Azure Well-Architected Framework 檢閱 - Azure 防火牆
本文提供 Azure 防火牆的架構建議。 本指南是以架構卓越五大要素為基礎:
- 可靠性
- 安全性
- 成本最佳化
- 卓越營運
- 效能效率
我們假設您具備 Azure 防火牆 的工作知識,並熟悉其功能。 如需詳細資訊,請參閱 Azure 防火牆 概觀。
必要條件
- 瞭解 Azure Well-Architected Framework 要素有助於產生高品質、穩定且有效率的雲端架構。 使用 妥善架構架構的架構檢閱評估來檢閱 您的工作負載。
- 使用參考架構,根據本文所提供的指引來檢閱考慮。 從 具有 PaaS 數據存放區私人連線能力的網路強化 Web 應用程式 開始,並 實作安全的混合式網路。
可靠性
若要瞭解 Azure 防火牆 如何可靠地支援工作負載,請參閱下列文章:
設計檢查清單
當您為 Azure 防火牆 做出設計選擇時,請檢閱可靠性的設計原則。
- 在中樞虛擬網路中部署 Azure 防火牆,或作為 Azure Virtual WAN 中樞的一部分。
- 利用 可用性區域 復原功能。
- 建立 Azure 防火牆 原則結構。
- 檢閱已知問題清單。
- 監視 Azure 防火牆 健全狀況狀態。
注意
傳統中樞 & 輪輻模型與 Virtual WAN 受管理的安全中樞之間網路服務的可用性有差異。 例如,在 Virtual WAN 中樞中,Azure 防火牆 公用IP無法取自公用IP前綴,而且無法啟用 DDoS 保護。 選取其中一個或其他模型時,必須考慮 Well-Architected Framework 所有五個要素的需求。
建議
探索下列建議表格,以優化 Azure 防火牆 設定的可靠性。
| 建議 | 優點 |
|---|---|
| 使用 Azure 防火牆 管理員搭配傳統中樞 & 輪輻或 Azure Virtual WAN 網路拓撲來部署和管理 Azure 防火牆 的實例。 | 使用原生安全性服務輕鬆建立中樞和輪輻和可轉移架構,以進行流量控管和保護。 如需網路拓撲的詳細資訊,請參閱 Azure 雲端採用架構 檔。 |
| 建立 Azure 防火牆 原則,以控管全球網路環境的安全性狀態。 將原則指派給 Azure 防火牆 的所有實例。 | Azure 防火牆 原則可以排列在階層式結構中,以重疊中央基底原則。 允許細微的原則符合特定區域的需求。 透過角色型訪問控制將累加式防火牆原則委派給本機安全性小組, (RBAC) 。 某些設定是每個實例的特定設定,例如DNAT規則和 DNS 設定,則可能需要多個特製化原則。 |
| 將 Azure 防火牆 傳統規則移轉至現有部署 Azure 防火牆 管理員原則。 | 針對現有的部署,請將 Azure 防火牆 規則移轉至 Azure 防火牆 Manager 原則。 使用 Azure 防火牆 管理員集中管理防火牆和原則。 如需詳細資訊,請參閱移轉至 Azure 防火牆 Premium。 |
| 檢閱已知問題 Azure 防火牆 清單。 | Azure 防火牆產品群組會在此位置維護已知問題的更新清單。 此清單包含與設計行為相關的重要資訊、建構下的修正、平臺限制,以及可能的因應措施或風險降低。 |
| 請確定您的 Azure 防火牆 原則遵守 Azure 防火牆 限制和建議。 | 原則結構有限制,包括規則和規則集合群組的數目、原則大小總計、來源/目標目的地。 請務必撰寫您的原則,並停留 在記載的臨界值後面。 |
| 在多個可用性區域中部署 Azure 防火牆,以取得較高的服務等級協定 (SLA) 。 | Azure 防火牆 在單一可用性區域中部署 SLA 時,以及部署在多個區域中時提供不同的 SLA。 如需詳細資訊,請參閱 Azure 防火牆 SLA。 如需所有 Azure SLA 的相關信息,請參閱 Azure 服務的 SLA 摘要。 |
