墙实例重定向专用和/或 Internet 流量。 |
| 限制使用直接绑定到虚拟机的公共 IP 地址 | 为了防止流量绕过防火墙,应限制公共 IP 地址与 VM 网络接口的关联。 在 Azure 云采用框架 (CAF) 模型中,特定Azure Policy分配给 CORP 管理组。 |
| 如果无法应用 UDR,并且只需要 Web 流量重定向,请考虑使用 Azure 防火墙 作为显式代理 | 在出站路径上启用显式代理功能后,可以在发送 Web 应用程序 (配置代理设置,例如 web 浏览器) ,Azure 防火墙配置为代理。 因此,Web 流量将到达防火墙的专用 IP 地址,因此无需使用 UDR 即可直接从防火墙传出。 此功能还有助于使用多个防火墙,而无需修改现有网络路由。 |
| 如果要使用这些解决方案来保护出站连接,请在防火墙管理器中将受支持的第三方软件配置为服务 (SaaS) 安全提供程序。 | 你可以使用熟悉的同类最佳 第三方 SECaaS 产品/服务 来保护用户的 Internet 访问。 此方案要求 Azure 虚拟 WAN中心中的 S2S VPN 网关,因为它使用 IPSec 隧道连接到提供程序的基础结构。 SECaaS 提供商可能会收取额外的许可证费用,并限制 IPSec 连接的吞吐量。 ZScaler 云连接器等替代解决方案存在,可能更合适。 |
| 在网络规则中使用完全限定的域名 (FQDN) 筛选。 | 可以在Azure 防火墙和防火墙策略中使用基于 DNS 解析的 FQDN。 此功能允许你筛选采用任何 TCP/UDP 协议(包括 NTP、SSH、RDP 等)的出站流量。 必须启用 Azure 防火墙 DNS 代理配置才能在网络规则中使用 FQDN。 若要了解其工作原理,请参阅Azure 防火墙网络规则中的 FQDN 筛选。 |
| 使用网络规则中的 服务标记 启用对特定 Microsoft 服务的选择性访问。 | 服务标记表示一组 IP 地址前缀,帮助最大程度地降低安全规则创建过程的复杂性。 使用网络规则中的服务标记,可以在不打开各种 IP 地址的情况下启用对 Azure、Dynamics 和 Office 365 中的特定服务的出站访问。 Azure 将自动维护这些标记与每个服务使用的基础 IP 地址之间的映射。 此处列出了可供Azure 防火墙的服务标记列表:Az Firewall 服务标记。 |
| 使用应用程序规则中的 FQDN 标记 启用对特定 Microsoft 服务的选择性访问。 | FQDN 标记表示与已知 Microsoft 服务关联的 FQDN) (一组完全限定的域名。 可以在应用程序规则中使用 FQDN 标记,以允许某些特定 Azure 服务(Office 365、Windows 365 和 Intune)所需的出站网络流量通过防火墙。 |
| 使用 Azure 防火墙 Manager 创建 DDoS 保护计划并将其与中心虚拟网络相关联, (不适用于 Azure 虚拟 WAN) 。 | DDoS 防护计划提供了增强的缓解功能,可保护防火墙免受 DDoS 攻击。 Azure 防火墙 Manager 是用于创建防火墙基础结构和 DDoS 保护计划的集成工具。 有关详细信息,请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划。 |
| 使用企业 PKI 生成 TLS 检查证书。 | 对于 Azure 防火墙 Premium,如果使用 TLS 检查功能,建议在生产环境中利用内部企业证书颁发机构 (CA) 。 自签名证书仅用于 测试/PoC 目的 。 |
| 查看Azure 防火墙和应用程序网关 Zero-Trust 配置指南 | 如果安全要求需要为 Web 应用程序实现 (检查和加密) Zero-Trust 方法,建议遵循 本指南。 本文档介绍如何在传统的中心 & 辐射和虚拟 WAN方案中将Azure 防火墙和应用程序网关集成在一起。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
策略定义
