Azure 防火牆標準功能

  • 發行項

Azure 防火牆 Standard 是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網絡 資源。

Azure Firewall Standard features

Azure 防火牆包含下列功能:

  • 內建高可用性
  • 可用性區域
  • 不受限制的雲端延展性
  • 應用程式 FQDN 篩選規則
  • 網路流量篩選規則
  • FQDN 標籤
  • 服務標籤
  • 威脅情報
  • DNS Proxy
  • 自訂 DNS
  • 網路規則中的 FQDN
  • 在沒有強制通道模式中公用IP位址的部署
  • 輸出 SNAT 支援
  • 輸入 DNAT 支援
  • 多個公用 IP 位址
  • Azure 監視器記錄
  • 已強制進行通道作業
  • Web 類別
  • 認證

若要比較所有防火牆 SKU 的 Azure 防火牆 功能,請參閱選擇正確的 Azure 防火牆 SKU 以符合您的需求

內建高可用性

高可用性是內建的,因此不需要額外的負載平衡器,而且您不需要進行設定。

可用性區域

您可以在部署期間設定 Azure 防火牆,以跨越多個 可用性區域 以提高可用性。 透過 可用性區域,您的可用性會增加到 99.99% 運行時間。 如需詳細資訊,請參閱 Azure 防火牆服務等級協定 (SLA)。 選取兩個以上的可用性區域時,系統會提供 99.99% 執行時間 SLA。

您也可以使用服務標準 99.95% SLA ,將 Azure 防火牆關聯至特定區域。

部署在多個可用性區域中的防火牆不需要額外費用。 不過,與可用性區域建立關聯的輸入和輸出資料傳輸會增加成本。 如需詳細資訊,請參閱頻寬價格詳細資料

當防火牆調整時,它會在它位於的區域中建立實例。 因此,如果防火牆僅位於區域 1,則會在區域 1 中建立新的實例。 如果防火牆位於這三個區域中,則會在調整時跨三個區域建立實例。

Azure 防火牆 可用性區域 適用於支援 可用性區域 的區域。 如需詳細資訊,請參閱支援 Azure 中 可用性區域 的區域。

注意

可用性區域 只能在部署期間設定。 您無法設定現有的防火牆以包含 可用性區域。

如需 可用性區域 的詳細資訊,請參閱 Azure 中的區域和 可用性區域。

不受限制的雲端延展性

Azure 防火牆 可以盡可能相應放大,以因應變更的網路流量,因此您不需要為尖峰流量進行預算。

應用程式 FQDN 篩選規則

您可以將輸出 HTTP/S 流量或 Azure SQL 流量限制為包含萬用字元的特殊完整網域名稱 (FQDN) 清單。 此功能不需要 TLS 終止。

下列影片示範如何建立應用程式規則:

網路流量篩選規則

您可以依來源和目的地 IP 位址、埠和通訊協定集中建立 允許拒絕 網路篩選規則。 Azure 防火牆是完全具狀態的,因此能夠分辨不同連線類型的合法封包。 規則會橫跨多個訂用帳戶和虛擬網路強制執行及記錄。

Azure 防火牆 支援第 3 層和第 4 層網路協定的具狀態篩選。 選取 [網络規則中的任何通訊協定],然後選取埠的通配符*,即可篩選第 3 層 IP 通訊協定。

FQDN 標籤

FQDN 標籤 可讓您輕鬆地允許已知的 Azure 服務網路流量通過防火牆。 舉例來說,當您要允許 Windows Update 網路流量通過防火牆時。 您可以建立應用程式規則,並包含 Windows Update 標籤。 現在,來自 Windows Update 的網路流量就能通過您的防火牆。

服務標籤

服務標籤代表一組IP位址前綴,以協助將安全性規則建立的複雜度降到最低。 您無法建立自己的服務標籤,也無法指定標籤中包含哪些IP位址。 Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。

威脅情報

您可以為您的防火牆啟用威脅情報型篩選,以警示和拒絕來自已知惡意IP位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。

DNS Proxy

啟用 DNS Proxy 後,Azure 防火牆可以處理來自虛擬網路的 DNS 查詢,並將其轉送至所需的 DNS 伺服器。 這項功能對於在網路規則中具有可靠的 FQDN 篩選至關重要且必要。 您可以在 Azure 防火牆 和防火牆原則設定中啟用 DNS Proxy。 若要深入瞭解 DNS Proxy,請參閱 Azure 防火牆 DNS 設定

自訂 DNS

自定義 DNS 可讓您將 Azure 防火牆 設定為使用自己的 DNS 伺服器,同時確保防火牆輸出相依性仍會使用 Azure DNS 解析。 您可以在 Azure 防火牆 和防火牆原則 DNS 設定中設定單一 DNS 伺服器或多部伺服器。 深入瞭解自定義 DNS,請參閱 Azure 防火牆 DNS 設定

Azure 防火牆 也可以使用 Azure 私用 DNS 解析名稱。 Azure 防火牆 所在的虛擬網路必須連結至 Azure 私人區域。 若要深入瞭解,請參閱搭配 Private Link 使用 Azure 防火牆 作為 DNS 轉寄站。

網路規則中的 FQDN

您可以根據 Azure 防火牆 和防火牆原則中的 DNS 解析,在網路規則中使用完整域名 (FQDN)。

規則集合中指定的 FQDN 會根據您的防火牆 DNS 設定轉譯為 IP 位址。 這項功能可讓您使用 FQDN 搭配任何 TCP/UDP 通訊協定來篩選輸出流量(包括 NTP、SSH、RDP 等等)。 由於這項功能是以 DNS 解析為基礎,因此強烈建議您啟用 DNS Proxy,以確保名稱解析與受保護的虛擬機和防火牆一致。