| 在多區域環境中,為每個區域部署 Azure 防火牆 實例。 | 對於傳統中樞 & 輪輻架構,本文將說明多區域的詳細 數據。 若要 (Azure Virtual WAN) 的安全虛擬中樞,必須將路由意圖和原則設定為保護中樞與分支間通訊的安全。 針對設計為可抵禦失敗和容錯的工作負載,請記得考慮 Azure 防火牆 和 Azure 虛擬網路 實例作為區域資源。 |
| 監視計量和資源健康狀態 狀態 Azure 防火牆。 | 密切監視 Azure 防火牆 健全狀況狀態的重要計量指標,例如輸送量、防火牆健全狀況狀態、SNAT 埠使用率和 AZFW 延遲探查計量。 此外,Azure 防火牆 現在會與 Azure 資源健康狀態 整合。 使用 Azure 防火牆 資源健康狀態 檢查,您現在可以檢視 Azure 防火牆 的健康情況狀態,並解決可能會影響 Azure 防火牆 資源的服務問題。 |
Azure Advisor 協助您確保及改善商務關鍵性應用程式的持續性。 檢閱 Azure Advisor 建議。
安全性
安全性是任何架構中最重要的其中一個層面。 Azure 防火牆 是智慧型手機防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。
設計檢查清單
當您為 Azure 防火牆 做出設計選擇時,請檢閱安全性的設計原則。
- 判斷您是否需要 強制通道。
- 根據最低許可權存取準則建立原則的規則。
- 利用 威脅情報。
- 啟用 Azure 防火牆 DNS Proxy。
- 透過 Azure 防火牆 直接網路流量。
- 判斷您是否要使用第三方安全性即服務, (SECaaS) 提供者。
- 使用 DDoS 保護您的 Azure 防火牆 公用 IP 位址。
建議
探索下列建議表格,以將安全性 Azure 防火牆 設定優化。
| 建議 | 優點 |
|---|---|
| 如果需要將所有因特網系結流量路由傳送至指定的下一個躍點,而不是直接前往因特網,請在強制通道模式中設定 Azure 防火牆, (不適用於 Azure Virtual WAN) 。 | 「Azure 防火牆」必須能夠直接連線到網際網路。 如果您的 AzureFirewallSubnet 透過邊界閘道通訊協定學習到內部部署網路的預設路由,您必須在強制通道模式中設定 Azure 防火牆。 使用強制通道功能,您將需要 Azure 防火牆 管理子網的另一個 /26 位址空間。 您必須將它命名為 AzureFirewallManagementSubnet。 如果這是無法在強制通道模式中重新設定的現有 Azure 防火牆 實例,請建立具有 0.0.0.0/0 路由的 UDR。 將 NextHopType 值設定為 因特網。 將它與 AzureFirewallSubnet 建立關聯,以維護因特網連線。 |
| 當您在強制通道模式中設定 Azure 防火牆 時,請將公用IP位址設定為 [無] 以部署完全私人數據平面, (不適用於 Azure Virtual WAN) 。 | 當您部署新的 Azure 防火牆 實例時,如果啟用強制通道模式,您可以將公用 IP 位址設定為 [無] 以部署完全私人數據平面。 不過,管理平面仍需要公用IP才能用於管理用途。 來自虛擬和內部部署網路的內部流量不會使用該公用IP。 如需強制通道的詳細資訊,請參閱 Azure 防火牆 強制通道。 |
| 根據最低許可權存取準則建立防火牆原則的規則。 | Azure 防火牆 原則可以排列在階層式結構中,以重疊中央基底原則。 允許細微的原則符合特定區域的需求。 每個原則都可以包含具有特定優先順序、動作和處理順序的不同DNAT、網路和應用程式規則集。 根據最低許可權存取 零信任 原則建立規則。 本文說明如何處理規則。 |
| 在警示和拒絕模式中啟用 Azure 防火牆 威脅情報。 | 您可為防火牆啟用威脅情報篩選,以警示並拒絕來自或傳向未知 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 Intelligent Security Graph 提供 Microsoft 威脅情報,並由多個服務使用,包括雲端 Microsoft Defender。 |