网络接口不应具有公共 IP。 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。
所有 Internet 流量都应通过部署Azure 防火墙进行路由。 Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害。
Azure 防火墙策略应在应用程序规则中启用 TLS 检查。 建议对所有应用程序规则启用 TLS 检查,以检测、发出警告和缓解 HTTPS 中的恶意活动。 若要详细了解使用 Azure 防火墙 进行 TLS 检查,请访问 https://aka.ms/fw-tlsinspect。
Azure 防火墙 Premium 应配置有效的中间证书以启用 TLS 检查。 配置有效的中间证书并启用 Azure 防火墙高级版 TLS 检查,以检测、警示和缓解 HTTPS 中的恶意活动。 若要详细了解使用 Azure 防火墙 进行 TLS 检查,请访问 https://aka.ms/fw-tlsinspect。
入侵检测和防护系统 (IDPS) 的绕过列表在防火墙策略高级版中应为空。 利用入侵检测和防护系统 (IDPS) 绕过列表,可以不筛选流向绕过列表中指定的 IP 地址、范围和子网的流量。 但是,建议对所有流量流启用 IDPS,以更好地识别已知威胁。 若要详细了解入侵检测和防护系统 (IDPS) Azure 防火墙 Premium 签名,请访问 https://aka.ms/fw-idps-signature。
防火墙策略高级版应启用所有 IDPS 签名规则来监视所有入站和出站流量流。 建议启用所有入侵检测和防护系统 (IDPS) 签名规则,以更好地识别流量流中的已知威胁。 若要详细了解入侵检测和防护系统 (IDPS) Azure 防火墙 Premium 签名,请访问 https://aka.ms/fw-idps。
防火墙策略高级版应启用入侵检测和防护系统 (IDPS) 。 通过启用入侵检测和防护系统 (IDPS),可以监视网络中是否存在恶意活动、记录有关此活动的信息、予以报告并选择性地尝试阻止。 若要详细了解使用 Azure 防火墙 Premium 的入侵检测和防护系统 (IDPS) ,请访问 https://aka.ms/fw-idps。
订阅应配置 Azure 防火墙 Premium 以提供额外的保护层。 Azure 防火墙高级版提供高级威胁防护,可满足高度敏感且受监管的环境的需求。 将 Azure 防火墙高级版部署到订阅中,并确保所有服务流量都受 Azure 防火墙高级版的保护。 若要详细了解 Azure 防火墙 Premium,请访问 https://aka.ms/fw-premium。
与 Azure 网络相关的所有内置策略定义都列在 内置策略 - 网络中。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。
设计清单
在为Azure 防火墙做出设计选择时,请查看成本优化的设计原则。
- 选择要部署Azure 防火墙 SKU。
- 确定某些实例是否需要永久的 24x7 分配。
- 确定可以跨工作负载优化防火墙使用的位置。
- 监视和优化防火墙实例使用情况以确定成本效益。
- 查看并优化所需的公共 IP 地址数以及所使用的策略数。
- 查看日志记录要求、估算成本并随时间推移进行控制。
建议
浏览以下建议表,以优化Azure 防火墙配置以优化成本。
| 建议 | 好处 |
|---|---|
| 部署正确的Azure 防火墙 SKU。 | Azure 防火墙可以部署在三个不同的 SKU 中:基本、标准和高级。 建议使用 Azure 防火墙高级版来保护高度敏感的应用程序,例如付款处理。 对于寻求第 3 层至第 7 层防火墙并需要进行自动缩放以处理最高 30 Gbps 的峰值流量时段的客户,建议使用 Azure 防火墙标准版。 对于吞吐量需求为 250 Mbps 的 SMB 客户,建议使用 Azure 防火墙基本版。 如果需要,可以在标准和高级之间降级或升级,如 此处所述。 有关详细信息,请参阅选择合适的Azure 防火墙 SKU 以满足需求。 |
