Azure 防火牆是什麼?
在此,您將了解 Azure 防火牆和 Azure 防火牆管理員的基本概念。 此概觀應可協助您判定 Azure 防火牆和 Azure 防火牆管理員是否可妥善用於 Contoso 的網路安全性策略。
Azure 防火牆概觀
Azure 防火牆是一種雲端式安全性服務,可保護您的 Azure 虛擬網路資源免於遭受連入和連出威脅。 在接下來的幾節中,您將了解 Azure 防火牆的基本概念和主要功能。
什麼是防火牆?
防火牆是一項網路安全性功能,位於受信任的網路和不受信任的網路 (例如網際網路) 之間。 防火牆的工作是分析所有連入和連出網路流量。 根據該分析,防火牆會允許流量通過,或是拒絕流量。 在理想情況下,防火牆會允許所有合法的流量,同時拒絕惡意流量,例如惡意程式碼和入侵嘗試。
根據預設,大部分的防火牆都會拒絕所有連入和連出流量。 防火牆在分析網路流量時,會先確認符合特定條件,然後才允許流量通過。 這些條件可以是指定的 IP 位址、FQDN、網路連接埠、網路通訊協定或任意組合。
這些條件的組合將定義防火牆規則。 防火牆可能只有單一規則,但大部分的防火牆都設有許多規則。 只有符合防火牆規則條件的網路流量,才能夠通過。
有些防火牆是以硬體為基礎的,且位於建立作為防火牆的裝置內。 其他防火牆則是在一般用途的計算裝置上執行的軟體程式。
Azure 防火牆是什麼?
Azure 防火牆是一項雲端式防火牆服務。 在大部分的設定中,Azure 防火牆會佈建於中樞虛擬網路內。 進出於輪輻虛擬網路和內部部署網路的流量,會透過中樞網路來通過防火牆。
預設拒絕所有進出網際網路的流量。 流量必須通過各種測試 (例如已設定的防火牆規則),才會獲得允許。
注意
Azure 防火牆不僅適用於進出網際網路的流量,也適用於內部。 內部流量篩選包括您的內部部署網路與 Azure 虛擬網路之間的輪輻對輪輻流量與混合式雲端流量。
Azure 防火牆標準版的主要功能
下表列出 Azure 防火牆標準版的主要功能。
| 功能 | 描述 |
|---|---|
| 來源網路位址轉譯 (SNAT) | 所有輸出流量都會傳送至 Azure 防火牆執行個體的私人 IP 位址。 每個來源虛擬機器的 IP 位址都會轉譯為 Azure 防火牆執行個體的靜態公用 IP 位址。 就所有外部目的地而言,您的網路流量似乎都來自單一公用 IP 位址。 |
| 目的地網路位址轉譯 (DNAT) | 來自外部來源的所有輸入流量,都會傳送至 Azure 防火牆執行個體的公用 IP 位址。 允許的流量會轉譯為您的虛擬網路上目的地資源的私人 IP 位址。 |
| 應用程式規則 | 將輸出流量限定為所列 FQDN 的規則。 例如,您可以允許輸出流量存取指定的 SQL 資料庫執行個體的 FQDN。 |
| 網路規則 | 以網路參數為基礎的傳入和傳出流量的規則。 這些參數包括目的地或來源 IP 位址、網路連接埠,以及網路通訊協定。 |
| 威脅情報 | 根據 Microsoft 威脅情報規則篩選傳入和傳出流量,以定義已知的惡意 IP 位址和網域名稱。 您可以使用兩種威脅情報模式之一種來設定 Azure 防火牆:在流量未通過威脅情報規則時警示您,或發出警示並拒絕流量。 |
| 可設定狀態 | 檢查內容中的網路封包,而不只是個別檢查。 如果有一或多個封包非預期地送達指定的現行流量,Azure 防火牆會將這些封包視為惡意封包,並加以拒絕。 |
| 已強制進行通道作業 | 可讓 Azure 防火牆將所有的輸出流量路由至指定的網路資源,而不是直接路由至網際網路。 網路資源可能是內部部署硬體防火牆或網路虛擬設備,會先處理流量再決定是否允許流量通往網際網路。 |
| 標籤支援 | Azure 防火牆支援服務標籤和 FQDN 標籤,讓您能夠輕鬆設定規則。 服務標籤是代表 Azure 服務的文字實體。 例如,AzureCosmosDB 是 Azure Cosmos DB 服務的服務標籤。 FQDN 標籤是一個文字實體,代表與熱門 Microsoft 服務相關聯的一組網域名稱。 例如,WindowsVirtualDesktop 是 Azure 虛擬桌面流量的 FQDN 標籤。 |
| DNS Proxy | 啟用 DNS Proxy 後,Azure 防火牆可以處理來自虛擬網路的 DNS 查詢,並將其轉送至所需的 DNS 伺服器。 |
| 自訂 DNS | 可讓您將 Azure 防火牆設定為使用自己的 DNS 伺服器,同時確保防火牆輸出相依性仍會透過 Azure DNS 解析。 |
| Web 類別 | Web 類別功能可讓管理員允許或拒絕使用者對某些網站類別 (例如賭博網站、社交媒體網站等) 的存取。 |
| 監視 | Azure 防火牆會記錄所有的連入和連出網路流量,而您可以使用 Azure 監視器、Power BI、Excel 和其他工具來分析產生的記錄。 |
什麼是 Azure 防火牆進階版?