在強制通道模式中部署沒有公用IP位址的 Azure 防火牆

Azure 防火牆 服務需要公用IP位址,以供操作之用。 雖然安全,但某些部署偏好不要將公用IP位址直接公開給因特網。

在這種情況下,您可以在強制通道模式中部署 Azure 防火牆。 此組態會建立管理 NIC,供 Azure 防火牆 用於其作業。 租使用者 Datapath 網路可以設定沒有公用 IP 位址,而因特網流量可以強制通道傳送至另一個防火牆或遭到封鎖。

強制通道模式無法在運行時間設定。 您可以重新部署防火牆,或使用停止和啟動設備,在強制通道模式中重新設定現有的 Azure 防火牆。 在安全中樞部署的防火牆一律會以強制通道模式部署。

輸出 SNAT 支援

所有輸出虛擬網路流量 IP 位址都會轉譯為 Azure 防火牆 公用IP(來源網路位址轉譯)。 您可以識別並允許從您的虛擬網路到遠端網際網路目的地的流量。 當目的地 IP 是每個私人 IP 範圍時,Azure 防火牆 不會 SNATIANA RFC 1918

如果您的組織針對專用網使用公用IP位址範圍,Azure 防火牆會將流量 SNAT 傳送至 AzureFirewallSubnet 中的其中一個防火牆私人IP位址。 您可以將 Azure 防火牆 設定為 SNAT 公用 IP 位址範圍。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人IP位址範圍

您可以在 Azure 防火牆 計量中監視 SNAT 連接埠使用率。 在防火牆記錄和計量檔中深入瞭解並查看 SNAT 埠使用率的建議。

如需 Azure 防火牆 NAT 行為的詳細資訊,請參閱 Azure 防火牆 NAT 行為

輸入 DNAT 支援

防火牆公用IP位址的輸入因特網網路流量會轉譯(目的地網路位址轉譯),並篩選為虛擬網路上的私人IP位址。

多個公用 IP 位址

您可以將多個公用IP位址(最多250個)與您的防火牆產生關聯

這可啟用下列案例:

  • DNAT - 您可以將多個標準埠實例轉譯至後端伺服器。 例如,如果您有兩個公用 IP 位址,您可以為這兩個 IP 位址轉譯 TCP 通訊埠 3389 (RDP)。
  • SNAT - 輸出 SNAT 連線可使用更多埠,以減少 SNAT 連接埠耗盡的可能性。 此時,Azure 防火牆 隨機選取要用於連線的來源公用IP位址。 如果您的網路上有任何下游篩選,則您必須允許與防火牆相關聯的所有公用 IP 位址。 請考慮使用 公用IP位址前綴 來簡化此設定。

如需 NAT 行為的詳細資訊,請參閱 Azure 防火牆 NAT 行為

Azure 監視器記錄

所有事件都與 Azure 監視器整合,可讓您將記錄封存到記憶體帳戶、將事件串流至事件中樞,或將它們傳送至 Azure 監視器記錄。 如需 Azure 監視器記錄範例,請參閱適用於 Azure 防火牆 的 Azure 監視器記錄。

如需詳細資訊,請參閱教學課程:監視 Azure 防火牆 記錄和計量

Azure 防火牆 活頁簿提供彈性畫布來 Azure 防火牆 數據分析。 您可以使用它,在 Azure 入口網站 內建立豐富的視覺效果報表。 如需詳細資訊,請參閱使用活頁簿 Azure 防火牆 監視記錄。

已強制進行通道作業

您可以設定 Azure 防火牆 將所有因特網系結流量路由至指定的下一個躍點,而不是直接前往因特網。 例如,您可以讓內部部署邊緣防火牆或其他網路虛擬設備 (NVA) 在傳送至因特網之前處理網路流量。 如需詳細資訊,請參閱 Azure 防火牆 強制通道

Web 類別

Web 類別可讓系統管理員允許或拒絕使用者存取網站類別,例如賭博網站、社交媒體網站和其他類別。 Web 類別包含在 Azure 防火牆 Standard 中,但它在 Azure 防火牆 進階版 中更微調。 相對於標準版 SKU 中的 Web 類別功能會根據 FQDN 比對類別,進階版 SKU 會根據 HTTP 和 HTTPS 流量的整個 URL 比對類別。 如需 Azure 防火牆 進階版 的詳細資訊,請參閱 Azure 防火牆 進階版 功能

例如,如果 Azure 防火牆 攔截的 www.google.com/newsHTTPS 要求,則預期會有下列分類:

  • 防火牆標準 – 只會檢查 FQDN 元件,因此 www.google.com 會分類為 搜尋引擎

  • 防火牆 進階版 – 檢查完整的 URL,因此www.google.com/news分類為新聞

這些類別會根據責任、高頻寬商務用途生產力遺失一般衝浪未分類的嚴重性來組織。

類別例外狀況

您可以建立 Web 類別規則的例外狀況。 在規則集合群組中建立具有較高優先順序的個別允許或拒絕規則集合。 例如,您可以設定允許 www.linkedin.com 優先順序為 100 的規則集合,以及拒絕 優先順序為 200 之社交網路 的規則集合。 這會為預先定義的 社交網路 Web 類別建立例外狀況。

認證

Azure 防火牆 是支付卡產業(PCI)、服務組織控制(SOC)和國際標準化組織(ISO)相容。 如需詳細資訊,請參閱 Azure 防火牆 合規性認證

下一步