Azure 防火牆的運作方式

  • 10 分鐘

您已熟悉 Azure 防火牆和 Azure 防火牆管理員的基本功能。 接下來,我們將查看這些技術的運作情形,以提供 Azure 資源的安全性。 這項資訊可協助您評估,對 Contoso 網路安全性策略而言,Azure 防火牆是否為適用的工具。

Azure 防火牆如何保護 Azure 虛擬網路

若要了解 Azure 防火牆如何保護您的虛擬網路,需了解任何 Azure 防火牆部署都有兩個主要特性:

  • 防火牆執行個體具有公用 IP 位址,所有輸入流量都會傳送到該處。
  • 防火牆執行個體具有私人 IP 位址,所有輸出流量都會傳送到該處。

也就是說,所有流量 (輸入和輸出) 都會通過防火牆。 根據預設,防火牆對於所有存取一概拒絕。 您的工作是使用允許流量通過防火牆的條件,來設定防火牆。 每個條件分別是一項規則,而每個規則將會對資料套用一或多項檢查。 只有通過所有防火牆規則的流量,才准予通行。

Azure 防火牆管理網路流量的方式,取決於流量的來源位置:

  • 對於允許的輸入流量,Azure 防火牆會使用 DNAT,將防火牆的公用 IP 位址轉譯為虛擬網路中適當目的地資源的私人 IP 位址。
  • 對於允許的輸出流量,Azure 防火牆會使用 SNAT 將來源 IP 位址轉譯為防火牆的公用 IP 位址。

注意

只有在目的地 IP 位址位於您的虛擬網路以外時,Azure 防火牆才會使用 SNAT。 如果目的地 IP 位址是來自您虛擬網路的私人位址空間,Azure 防火牆就不會對流量使用 SNAT。

Azure 防火牆適用於虛擬網路的情況

為了讓 Azure 防火牆能有效執行其工作,您必須在您要保護的受信任網路與具有潛在威脅而不受信任的網路之間,將該防火牆設定為屏障。 最常見的情況是,您將 Azure 防火牆部署為 Azure 虛擬網路與網際網路之間的屏障。

使用具有下列特性的中樞和輪輻網路拓撲,最適合部署 Azure 防火牆:

  • 作為中央連接點的虛擬網路。 此網路是中樞虛擬網路
  • 對等互連至中樞的一或多個虛擬網路。 這些對等是輪輻虛擬網路,可用來佈建工作負載伺服器。

您可以在中樞虛擬網路的子網路中部署防火牆執行個體,然後設定所有要通過防火牆的輸入和輸出流量。

使用下列一般步驟,設定 Azure 防火牆的執行個體:

  1. 建立中樞虛擬網路,並使其包含用於防火牆部署的子網路。
  2. 建立輪輻虛擬網路及其子網路和伺服器。
  3. 對等互連中樞與輪輻網路。
  4. 將防火牆部署至中樞的子網路。
  5. 為輸出流量建立預設路由,將來自所有子網路的流量傳送至防火牆的私人 IP 位址。
  6. 為防火牆設定篩選輸入和輸出流量的規則。

Azure 防火牆規則類型

下表說明您可以為 Azure 防火牆建立的三種規則類型。

規則類型 描述
NAT 根據您防火牆的公用 IP 位址和指定的連接埠號碼,轉譯和篩選輸入網際網路流量。 例如,若要啟用對虛擬機器的遠端桌面連線,您可以使用 NAT 規則,將防火牆的公用 IP 位址和連接埠 3389 轉譯為虛擬機器的私人 IP 位址。
應用程式 根據 FQDN 篩選流量。 例如,您可以使用應用程式規則,允許輸出流量使用 FQDN server10.database.windows.net 存取 Azure SQL Database 執行個體。
網路 根據下列三個網路參數中的一或多個來篩選流量:IP 位址、連接埠和通訊協定。 例如,您可以使用網路規則,允許輸出流量使用連接埠 53 在指定的 IP 位址存取特定 DNS 伺服器。

Network diagram of an external computer requesting a remote desktop connection with a virtual machine. It shows Azure Firewall translating its public IP address to the virtual machine's private IP address.

重要

Azure 防火牆會依優先順序套用規則。 以威脅情報為基礎的規則一律會獲得最高的優先順序,且會先進行處理。 其後將會依類型套用規則:依序為 NAT 規則、網路規則、應用程式規則。 在每個類型中,會根據您在建立規則時指派的優先順序值 (從最低值到最高值) 來處理規則。

Azure 防火牆部署選項

Azure 防火牆提供了許多可讓您更輕鬆地建立和管理規則的功能。 下表摘要說明這些功能。

功能 描述
FQDN 主機的網域名稱,或是一或多個 IP 位址。 將 FQDN 新增至應用程式規則,可允許存取該網域。 在應用程式規則中使用 FQDN 時,您可以使用萬用字元,例如 *.google.com。
FQDN 標籤 一組知名的 Microsoft FQDN。 將 FQDN 標籤新增至應用程式規則,可允許對標籤的 FQDN 進行輸出存取。 Windows Update、Azure 虛擬桌面、Windows 診斷、Azure 備份等項目都有 FQDN 標籤。 Microsoft 會管理 FQDN 標籤,而且無法修改或建立它們。
服務標籤 一組與特定 Azure 服務相關的 IP 位址首碼。 將服務標籤新增至網路規則,可允許存取標籤所代表的服務。 有數十項 Azure 服務具有服務標籤,包括 Azure 備份、Azure Cosmos DB、Logic Apps 等等。 Microsoft 會管理服務標籤,而且無法修改或建立它們。
IP 群組 一組 IP 位址,例如 10.2.0.0/16 或 10.1.0.0-10.1.0.31。 您可以使用 IP 群組作為 NAT 或應用程式規則中的來源位址,或作為網路規則中的來源或目的地位址。
自訂 DNS 將網域名稱解析為 IP 位址的自訂 DNS 伺服器。 如果您使用自訂 DNS 伺服器,而不是 Azure DNS,您也必須將 Azure 防火牆設定為 DNS Proxy。
DNS Proxy 您可以設定 Azure 防火牆以作為 DNS Proxy,這表示所有用戶端 DNS 要求都會通過防火牆,然後再移至 DNS 伺服器。