| 在警示或警示和拒絕模式中啟用IDPS。 | IDPS 是其中一個最強大的 Azure 防火牆 (Premium) 安全性功能,應該啟用。 根據安全性和應用程式需求,並考慮效能影響 (請參閱下列) 、 警示 或 警示和拒絕 模式下方的成本一節。 |
| 啟用 Azure 防火牆 (DNS) Proxy 組態。 | 啟用此功能會將 VNet 中的用戶端指向 Azure 防火牆 做為 DNS 伺服器。 它會保護不會直接存取和公開的內部 DNS 基礎結構。 Azure 防火牆 也必須設定為使用將用來轉送 DNS 查詢的自定義 DNS。 |
| 設定使用者定義路由 (UDR) ,以強制流量通過 Azure 防火牆。 | 在傳統的中樞 & 輪輻架構中,設定 UDR 以強制流量通過 、 SpoketoInternet和 SpoketoHybrid 連線 Azure 防火牆SpoketoSpoke。 相反地,在 Azure Virtual WAN 中,設定路由意圖和原則,以透過整合至中樞的 Azure 防火牆 實例重新導向私人和/或因特網流量。 |
| 限制直接系結至 虛擬機器 的公用IP位址使用量 | 為了避免流量略過防火牆,應限制公用IP位址與VM網路介面的關聯。 在 Azure 雲端採用架構 (CAF) 模型中,特定 Azure 原則 會指派給 CORP 管理群組。 |
| 如果無法套用 UDR,而且只需要 Web 流量重新導向,請考慮使用 Azure 防火牆 作為明確 Proxy | 在輸出路徑上啟用明確 Proxy 功能時,您可以在傳送的 Web (應用程式上設定 Proxy 設定,例如網頁瀏覽器) ,Azure 防火牆 設定為 Proxy。 因此,Web 流量會到達防火牆的私人IP位址,因此會直接從防火牆輸出,而不需使用UDR。 這項功能也有助於使用多個防火牆,而不需要修改現有的網路路由。 |
| 如果您想要使用這些解決方案來保護輸出連線,請設定支援的第三方軟體即服務 (SaaS) 安全性提供者。 | 您可以使用熟悉、最簡潔、 第三方 SECaaS 供應 專案來保護使用者的因特網存取。 此案例需要 Azure Virtual WAN 中樞內的 S2S VPN 閘道,因為它使用 IPSec 通道來連線到提供者的基礎結構。 SECaaS 提供者可能會收取額外的授權費用,並限制IPSec線上的輸送量。 ZScaler Cloud Connector 之類的替代解決方案存在,可能更適合。 |
| 在網路規則中使用完整功能變數名稱 (FQDN) 篩選。 | 您可以根據 Azure 防火牆 和防火牆原則中的 DNS 解析使用 FQDN。 這項功能可讓您使用 TCP/UDP 通訊協定 (包含 NTP、SSH、RDP 等) 來篩選輸出流量。 您必須啟用 Azure 防火牆 DNS Proxy 設定,才能在網路規則中使用 FQDN。 若要瞭解其運作方式,請參閱網路規則中的 Azure 防火牆 FQDN 篩選。 |
| 使用網路規則中的 服務標籤 來啟用特定 Microsoft 服務的選擇性存取。 | 服務標籤表示一組 IP 位址前置詞,有助於降低建立安全性規則的複雜性。 在網路規則中使用服務標籤,可以啟用 Azure、Dynamics 和 Office 365 中特定服務的輸出存取,而不需開啟各種不同的 IP 位址。 Azure 會自動維護這些標籤與每個服務所使用的基礎 IP 位址之間的對應。 這裡列出可供 Azure 防火牆 的服務標籤清單:Az Firewall Service Tags。 |
| 在應用程式規則中使用 FQDN 標籤 來啟用特定 Microsoft 服務的選擇性存取。 | FQDN 標記代表與已知 Microsoft 服務相關聯的完整域名群組 (FQDN) 。 您可以在應用程式規則中使用 FQDN 標籤,以允許某些特定 Azure 服務的防火牆、Office 365、Windows 365 和 Intune 所需的輸出網路流量。 |