| 停止Azure 防火墙不需要全天候运行的部署。 | 你可能有仅在工作时间使用的开发或测试环境。 有关详细信息,请参阅解除分配和分配Azure 防火墙。 |
| 跨多个工作负荷和 Azure 虚拟网络共享同一个Azure 防火墙实例。 | 可以在中心虚拟网络中使用Azure 防火墙的中心实例或虚拟 WAN安全中心,并在从同一区域连接到同一中心的多个分支虚拟网络之间共享相同的防火墙。 确保中心辐射型拓扑中没有意外的跨区域流量。 |
| 定期查看Azure 防火墙处理的流量,并查找原始工作负载优化 | Top Flow 日志 (行业称为 Fat Flow) ,显示通过防火墙实现最高吞吐量的顶级连接。 建议定期查看Azure 防火墙处理的流量,并搜索可能的优化,以减少遍历防火墙的流量。 |
| 查看未充分利用Azure 防火墙实例。 识别和删除未使用的Azure 防火墙部署。 | 若要识别未使用的Azure 防火墙部署,请首先分析与指向防火墙专用 IP 的子网关联的监视指标和 UDR。 将该信息与其他验证相结合,例如,Azure 防火墙实例是否有任何规则 (NAT、网络和应用程序的经典) ,或者即使 DNS 代理设置配置为“已禁用”,以及有关环境和部署的内部文档也是如此。 可以检测一段时间内经济高效的部署。 有关监视日志和指标的详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 |
| 使用 Azure 防火墙 Manager 及其策略来降低运营成本、提高效率并减少管理开销。 | 请仔细阅读防火墙管理器策略、关联和继承。 策略根据防火墙关联计费。 存在零个或一个防火墙关联的策略是免费的。 存在多个防火墙关联的策略按固定费率计费。 有关详细信息,请参阅定价 - Azure 防火墙管理器。 |
| 删除未使用的公共 IP 地址。 | 验证是否正在使用所有关联的公共 IP 地址。 如果未使用它们,请取消关联并删除它们。 在删除任何 IP 地址之前评估 SNAT 端口利用率。 你将仅使用防火墙所需的公共 IP 数。 有关详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 |
| 查看日志记录要求。 | Azure 防火墙能够通过事件中心将看到的所有流量的元数据全面记录到 Log Analytics 工作区、存储或第三方解决方案。 但是,所有日志记录解决方案都会产生数据处理和存储成本。 在非常大的量下,这些成本可能很高,应考虑一种经济高效的方法和 Log Analytics 的替代方案 ,并估算成本。 考虑是否需要记录所有日志记录类别的流量元数据,并根据需要在诊断设置中进行修改。 |
有关更多建议,请参阅 成本优化的设计评审清单。
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
卓越运营
监视和诊断至关重要。 可以度量性能统计信息和指标,以快速排查和修正问题。
设计清单
在为Azure 防火墙做出设计选择时,请查看设计原则,确保卓越运营。
- 维护Azure 防火墙配置和策略的清单和备份。
- 利用诊断日志进行防火墙监视和故障排除。
- 利用Azure 防火墙监视工作簿。
- 定期查看策略见解和分析。
- 将 Azure 防火墙 与 Microsoft Defender for Cloud 和 Microsoft Sentinel 集成。
建议
浏览以下建议表,以优化Azure 防火墙配置,实现卓越运营。
| 建议 | 好处 |
|---|---|
| 请勿将Azure 防火墙用于 VNet 内流量控制。 | 应使用 Azure 防火墙 来控制跨 VNet、VNet 与本地网络之间的流量、发到 Internet 的出站流量以及传入的非 HTTP/秒流量。 对于 VNet 内流量控制,建议使用 网络安全组。 |
