設計和實作 Azure 防火牆
Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 它是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。
Azure 防火牆功能
Azure 防火牆包含下列功能:
- 內建高可用性 - 已內建高可用性,因此不需要額外的負載平衡器,也不需要進行任何設定。
- 不受限制的雲端可擴縮性 - Azure 防火牆可以隨著您的需求擴增,以容納多變的網路流量,因此您不需要為尖峰流量編列預算。
- 應用程式 FQDN 篩選規則 - 您可以將輸出 HTTP/S 流量或 Azure SQL 流量限制為包含萬用字元的指定完整網域名稱 (FQDN) 清單。 這項功能不需要 TLS 終止。
- 網路流量篩選規則 - 您可以依據來源和目的地 IP 位址、連接埠及通訊協定,集中建立「允許」或「拒絕」網路篩選規則。 Azure 防火牆是完全具狀態的,因此能夠分辨不同連線類型的合法封包。 規則會橫跨多個訂用帳戶和虛擬網路強制執行及記錄。
- FQDN 標籤 - 這些標籤可讓您輕鬆地允許已知的 Azure 服務網路流量通過防火牆。 舉例來說,當您要允許 Windows Update 網路流量通過防火牆時。 您可以建立應用程式規則,並包含 Windows Update 標籤。 現在,來自 Windows Update 的網路流量就能通過您的防火牆。
- 服務標籤 - 服務標籤代表一組 IP 位址首碼,可協助將建立安全性規則的複雜性降至最低。 您無法建立自己的服務標籤,也無法指定標籤中包含的 IP 位址。 Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。
- 威脅情報 - 您可為防火牆啟用威脅情報式篩選 (IDPS),以警示並拒絕來自 / 傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。
- TLS 檢查 - 防火牆可以解密輸出流量、處理資料,然後加密資料並將其傳送至目的地。
- 輸出 SNAT 支援 - 所有輸出虛擬網路流量 IP 位址都會轉譯為 Azure 防火牆公用 IP (來源網路位址轉譯 (SNAT))。 您可以識別並允許從您的虛擬網路到遠端網際網路目的地的流量。
- 輸入 DNAT 支援 - 連至您防火牆公用 IP 位址的輸入網際網路流量會轉譯 (目的地網路位址轉譯) 並篩選為您虛擬網路上的私人 IP 位址。
- 多個公用 IP 位址 - 您可以將多個公用 IP 位址 (最多 250 個) 與防火牆建立關聯,以實現特定 DNAT 和 SNAT 案例。
- Azure 監視器記錄 - 所有事件都會與 Azure 監視器整合,讓您可以將記錄封存至儲存體帳戶、將事件串流至事件中樞,或將其傳送至 Azure 監視器記錄。
- 強制通道 - 您可以設定 Azure 防火牆,將所有網際網路輸入/輸出流量路由傳送至指定的下一個躍點,而不是直接前往網際網路。 例如,您可能有內部部署邊緣防火牆或其他網路虛擬設備 (NVA) 能先處理網路流量,再將其傳遞至網際網路。
- Web 類別 - Web 類別可讓系統管理員允許或拒絕使用者對一些網站類別 (例如賭博網站、社交媒體網站等) 的存取。 Web 類別隨附於 Azure 防火牆標準版,但在 Azure 防火牆進階版預覽中會更精細。 相對於標準版 SKU 中的 Web 類別功能會根據 FQDN 比對類別,進階版 SKU 會根據 HTTP 和 HTTPS 流量的整個 URL 比對類別。
- 認證 - Azure 防火牆符合支付卡產業 (PCI)、服務組織控制 (SOC)、國際標準組織 (ISO) 和 ICSA Labs 的規範。
Azure 防火牆中的規則處理
在 Azure 防火牆中,您可以設定 NAT 規則、網路規則和應用程式規則,而這項作業可以透過使用傳統規則或防火牆原則完成。 在手動設定規則以允許流量之前,Azure 防火牆預設會拒絕所有流量。
傳統規則的規則處理
使用傳統規則時,會根據規則類型的優先順序 (數字由低到高,100 到 65,000) 處理規則集合。 規則集合名稱只能有字母、數字、底線、句點或連字號。 其開頭也必須是字母或數字,且必須以字母、數字或底線結尾。 最大名稱長度為 80 個字元。 最佳做法是先將規則集合優先順序數字的間隔設為 100 (例如 100、200、300 等),如此一來,您就能在需要時提供空間來新增更多規則集合。
