規劃輸入與輸出網際網路連線

  • 發行項

本文列出 Azure 與公用網際網路之間輸入和輸出連線的考慮和建議。

設計考量

  • azure 原生網路安全性服務,例如 Azure 防火牆 Azure 應用程式閘道上的 Azure Web 應用程式防火牆 (WAF)和 Azure Front Door 完全受控。 您不會產生大規模基礎結構部署的作業和管理成本和複雜度。

  • 如果您的組織偏好使用非 Azure 網路虛擬裝置 (NVA),或針對原生服務不符合特定需求的情況,Azure 登陸區域架構與合作夥伴 NVA 完全相容。

  • Azure 針對虛擬網路上的虛擬機器(VM)或計算實例,提供數種直接網際網路輸出連線方法,例如網路位址轉譯(NAT)閘道或負載平衡器。 建議使用 Azure NAT 閘道 作為啟用輸出連線的預設值,因為它是最簡單的設定方式,而且是 Azure 中所有可用的輸出連線方法中最可調整且最有效率的選項。 如需詳細資訊,請參閱 Azure 輸出連線方法

設計建議

  • 使用 Azure NAT 閘道進行網際網路的直接輸出連線。 NAT 閘道是完全受控、高度復原的 NAT 服務,可提供 可調整和隨選 SNAT

    • 使用 NAT 閘道進行下列動作:

      • 將流量傳送至網際網路的動態或大型工作負載。
      • 輸出連線的靜態和可預測公用 IP 位址。 NAT 閘道最多可與 16 個公用 IP 位址或 /28 公用 IP 首碼相關聯。
      • 降低 SNAT 埠耗盡的問題,通常是 負載平衡器輸出規則 Azure 防火牆 Azure App 服務
      • 網路內資源的安全性和隱私權。 只有輸出和傳回流量才能通過 NAT 閘道。

  • 使用Azure 防火牆來管理:

    • Azure 輸出流量至網際網路。
    • 非 HTTP/S 輸入連線。
    • 如果您的組織需要,則為東西流量篩選。

  • 針對進階防火牆功能使用 Azure 防火牆 進階版 ,例如:

    • 傳輸層安全性 (TLS) 檢查。
    • 網路入侵偵測和預防系統(IDPS)。
    • URL 篩選。
    • Web 類別。

  • Azure 防火牆 Manager 同時 支援 Azure 虛擬 WAN 和一般虛擬網路。 使用具有虛擬 WAN 的防火牆管理員,在虛擬 WAN 中樞或中樞虛擬網路中部署和管理 Azure 防火牆。

  • 如果您在Azure 防火牆規則中使用多個 IP 位址和範圍,請在 Azure 防火牆 中設定 IP 群組 。 您可以在 Azure 防火牆 DNAT、網路和應用程式規則中,針對跨 Azure 區域和訂用帳戶的多個防火牆使用 IP 群組。

  • 如果您使用自訂 使用者定義路由 (UDR) 來管理對 Azure 平臺即服務 (PaaS) 服務的輸出連線,請將服務標籤 指定 為位址首碼。 服務標籤會自動更新基礎 IP 位址以包含變更,並減少在路由表中管理 Azure 前置詞的額外負荷。

  • 建立全域Azure 防火牆原則,以控管全球網路環境的安全性狀態。 將原則指派給所有Azure 防火牆實例。

  • 允許細微的原則使用 Azure 角色型存取控制將累加原則委派給本機安全性小組,以符合特定區域需求。

  • 使用登陸區域虛擬網路內的 WAF 來保護來自網際網路的輸入 HTTP/S 流量。

  • 使用 Azure Front Door 和 WAF 原則,針對登陸區域的輸入 HTTP/S 連線,提供跨 Azure 區域的全域保護。

  • 若要使用 Azure Front Door 和 Azure 應用程式閘道 來協助保護 HTTP/S 應用程式,請使用 Azure Front Door 中的 WAF 原則。 鎖定Azure 應用程式閘道,只接收來自 Azure Front Door 的流量。

  • 如果您需要合作夥伴 NVA 進行輸入 HTTP/S 連線,請在登陸區域虛擬網路內部署它們,以及它們保護並公開給網際網路的應用程式。

  • 針對輸出存取,請勿針對任何案例使用 Azure 的預設網際網路輸出存取。 預設輸出存取所遇到的問題包括:

    • SNAT 埠耗盡的風險增加。
    • 預設不安全。
    • 無法相依于預設存取 IP。 他們不是客戶擁有的,而且可能會變更。

  • 使用 NAT 閘道進行線上登陸區域,或未連線到中樞虛擬網路的登陸區域。 需要輸出網際網路存取且不需要Azure 防火牆標準或進階或協力廠商 NVA 安全性的計算資源可以使用線上登陸區域。

  • 如果您的組織想要使用軟體即服務 (SaaS) 安全性提供者來協助保護輸出連線,請在防火牆管理員內設定支援的合作夥伴。

  • 如果您使用合作夥伴 NVA 進行東西方或南北流量保護和篩選:

    • 針對虛擬 WAN 網路拓撲,將 NVA 部署到個別的 NVA 虛擬網路。 連線虛擬網路到區域虛擬 WAN 中樞,以及需要存取 NVA 的登陸區域。 如需詳細資訊,請參閱 案例:透過 NVA 路由傳送流量。
    • 針對非虛擬 WAN 網路拓撲,請在中央中樞虛擬網路中部署合作夥伴 NVA。

  • 請勿將 VM 管理埠公開至網際網路。 針對管理工作:

  • 使用 Azure DDoS 保護 方案來協助保護您在虛擬網路內裝載的公用端點。

  • 請勿嘗試將內部部署周邊網路概念和架構複寫至 Azure。 雖然 Azure 具有類似的安全性功能,但實作和架構會調整為雲端。