| 使用 Azure 防火牆 Manager 建立 DDoS 保護計劃,並將其與您的中樞虛擬網路建立關聯, (不適用於 Azure Virtual WAN) 。 | DDoS 保護方案提供增強的防護功能,可保護您的防火牆免於遭受 DDoS 攻擊。 Azure 防火牆 管理員是建立防火牆基礎結構和 DDoS 保護方案的整合工具。 如需詳細資訊,請參閱使用 Azure 防火牆管理員設定 Azure DDoS 保護計劃。 |
| 使用企業 PKI 來產生 TLS 檢查的憑證。 | 使用 Azure 防火牆 Premium 時,如果使用 TLS 檢查功能,建議您針對生產環境利用內部企業證書頒發機構單位 (CA) 。 自我簽署憑證應該僅用於 測試/PoC 用途 。 |
| 檢閱 Zero-Trust 組態指南,以瞭解 Azure 防火牆 和 應用程式閘道 | 如果您的安全性需求需要實作 Web 應用程式的 Zero-Trust 方法, (檢查和加密) ,建議您遵循 本指南。 在本檔中,如何在傳統中樞 & 輪輻和 Virtual WAN 案例中,說明如何整合 Azure 防火牆 和 應用程式閘道。 |
Azure Advisor 協助您確保及改善商務關鍵性應用程式的持續性。 檢閱 Azure Advisor 建議。
原則定義
網路介面不應該有公用IP。 此原則會拒絕設定了任何公用 IP 的網路介面。 公用 IP 位址可讓網際網路資源對 Azure 資源進行輸入通訊,以及讓 Azure 資源對網際網路進行輸出通訊。
所有因特網流量都應該透過已部署的 Azure 防火牆 路由傳送。 Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅。
Azure 防火牆原則應該在應用程式規則內啟用 TLS 檢查。 建議為所有應用程式規則啟用 TLS 檢查,以偵測、警示和降低 HTTPS 中的惡意活動風險。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請瀏覽 https://aka.ms/fw-tlsinspect。
Azure 防火牆 Premium 應該設定有效的中繼憑證,以啟用 TLS 檢查。 設定有效的中繼憑證,並啟用Azure 防火牆進階 TLS 檢查,以偵測、警示及減輕 HTTPS 中的惡意活動。 若要深入瞭解使用 Azure 防火牆 進行 TLS 檢查,請瀏覽 https://aka.ms/fw-tlsinspect。
在防火牆原則進階版中,入侵偵測和防護系統 (IDPS) 的略過列表應該是空的。 入侵偵測與預防系統 (IDPS) 略過清單可讓您不篩選流向略過清單中所指定任何 IP 位址、範圍和子網路的流量。 不過,建議對所有流量啟用IDPS,以更清楚地識別已知的威脅。 若要深入瞭解入侵偵測和防護系統 (IDPS) 簽章與 Azure 防火牆 進階版,請流覽 https://aka.ms/fw-idps-signature。
防火牆原則進階應該啟用所有IDPS簽章規則,以監視所有輸入和輸出流量。 建議啟用所有入侵偵測和防護系統 (IDPS) 簽章規則,以更妥善地識別流量中的已知威脅。 若要深入瞭解入侵偵測和防護系統 (IDPS) 簽章與 Azure 防火牆 進階版,請流覽 https://aka.ms/fw-idps。
防火牆原則進階版應該啟用入侵偵測和防護系統 (IDPS) 。 啟用入侵偵測和防護系統 (IDPS) 可讓您監視網路是否有惡意活動、記錄此活動的相關資訊、回報,以及選擇性地嘗試將其封鎖。 若要深入瞭解使用 Azure 防火牆 Premium 的入侵偵測和防護系統 (IDPS) ,請流覽 https://aka.ms/fw-idps。
訂用帳戶應設定 Azure 防火牆 Premium,以提供額外的保護層。 Azure 防火牆進階版提供進階威脅防護,其可滿足高度敏感性和受管制環境的需求。 將 Azure 防火牆進階版部署至您的訂用帳戶,並確定所有服務流量都受到 Azure 防火牆進階版保護。 若要深入瞭解 Azure 防火牆 Premium,請瀏覽 https://aka.ms/fw-premium。