| 维护Azure Policy项目的定期备份。 | 如果使用基础结构即代码 (IaC) 方法来维护Azure 防火墙和所有依赖项,则Azure 防火墙策略的备份和版本控制应已到位。 如果没有,则可以部署基于外部逻辑应用的 配套机制 ,以自动执行并提供有效的解决方案。 |
| 为Azure 防火墙启用诊断日志。 | 诊断日志是Azure 防火墙的许多监视工具和策略的关键组件,应启用。 可以使用防火墙日志或工作簿监视Azure 防火墙。 还可以使用活动日志对Azure 防火墙资源执行审核操作。 |
| 使用 结构化防火墙日志 格式。 | 结构化防火墙日志 是一种以特定新格式组织的日志数据。 它们使用预定义的架构来构建日志数据,使其易于搜索、筛选和分析。 最新的监视工具基于这种类型的日志,因此它通常是先决条件。 仅当存在具有先决条件的现有工具时,才使用以前的 诊断日志格式 。 不要同时启用这两种日志记录格式。 |
| 使用内置的Azure 防火墙监视工作簿。 | Azure 防火墙门户体验现在在“监视”部分 UI 下包含一个新工作簿,不再需要单独安装。 使用Azure 防火墙工作簿,可以从Azure 防火墙事件中提取有价值的见解,深入了解应用程序和网络规则,并检查有关跨 URL、端口和地址的防火墙活动的统计信息。 |
| 监视关键指标,并为Azure 防火墙容量利用率指标创建警报。 | 应创建警报以至少监视 吞吐量、 防火墙运行状况状态、 SNAT 端口利用率 和 AZFW 延迟探测 指标。 有关监视日志和指标的信息,请参阅监视Azure 防火墙日志和指标。 |
| 配置与 Microsoft Defender for Cloud 和 Microsoft Sentinel 的Azure 防火墙集成。 | 如果这些工具在环境中可用,建议利用与 Microsoft Defender for Cloud 和 Microsoft Sentinel 解决方案的集成。 借助 Microsoft Defender for Cloud 集成,可以在一个位置可视化网络基础结构和网络安全的所有状态,包括跨 Azure 中不同区域的所有 VNet 和虚拟中心的 Azure 网络安全。 与 Microsoft Sentinel 集成提供威胁检测和预防功能。 |
| 定期查看策略分析仪表板以确定潜在问题。 | 策略分析是一项新功能,可用于深入了解Azure 防火墙策略的影响。 它可帮助你识别 (达到策略限制、低利用率规则、冗余规则、规则过于通用、) IP 组使用建议的潜在问题,并提供改进安全状况和规则处理性能的建议。 |
| 熟悉 KQL (Kusto 查询语言) 查询,以便使用 Azure 防火墙 日志快速分析和故障排除。 | 为Azure 防火墙提供了示例查询。 通过这些,你可以快速识别防火墙内发生的情况,并检查查看触发了哪个规则,或者哪个规则允许/阻止请求。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
性能效率
性能效率是工作负载进行缩放以有效满足用户对它的需求的能力。
设计清单
在为Azure 防火墙做出设计选择时,请查看性能效率的设计原则。
- 定期查看和优化防火墙规则。
- 查看策略要求和机会,以汇总 IP 范围和 URL 列表。
- 评估 SNAT 端口要求。
- 规划负载测试以测试环境中的自动缩放性能。
- 如果不需要,请不要启用诊断工具和日志记录。
建议
浏览以下建议表,以优化Azure 防火墙配置,提高性能效率。
| 建议 | 好处 |
|---|---|
| 使用策略分析仪表板确定防火墙策略的潜在优化。 | 策略分析是一项新功能,可用于深入了解Azure 防火墙策略的影响。 它可帮助你识别 (达到策略限制、低利用率规则、冗余规则、规则过于通用、) IP 组使用建议的潜在问题,并提供改进安全状况和规则处理性能的建议。 |
| 对于具有大型 规则集的防火墙策略,请将最常用的规则放在组中的早期,以优化延迟。 | 根据规则类型、继承、规则集合组优先级和规则集合优先级处理规则。 首先处理优先级最高的规则集合组。 在规则集合组中,首先处理优先级最高的规则集合。 将最常用的规则放在规则集中的较高位置将优化处理延迟。 本文介绍了如何处理和评估规则。 |