使用防火牆原則處理規則
使用防火牆原則時,規則會組織在規則集合群組所包含的規則集合內。 規則集合可以是下列任何類型:
- DNAT (目的地網路位址轉譯)
- 網路
- 應用程式
您可以在單一規則集合群組內定義多個規則集合類型,也可以在規則集合中定義零或多個規則,但是規則集合中的規則必須屬於相同類型 (例如,DNAT、網路或應用程式)。
使用防火牆原則時,系統會根據規則集合群組優先順序和規則集合優先順序來處理規則。 優先順序是介於 100 (最高優先順序) 和 65000 (最低優先順序) 之間的任何數字。 其會先處理最高優先順序的規則集合群組,並在規則集合群組內,具有最高優先順序的規則集合 (即數字最小) 會先處理。
在繼承自父原則防火牆原則的情況下,不論子原則的優先順序為何,一律會優先採用父原則中的規則集合群組。
應用程式規則一律會在網路規則之後處理,這些規則本身一律會在 DNAT 規則之後處理,而不論規則集合群組或規則集合優先順序和原則繼承為何。
使用網路規則和應用程式規則的輸出連線能力
若您同時設定了網路規則與應用程式規則,則網路規則會依其優先順序,優先於應用程式規則套用。 此外,所有規則都會終止;因此,當在網路規則中找到相符項目後,就不會再繼續處理其他規則。
若無相符的網路規則,而且通訊協定是 HTTP、HTTPS 或 MSSQL,則封包會依據應用程式規則的優先順序進行評估。 針對 HTTP,Azure 防火牆會根據主機標頭尋找應用程式規則的相符項目,而針對 HTTPS,Azure 防火牆會根據伺服器名稱指示 (SNI) 尋找應用程式規則的相符項目。
使用 DNAT 規則和網路規則的輸入連線能力
您可以藉由設定 DNAT 來啟用輸入網際網路連線能力。 如先前所述,DNAT 規則會在網路規則之前優先套用。 找到相符項目時,會間接新增對應的網路規則來允許經過轉譯的流量。 基於安全性理由,建議的方法是新增特定的網際網路來源,以允許 DNAT 存取網路,並避免使用萬用字元。
應用程式規則不適用於輸入連線。 因此,若要篩選輸入 HTTP 或 HTTPS 流量,建議使用 Web 應用程式防火牆 (WAF)。
為了加強安全性,如果您修改規則以拒絕存取先前允許的流量,則會捨棄任何相關的現有工作階段。
部署和設定 Azure 防火牆
部署 Azure 防火牆時,請注意下列事項:
- 其可以橫跨訂閱和ain虛擬網路集中建立、 實施以及記錄應用程式和網路連線原則。
- Azure 防火牆會針對虛擬網路資源提供靜態公用 IP 位址。 這可讓外部防火牆識別來自您虛擬網路的流量。
- 其與 Azure 監視器完全整合,以進行記錄和分析。
- 建立防火牆規則時,建議使用 FQDN 標籤。
部署和設定 Azure 防火牆的主要階段如下:
- 建立資源群組
- 建立虛擬網路和子網路
- 在子網路中建立工作負載 VM
- 將防火牆和原則部署至虛擬網路
- 建立預設輸出路由
- 設定應用程式規則
- 設定網路規則
- 設定目的地 NAT (DNAT) 規則
- 測試防火牆
使用可用性區域部署 Azure 防火牆
Azure 防火牆的其中一個主要功能是可用性區域。
部署 Azure 防火牆時,您可以將其設為跨越多個可用性區域來提高可用性。 當以這種方式設定 Azure 防火牆時,可用性會增加到 99.99% 的執行時間。 選取兩個以上的可用性區域時,系統會提供 99.99% 執行時間 SLA。
您也可以使用服務標準 99.95% SLA ,將 Azure 防火牆關聯至特定區域。
如需詳細資訊,請參閱 Azure 防火牆服務等級協定 (SLA)。
針對部署在可用性區域中的防火牆並不會產生額外費用。 不過,與可用性區域建立關聯的輸入和輸出資料傳輸會增加成本。
如需詳細資訊,請參閱頻寬價格詳細資料。
Azure 防火牆可用性區域僅適用於支援可用性區域的區域。
可用性區域只能在防火牆部署期間進行設定。 您無法將現有的防火牆設為包含可用性區域。
使用可用性區域部署 Azure 防火牆的方法
您可以使用數種方法來部署使用可用性區域的 Azure 防火牆。
- Azure 入口網站
- Azure PowerShell - 請參閱使用 Azure PowerShell 部署具有可用性區域的 Azure 防火牆
- Azure Resource Manager 範本 - 請參閱快速入門:部署具備可用性區域的 Azure 防火牆 - Azure Resource Manager 範本