网络安全和包含功能

本文列出了有助于处理网络流量和包含的功能。

适用于 SaaS、PaaS 和 IaaS 应用的功能


功能 说明 更多信息
Azure ExpressRoute 使用 Azure ExpressRoute 在 Azure 数据中心和位于本地或场地租用环境中的基础结构之间创建专用连接。 ExpressRoute 连接并不经过公共 Internet。与典型的 Internet 连接相比,它的可靠性更高、速度更快且延迟更低。 Azure ExpressRoute

适用于 Office 365 的 Azure ExpressRoute

适用于 PaaS 和 IaaS 应用的功能


功能 说明 更多信息
Azure 应用程序网关 Azure 应用程序网关是一种 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 传统负载均衡器在传输层(OSI 层 4 - TCP 和 UDP)进行操作,并基于源 IP 地址和端口将流量路由到目标 IP 地址和端口。 使用应用程序网关时,可以根据 HTTP 请求的其他属性(例如 URI 路径或主机标头)进行路由决策。 什么是 Azure 应用程序网关?
Azure 流量管理器 Azure 流量管理器是一种基于 DNS 的流量负载均衡器,可以在全球 Azure 区域内以最佳方式向服务分发流量,同时提供高可用性和响应性。 流量管理器根据流量路由方法和终结点的运行状况,使用 DNS 将客户端请求定向到最合适的服务终结点。 什么是流量管理器?

适用于 IaaS 应用的其他功能


功能 说明 更多信息
Azure 虚拟网络 Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基本构建块。 VNet 允许许多类型的 Azure 资源(例如 Azure 虚拟机 (VM))以安全方式彼此通信、与 Internet 通信,以及与本地网络通信。 VNet 类似于在你在自己的数据中心运营的传统网络,但附带了 Azure 基础设施的其他优势,例如可伸缩性、可用性和隔离性。

创建 VNet 时,需要配置以下元素:地址空间、子网、区域和订阅。
什么是 Azure 虚拟网络?

虚拟网络文档
点到站点虚拟专用网络 (VPN) 和站点到站点 VPN 可以使用以下 VPN 选项的任意组合和 Azure ExpressRoute,将本地计算机和网络连接到虚拟网络: 点到站点 VPN

站点到站点 VPN
安全组和网络虚拟设备 可使用以下两个选项中任意一个或同时使用这两个选项筛选子网之间的网络流量。

网络安全组和应用程序安全组可包含多个入站和出站安全规则,通过这些规则可按源和目标 IP 地址、端口和协议筛选出入资源的流量。

虚拟网络设备是可执行网络功能(例如防火墙、WAN 优化等)的 VM。
网络安全组

应用程序安全组

网络虚拟设备(Azure 市场
路由表和边界网关协议 (BGP) 路由 默认情况下,Azure 在子网、连接的虚拟网络、本地网络以及 Internet 之间路由流量。 可使用以下两个选项中任意一个或同时使用二者替代 Azure 创建的默认路由。 路由表

关于 Azure VPN 网关的 BGP
Azure DDoS 防护 Azure DDoS 保护与应用程序设计最佳做法相结合,可提供针对 DDoS 攻击的防御。

Azure DDoS 防护基本版自动作为 Azure 平台的一部分启用,可以实时缓解常见的网络级别攻击。

DDoS 防护标准版提供专门针对 Azure 虚拟网络资源优化的其他缓解功能。 DDoS 防护标准版可缓解以下攻击类型:容量耗尽攻击、协议攻击和资源(应用程序)层攻击。
Azure DDoS 保护标准概述
Azure 防火墙 用于保护 Azure 虚拟网络资源的云原生网络安全。 Azure 防火墙

后续步骤

有关 Microsoft 的其他安全指导,请参阅 Microsoft 安全文档