所有與 Azure 網路相關的內建原則定義都會列在 內建原則 - 網路中。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。
設計檢查清單
當您針對 Azure 防火牆 進行設計選擇時,請檢閱成本優化的設計原則。
- 選取要部署 Azure 防火牆 SKU。
- 判斷某些實例是否需要永久的 24x7 配置。
- 決定您可以跨工作負載優化防火牆使用的位置。
- 監視和優化防火牆實例的使用方式,以判斷成本效益。
- 檢閱並優化所需的公用IP位址數目和使用的原則。
- 檢閱記錄需求、預估成本和一段時間的控制。
建議
探索下表的建議,以優化成本優化 Azure 防火牆 組態。
| 建議 | 優點 |
|---|---|
| 部署適當的 Azure 防火牆 SKU。 | Azure 防火牆 可以部署在三個不同的 SKU 中:基本、標準和進階。 Azure 防火牆 Premium 建議保護高度敏感性的應用程式, (例如付款處理) 。 建議 Azure 防火牆 標準,供尋找第 3 層-第 7 層防火牆的客戶使用,且需要自動調整來處理最多 30 Gbps 的尖峰流量週期。 針對輸送量需求為 250 Mbps 的 SMB 客戶,建議使用 Azure 防火牆 Basic。 如有需要,可以在標準與進階之間進行降級或升級,如 這裡所述。 如需詳細資訊,請參閱選擇正確的 Azure 防火牆 SKU 以符合您的需求。 |
| 停止 Azure 防火牆 不需要執行 24x7 的部署。 | 您可能只有上班時間才會使用開發或測試環境。 如需詳細資訊,請參閱解除分配和配置 Azure 防火牆。 |
| 跨多個工作負載和 Azure 虛擬網路共用相同 Azure 防火牆 實例。 | 您可以使用中樞虛擬網路中 Azure 防火牆 的中央實例,或 Virtual WAN 安全中樞,並在從相同區域連線到相同中樞的許多輪輻虛擬網路之間共用相同的防火牆。 請確定中樞輪輻拓撲中沒有非預期的跨區域流量。 |
| 定期檢閱 Azure 防火牆 處理的流量,並尋找原始工作負載優化 | 熱門流量 記錄檔 (在業界稱為 Fat Flow) ,會顯示透過防火牆造成最高輸送量的頂端連線。 建議您定期檢閱 Azure 防火牆 處理的流量,並搜尋可能的優化,以減少周遊防火牆的流量。 |
| 檢閱使用量過低 Azure 防火牆 實例。 識別和刪除未使用的部署 Azure 防火牆。 | 若要識別未使用的 Azure 防火牆 部署,請先分析與指向防火牆私人 IP 之子網相關聯的監視計量和 UDR。 將該資訊與其他驗證結合,例如,如果您的 Azure 防火牆 實例具有任何規則 (NAT、網路和應用程式的傳統) ,或即使 DNS Proxy 設定設定為 [已停用],也請搭配您環境與部署的內部檔。 您可以偵測一段時間內符合成本效益的部署。 如需監視記錄和計量的詳細資訊,請參閱監視 Azure 防火牆 記錄和計量和SNAT 埠使用率。 |
| 使用 Azure 防火牆 管理員及其原則來降低營運成本、提升效率,以及降低管理額外負荷。 | 仔細檢閱防火牆管理員原則、關聯和繼承。 原則會根據防火牆關聯計費。 具有零個或一個防火牆關聯的原則是免費的。 具有多個防火牆關聯的原則會以固定費率計費。 如需詳細資訊,請參閱定價 - Azure 防火牆 管理員。 |
| 刪除未使用的公用IP位址。 | 驗證所有相關聯的公用IP位址是否正在使用中。 如果它們未使用中,請解除關聯並刪除它們。 拿掉任何IP位址之前,請先評估 SNAT 連接埠使用率。 您只會使用防火牆所需的公用IP數目。 如需詳細資訊,請參閱監視 Azure 防火牆 記錄和計量和SNAT 埠使用率。 |
