Azure 防火牆功能說明
Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 它是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端擴充性。
根據預設,Azure 防火牆會封鎖流量。
Azure 防火牆的功能包括
-
內建高可用性 -因為內建高可用性,所以不需要額外的負載平衡器,也不需要設定任何專案。
- 不受限制的雲端擴充性-Azure 防火牆可以依您的需要擴大規模,以適應變更的網路流量,因此您不需要為尖峰流量預算。
-
應用程式的完整功能變數名稱 (FQDN) 篩選規則 -您可以將輸出 HTTP/S 流量限制為指定的 fqdn 清單,包括萬用字元。 這項功能不需要 SSL 終止。
-
網路流量篩選規則 - 您可以依據來源和目的地 IP 位址、連接埠及通訊協定,集中建立「允許」或「拒絕」網路篩選規則。 Azure 防火牆是完全具狀態的,因此能夠分辨不同連線類型的合法封包。 規則會橫跨多個訂用帳戶和虛擬網路強制執行及記錄。
-
合格的網域標記 - (FQDN) 標記的完整功能變數名稱,可讓您更輕鬆地透過防火牆允許已知的 Azure 服務網路流量。 例如,假設您想要允許 Windows Update 網路流量通過您的防火牆。 您可以建立應用程式規則並包含 Windows Update 標籤。 來自 Windows Update 的網路流量現在就能通過您的防火牆。
-
輸出來源網路位址轉譯 (OSNAT) 支援-所有輸出虛擬網路流量 IP 位址都會轉譯為 Azure 防火牆的公用 IP。 您可以識別源自您虛擬網路的流量,並允許到遠端網際網路目的地。
-
輸入目的地網路位址轉譯 (DNAT) 支援 -對您防火牆公用 IP 位址的輸入網路流量,會轉譯並篩選至您虛擬網路上的私人 ip 位址。
-
Azure 監視器記錄 - 所有事件都會與 Azure 監視器整合,讓您可以將記錄封存至儲存體帳戶、將事件串流至事件中樞,或將其傳送至 Azure 監視器記錄。
將上述功能分組到邏輯群組,會顯示 Azure 防火牆有三個規則類型: NAT 規則、網路規則和應用程式規則。 規則的應用程式順序優先順序是先套用網路規則,然後套用應用程式規則。 規則正在終止,這表示如果在網路規則中找到相符項,則不會處理應用程式規則。 如果沒有符合的網路規則,而且如果封包通訊協定是 HTTP/HTTPS,則封包會由應用程式規則進行評估。 如果找不到相符項,則會根據基礎結構規則集合來評估封包。 如果仍然沒有相符的,則預設會拒絕封包。
NAT 規則
您可以設定輸入連線,方法是設定目的地網路位址轉譯 (DNAT) 如所述:使用 Azure 入口網站以 Azure 防火牆 DNAT 篩選輸入流量。 DNAT 規則會先套用。 如果找到相符項目,就會新增隱含的對應網路規則,以允許已轉譯的流量。 若要覆寫這個行為,您可以明確地使用符合已轉譯流量的拒絕規則來新增網路規則集合。 這些連線不會套用任何應用程式規則。
保護 Azure 儲存體的防火牆規則
Azure 儲存體提供多層式安全性模型,可讓您將儲存體帳戶保護至一組特定的支援網路。 設定網路規則時,只有透過一組特定網路發出要求資料的應用程式可以存取儲存體帳戶。
應用程式若在網路規則生效時存取儲存體帳戶,則要求上必須有適當的授權。 Azure AD blob 和佇列的認證、有效的帳戶存取金鑰或 SAS 權杖都支援授權。
根據預設,儲存體帳戶接受來自任何網路用戶端的連線。 若要限制對所選網路的存取,您必須先變更預設動作。 變更網路規則會影響應用程式連接到 Azure 儲存體的能力。 將預設的網路規則設定為 [拒絕] 會封鎖所有資料存取,除非也套用授與存取權的特定網路規則。 請務必先將存取權授與任何使用網路規則的允許網路,再變更預設規則以拒絕存取。
授與虛擬網路存取權
您可以將儲存體帳戶設定為只允許從特定 Vnet 進行存取。
您可以為 VNet 內的 Azure 儲存體啟用服務端點。 此端點為流量提供一個到 Azure 儲存體服務的最佳路由。 虛擬網路和子網路的身分識別也會隨著每項要求傳輸。 系統管理員接著可以設定儲存體帳戶的網路規則,允許接收來自 VNet 中特定子網路的要求。 透過這些網路規則授與存取的用戶端,必須仍要繼續符合儲存體帳戶的授權需求,才能存取資料。
每個儲存體帳戶最多可支援100個虛擬網路規則,這些規則可能會與 IP 網路規則結合。
控制輸出和連入網路存取是整體網路安全性計畫的重要部分。 當您將網路流量路由傳送至防火牆作為預設閘道時,網路流量會受限於設定的防火牆規則。