Azure 防火牆進階版提供進階威脅防護,其可滿足高度敏感性和受管制環境的需求,例如付款和醫療保健產業。
Azure 防火牆進階版的主要功能
下表列出 Azure 防火牆進階版的主要功能。
| 功能 | 描述 |
|---|---|
| TLS 檢查 | 解密輸出流量、處理資料,然後加密資料並將其傳送至目的地。 |
| IDPS | 網路入侵偵測和防護系統 (IDPS) 可讓您監視網路活動是否有惡意活動、記錄此活動的相關資訊、回報,以及選擇性地嘗試將其封鎖。 |
| URL 篩選 | 擴大 Azure 防火牆的 FQDN 篩選功能以考慮整個 URL。 例如,www.contoso.com/a/c 而不是 www.contoso.com。 |
| Web 類別 | 管理員可以允許或拒絕使用者存取某些網站類別,例如賭博網站、社交媒體網站和其他。 在 Azure 防火牆進階版中,可進一步微調 Web 類別。 |
什麼是 Azure 防火牆基本版?
Azure 防火牆基本版適用於中小型 (SMB) 客戶,可保護其 Azure 雲端環境。 它以實惠的價格為提供 SMB 客戶所需的基本保護。
Azure 防火牆基本版類似於防火牆標準版,但有下列主要限制:
- 僅支援威脅情報警示模式。
- 在兩個虛擬機器後端執行個體上執行服務的固定縮放單位。
- 建議用於預估輸送量為 250 Mbps 的環境。
Azure 防火牆管理員概觀
Azure 防火牆管理員提供用來設定和管理多個 Azure 防火牆執行個體的中心點。 Azure 防火牆管理員可讓您建立一或多個防火牆原則,並將其快速套用至多個防火牆。
什麼是防火牆原則?
單一 Azure 防火牆的設定可能會很複雜。 例如,防火牆可能會設有多個規則集合。 集合是下列任何或所有項目的組合:
- 一或多個網路位址轉譯 (NAT) 規則
- 一或多個網路規則
- 一或多個網路應用程式規則
如果您納入了其他防火牆設定 (例如自訂 DNS 和威脅情報規則),僅設定單一防火牆可能會是一種負擔。 以下兩種常見的網路安全性案例,會加重此一負擔:
- 您的網路架構需要多個防火牆。
- 您希望每個防火牆不僅實作基本層級、適用於所有人的安全性規則,同時也針對指定的群組 (例如開發人員、資料庫使用者和行銷部門) 施行特殊規則。
為了簡化管理這些和類似防火牆案例的複雜性,您可以實作防火牆原則。 防火牆原則是一種 Azure 資源,其中包含一或多個 NAT、網路和應用程式規則集合。 其也包含自訂 DNS 設定、威脅情報設定等等。
重點是 Azure 提供名為「防火牆原則」的資源。 您建立的防火牆原則,是該資源的執行個體。 您可以使用 Azure 防火牆管理員,將原則視為個別資源快速套用至多個防火牆。 您可以建立一個原則作為基本原則,然後讓更為特殊化的原則繼承基本原則的規則。
Azure 防火牆管理員的主要功能
下表列出 Azure 防火牆管理員的主要功能。
| 功能 | 描述 |
|---|---|
| 集中式管理 | 管理您整個網路上的所有防火牆設定。 |
| 管理多個防火牆 | 從單一介面部署、設定及監視任意數目的防火牆。 |
| 支援多個網路架構 | 同時保護標準 Azure 虛擬網路和 Azure 虛擬 WAN 中樞。 |
| 自動化流量路由 | 網路流量會自動路由至防火牆 (僅限與 Azure 虛擬 WAN 中樞搭配使用時)。 |
| 階層式原則 | 可讓您建立所謂的父代和子系防火牆原則。 父原則包含您想要全域套用的規則和設定。 子原則會繼承其父系的所有規則和設定。 |
| 支援第三方安全性提供者 | 可讓您整合第三方安全性即服務 (SECaaS) 解決方案,以保護網路的網際網路連線。 |
| DDoS 保護計劃 | 您可以將您的虛擬網路與 Azure 防火牆管理員內的 DDoS 保護計劃建立關聯。 |
| 管理 Web 應用程式防火牆原則 | 您可以集中建立和關聯您的應用程式傳遞平台的 Web 應用程式防火牆 (WAF) 原則,包括 Azure Front Door 和 Azure 應用程式閘道。 |
注意
藉由讓您整合第三方 SECaaS 解決方案,您的網路安全性策略可能是使用 Azure 防火牆來監視區域網路流量,同時使用第三方 SECaaS 提供者來監視網際網路流量。
結構選項
Azure 防火牆管理員針對以下兩種網路架構提供了安全性管理功能:
- 中樞虛擬網路。 已套用一或多個防火牆原則的標準 Azure 虛擬網路。
- 安全的虛擬中樞。 已套用一或多個防火牆原則的 Azure 虛擬 WAN 中樞。