Azure 防火牆 基本功能

  • 發行項

Azure 防火牆 Basic 是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網絡 資源。

Diagram showing Firewall Basic.

Azure 防火牆 Basic 包含下列功能:

  • 內建高可用性
  • 可用性區域
  • 應用程式 FQDN 篩選規則
  • 網路流量篩選規則
  • FQDN 標籤
  • 服務標籤
  • 警示模式中的威脅情報
  • 輸出 SNAT 支援
  • 輸入 DNAT 支援
  • 多個公用 IP 位址
  • Azure 監視器記錄
  • 認證

若要比較所有防火牆 SKU 的 Azure 防火牆 功能,請參閱選擇正確的 Azure 防火牆 SKU 以符合您的需求

內建高可用性

高可用性是內建的,因此不需要額外的負載平衡器,而且您不需要進行設定。

可用性區域

您可以在部署期間設定 Azure 防火牆,以跨越多個 可用性區域 以提高可用性。 您也可以將 Azure 防火牆 關聯至特定區域,因為鄰近性原因。 如需可用性的詳細資訊,請參閱 Azure 防火牆 服務等級協定 (SLA)

部署在多個可用性區域中的防火牆不需要額外費用。 不過,與可用性區域建立關聯的輸入和輸出資料傳輸會增加成本。 如需詳細資訊,請參閱頻寬價格詳細資料

Azure 防火牆 可用性區域 適用於支援 可用性區域 的區域。 如需詳細資訊,請參閱支援 Azure 中 可用性區域 的區域。

應用程式 FQDN 篩選規則

您可以將輸出 HTTP/S 流量或 Azure SQL 流量限制為包含萬用字元的特殊完整網域名稱 (FQDN) 清單。 此功能不需要 TLS 終止。

下列影片示範如何建立應用程式規則:

網路流量篩選規則

您可以依據來源和目的地 IP 位址、連接埠及通訊協定,集中建立允許或拒絕網路篩選規則。 Azure 防火牆是完全具狀態的,因此能夠分辨不同連線類型的合法封包。 規則會橫跨多個訂用帳戶和虛擬網路強制執行及記錄。

Azure 防火牆 支援第 3 層和第 4 層網路協定的具狀態篩選。 選取 [網路規則中的任何通訊協定],然後選取埠的通配符 * ,即可篩選第 3 層 IP 通訊協定。

FQDN 標籤

FQDN 標籤 可讓您輕鬆地允許已知的 Azure 服務網路流量通過防火牆。 舉例來說,當您要允許 Windows Update 網路流量通過防火牆時。 您可以建立應用程式規則,並包含 Windows Update 標籤。 現在,來自 Windows Update 的網路流量就能通過您的防火牆。

服務標籤

服務標籤代表一組IP位址前綴,以協助將安全性規則建立的複雜度降到最低。 您無法建立自己的服務標籤,也無法指定標籤中包含哪些IP位址。 Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。

威脅情報

您可以為您的防火牆啟用威脅情報型篩選 ,以警示來自已知惡意IP位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。

輸出 SNAT 支援

所有輸出虛擬網路流量 IP 位址都會轉譯為 Azure 防火牆 公用IP(來源網路位址轉譯)。 您可以識別並允許從您的虛擬網路到遠端網際網路目的地的流量。 當目的地 IP 是每個私人 IP 範圍時,Azure 防火牆 不會 SNATIANA RFC 1918

如果您的組織針對專用網使用公用IP位址範圍,Azure 防火牆會將流量 SNAT 傳送至 AzureFirewallSubnet 中的其中一個防火牆私人IP位址。 您可以將 Azure 防火牆 設定為非 SNAT 公用 IP 位址範圍。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人IP位址範圍

您可以在 Azure 防火牆 計量中監視 SNAT 連接埠使用率。 在防火牆記錄和計量檔中深入瞭解並查看 SNAT 埠使用率的建議。

如需 Azure 防火牆 NAT 行為的詳細資訊,請參閱 Azure 防火牆 NAT 行為

輸入 DNAT 支援

防火牆公用IP位址的輸入因特網網路流量會轉譯(目的地網路位址轉譯),並篩選為虛擬網路上的私人IP位址。

多個公用 IP 位址

您可以將多個公用IP位址與您的防火牆產生關聯

這可啟用下列案例:

  • DNAT - 您可以將多個標準埠實例轉譯至後端伺服器。 例如,如果您有兩個公用 IP 位址,您可以為這兩個 IP 位址轉譯 TCP 通訊埠 3389 (RDP)。
  • SNAT - 輸出 SNAT 連線可使用更多埠,以減少 SNAT 連接埠耗盡的可能性。 目前,Azure 防火牆 隨機選取要用於連線的來源公用IP位址。 如果您的網路上有任何下游篩選,則您必須允許與防火牆相關聯的所有公用 IP 位址。 請考慮使用 公用IP位址前綴 來簡化此設定。

Azure 監視器記錄

所有事件都與 Azure 監視器整合,可讓您將記錄封存到記憶體帳戶、將事件串流至事件中樞,或將它們傳送至 Azure 監視器記錄。 如需 Azure 監視器記錄範例,請參閱適用於 Azure 防火牆 的 Azure 監視器記錄。

如需詳細資訊,請參閱教學課程:監視 Azure 防火牆 記錄和計量

Azure 防火牆 活頁簿提供彈性的畫布來 Azure 防火牆 數據分析。 您可以使用它,在 Azure 入口網站 內建立豐富的視覺效果報表。 如需詳細資訊,請參閱使用 Azure 防火牆 活頁簿監視記錄。

認證

Azure 防火牆 是支付卡產業(PCI)、服務組織控制(SOC),以及符合國際標準化組織(ISO)規範。 如需詳細資訊,請參閱 Azure 防火牆 合規性認證