Azure 防火墙的工作原理

  • 10 分钟

你已熟悉 Azure 防火墙和 Azure 防火墙管理器的基本功能。 现在,让我们看看这些技术如何为 Azure 资源提供安全性。 此信息将帮助你评估 Azure 防火墙是否是可用于 Contoso 的网络安全策略的适当工具。

Azure 防火墙如何保护 Azure 虚拟网络

若要了解 Azure 防火墙如何保护虚拟网络,需要了解任何 Azure 防火墙部署都具有两个重要特征:

  • 防火墙实例具有一个公共 IP 地址,所有入站流量都会发送到该地址。
  • 防火墙实例具有一个专用 IP 地址,所有出站流量都会发送到该地址。

也就是说,所有流量(入站和出站流量)都会经过防火墙。 默认情况下,防火墙会拒绝访问一切内容。 你的工作是使用允许流量通过防火墙的条件配置防火墙。 每个条件都称为规则,每种规则对数据应用一项或多项检查。 只有通过所有防火墙规则的流量才能通过防火墙。

Azure 防火墙管理网络流量的方式取决于流量的来源:

  • 对于允许的入站流量,Azure 防火墙使用 DNAT 将防火墙的公共 IP 地址转换为虚拟网络中相应目标资源的专用 IP 地址。
  • 对于允许的出站流量,Azure 防火墙使用 SNAT 将源 IP 地址转换为防火墙的公共 IP 地址。

备注

仅当目标 IP 地址位于虚拟网络外部时,Azure 防火墙才使用 SNAT。 如果目标 IP 地址来自虚拟网络的专用地址空间,则 Azure 防火墙不会对流量使用 SNAT。

Azure 防火墙适合虚拟网络的情况

要使 Azure 防火墙有效完成其工作,必须在要保护的受信任网络与提供潜在威胁的不受信任网络之间将其设置为屏障。 最常见的情况是,将 Azure 防火墙部署为 Azure 虚拟网络和 Internet 之间的屏障。

使用具有以下特征的中心辐射型网络拓扑,可以最佳效果部署 Azure 防火墙:

  • 充当中心连接点的虚拟网络。 此网络是中心虚拟网络。
  • 与中心对等互连的一个或多个虚拟网络。 这些对等网络是辐射虚拟网络,用于预配工作负载服务器。

在中心虚拟网络的子网中部署防火墙实例,然后将所有入站和出站流量配置为经过防火墙。

使用以下常规步骤设置 Azure 防火墙实例:

  1. 创建包含用于防火墙部署的子网的中心虚拟网络。
  2. 创建辐射虚拟网络及其子网和服务器。
  3. 将中心网络与辐射网络对等互连。
  4. 将防火墙部署到中心的子网。
  5. 对于出站流量,创建一个将流量从所有子网发送到防火墙专用 IP 地址的默认路由。
  6. 使用用于筛选入站和出站流量的规则配置防火墙。

Azure 防火墙规则类型

下表介绍了可以为 Azure 防火墙创建的三种规则类型。

规则类型 说明
NAT 根据防火墙的公共 IP 地址和指定的端口号,转换并筛选入站 Internet 流量。 例如,若要启用与虚拟机的远程桌面连接,可使用 NAT 规则将防火墙的公共 IP 地址和端口 3389 转换为虚拟机的专用 IP 地址。
应用程序 根据 FQDN 筛选流量。 例如,可以使用应用程序规则来允许出站流量使用 FQDN server10.database.windows.net 访问 Azure SQL 数据库实例。
网络 根据以下三个网络参数中的一个或多个参数筛选流量:IP 地址、端口和协议。 例如,可使用网络规则来允许出站流量使用端口 53 访问位于指定 IP 地址的特定 DNS 服务器。

Network diagram of an external computer requesting a remote desktop connection with a virtual machine. It shows Azure Firewall translating its public IP address to the virtual machine's private IP address.

重要

Azure 防火墙按优先级顺序应用规则。 基于威胁情报的规则始终具有最高优先级,且先予以处理。 之后,按类型应用规则:先是 NAT 规则,然后是网络规则,再然后是应用程序规则。 在每种类型中,规则将根据创建规则时分配的优先级值(从最低值到最高值)予以处理。

Azure 防火墙部署选项

Azure 防火墙提供了许多功能,旨在简化创建和管理规则的过程。 下表对这些功能进行了总结。

Feature 说明
FQDN 主机的域名或者一个或多个 IP 地址。 将 FQDN 添加到应用程序规则将允许访问该域。 在应用程序规则中使用 FQDN 时,可以使用通配符,例如 *.google.com。
FQDN 标记 一组已知的 Microsoft FQDN。 将 FQDN 标记添加到应用程序规则可允许对标记的 FQDN 进行出站访问。 Windows 更新、Azure 虚拟桌面、Windows 诊断、Azure 备份等均存在 FQDN 标记。 Microsoft 管理 FQDN 标记,无法修改或创建它们。
服务标记 与特定 Azure 服务相关的一组 IP 地址前缀。 将服务标记添加到网络规则可允许访问标记所表示的服务。 包括 Azure 备份、Azure Cosmos DB、逻辑应用等在内的许多 Azure 服务都具有服务标记。 Microsoft 管理服务标记,无法修改或创建它们。
IP 组 一组 IP 地址,例如 10.2.0.0/16 或 10.1.0.0-10.1.0.31。 可以将 IP 组用作 NAT 或应用程序规则中的源地址,或用作网络规则中的源地址或目标地址。
自定义 DNS 将域名解析为 IP 地址的自定义 DNS 服务器。 如果使用自定义 DNS 服务器(而不是 Azure DNS),则还必须将 Azure 防火墙配置为 DNS 代理。
DNS 代理 可以将 Azure 防火墙配置为充当 DNS 代理,这意味着所有客户端 DNS 请求在前往 DNS 服务器之前都要通过防火墙。