| 使用 IP 组 汇总 IP 地址范围。 | 可以使用 IP 组汇总 IP 范围,因此不会超过 唯一源/目标网络规则的限制。 对于每个规则,Azure 都会将端口乘以 IP 地址。 因此,如果有一个具有 4 个 IP 地址范围和 5 个端口的规则,则将使用 20 个网络规则。 IP 组被视为单个地址,以便创建网络规则。 |
| 考虑 Web 类别 以允许或拒绝批量出站访问。 | 请考虑使用Azure 防火墙 Web 类别,而不是显式构建和维护一长串公共 Internet 网站。 此功能将动态地对 Web 内容进行分类,并允许创建紧凑的应用程序规则。 |
| 在警报和拒绝模式下评估 IDPS 的性能影响。 | 如果需要Azure 防火墙才能在 IDPS 模式下运行警报和拒绝,请仔细考虑本页中所述的性能影响。 |
| 评估潜在的 SNAT 端口耗尽问题。 | Azure 防火墙当前支持每个后端虚拟机规模集实例的每个公用 IP 地址 2496 个端口。 默认有两个虚拟机规模集实例。 因此,每个流目标 IP 有 4992 个端口,目标端口和协议 (TCP 或 UDP) 。 防火墙最多可以扩展到 20 个实例。 可以针对容易出现 SNAT 耗尽的部署,为 Azure 防火墙部署配置至少五个公共 IP 地址,以此解决这些限制。 |
| 在任何性能测试之前,请正确预热Azure 防火墙。 | 在测试前 20 分钟创建不属于负载测试的初始流量。 使用诊断设置捕获纵向扩展和缩减事件。 可以使用 Azure 负载测试 服务来生成初始流量。 允许Azure 防火墙实例将其实例纵向扩展到最大值。 |
| 使用 /26 地址空间 (AzureFirewallSubnet) 配置Azure 防火墙子网。 | Azure 防火墙是虚拟网络中的专用部署。 在虚拟网络中,Azure 防火墙 实例需要专用子网。 Azure 防火墙在缩放时预配更多容量。 其子网的 A /26 地址空间可确保防火墙有足够的 IP 地址适应缩放。 Azure 防火墙不需要大于 /26 的子网。 Azure 防火墙子网名称必须是 AzureFirewallSubnet。 |
| 如果不需要,请不要启用高级日志记录 | Azure 防火墙提供了一些高级日志记录功能,但保持始终处于活动状态的成本可能很高。 相反,它们应仅用于故障排除目的,并限制持续时间,然后在不再需要时禁用。 例如,顶级流和流跟踪日志成本高昂可能会导致Azure 防火墙基础结构上的 CPU 和存储使用率过高。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
Azure 顾问建议
Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 目前还没有Azure 防火墙特定的顾问建议。 可以应用一些常规建议来帮助提高可靠性、安全性、成本效益、性能和卓越运营。
- 创建 Azure 服务运行状况警报,以便在 Azure 问题影响你时收到通知
- 确保在需要时有权访问 Azure 云专家
- 启用流量分析以深入了解 Azure 资源中的流量模式
- 遵循足够多的管理 (最低特权原则)
- 使用 Microsoft Defender for Cloud 保护网络资源
其他资源
Azure 体系结构中心指南
- Azure 防火墙体系结构概述
- 使用 Azure 防火墙帮助保护 Azure Kubernetes 服务 (AKS) 群集
- 使用 Azure 防火墙 保护 Azure 虚拟桌面 (AVD) 部署
- 使用 Azure 防火墙保护 Office 365
- Azure 中的中心辐射型网络拓扑
- 提供 Azure 防火墙和应用程序网关的 Web 应用程序的零信任网络
- 实现安全的混合网络
- 网络强化的 Web 应用程序,具有与 PaaS 数据存储的专用连接
后续步骤
部署 Azure 防火墙 实例以查看其工作原理:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