| 檢閱記錄需求。 | Azure 防火牆 能夠透過事件中樞完整記錄其看到的所有流量元數據、Log Analytics 工作區、記憶體或第三方解決方案。 不過,所有記錄解決方案都會產生數據處理和記憶體的成本。 在非常大的磁碟區中,這些成本可能相當重要,應考慮符合成本效益的方法和 Log Analytics的替代方案 ,並預估成本。 請考慮是否需要記錄所有記錄類別的流量元數據,並視需要修改診斷設定。 |
如需更多建議,請參閱 成本優化的設計檢閱檢查清單。
Azure Advisor 協助您確保及改善商務關鍵性應用程式的持續性。 檢閱 Azure Advisor 建議。
卓越營運
監視和診斷能力極為重要。 您可以測量效能統計數據和計量,以快速疑難解答和補救問題。
設計檢查清單
當您為 Azure 防火牆 做設計選擇時,請檢閱營運卓越的設計原則。
- 維護 Azure 防火牆 組態和原則的清查和備份。
- 利用診斷記錄進行防火牆監視和疑難解答。
- 利用 Azure 防火牆 監視活頁簿。
- 定期檢閱您的原則深入解析和分析。
- 整合 Azure 防火牆 與適用於雲端和 Microsoft Sentinel 的 Microsoft Defender。
建議
探索下列建議表格,以將您的 Azure 防火牆 設定優化,以達到卓越營運。
| 建議 | 優點 |
|---|---|
| 請勿將 Azure 防火牆 用於 VNet 內部流量控制。 | Azure 防火牆 應該用來控制 VNet 之間的流量、VNet 與內部部署網路之間的流量、因特網的輸出流量,以及連入的非 HTTP/秒流量。 針對 VNet 內部流量控制,建議使用 網路安全組。 |
| 維護 Azure 原則 成品的定期備份。 | 如果使用基礎結構即程式代碼 (IaC) 方法來維護 Azure 防火牆 和所有相依性,則應該已經備妥 Azure 防火牆 原則的備份和版本設定。 如果沒有,則可以部署以外部邏輯應用程式為基礎的 隨附機制 ,以自動化並提供有效的解決方案。 |
| 啟用 Azure 防火牆的診斷記錄。 | 診斷記錄是許多監視工具和 Azure 防火牆 策略的重要元件,應啟用。 您可以使用防火牆記錄或活頁簿來監視 Azure 防火牆。 您也可以使用活動記錄來稽核 Azure 防火牆 資源的作業。 |
| 使用 結構化防火牆記錄 格式。 | 結構化防火牆記錄 是一種以特定新格式組織的記錄數據。 他們會使用預先定義的架構,以方便搜尋、篩選和分析的方式建構記錄數據。 最新的監視工具是以這種類型的記錄為基礎,因此通常是必要條件。 只有在有現有工具具有該必要條件時,才使用先前的 診斷記錄格式 。 請勿同時啟用這兩種記錄格式。 |
| 使用內建 Azure 防火牆 監視活頁簿。 | Azure 防火牆 入口網站體驗現在會在 [監視] 區段 UI 底下包含新的活頁簿,因此不再需要個別安裝。 使用 Azure 防火牆 活頁簿,您可以從 Azure 防火牆 事件擷取寶貴的見解、深入探索您的應用程式和網路規則,以及檢查跨 URL、埠和位址的防火牆活動的相關統計數據。 |
| 監視重要計量,並針對 Azure 防火牆 容量使用率指標建立警示。 | 應該建立警示,以監視至少 輸送量、 防火牆健康狀態、 SNAT 埠使用率 和 AZFW 延遲探查 計量。 如需監視記錄和計量的相關信息,請參閱監視 Azure 防火牆 記錄和計量。 |
| 設定 Azure 防火牆 與 Cloud 和 Microsoft SentinelMicrosoft Defender 整合。 | 如果環境中提供這些工具,建議您利用與雲端和 Microsoft Sentinel 解決方案的 Microsoft Defender 整合。 透過雲端整合 Microsoft Defender,您可以將網路基礎結構和網路安全性的所有啟動狀態可視化,包括跨所有 VNet 的 Azure 網路安全性,以及跨 Azure 中不同區域的虛擬中樞。 與 Microsoft Sentinel 整合提供威脅偵測和防護功能。 |
| 定期檢閱 原則分析 儀錶板,以找出潛在的問題。 | 原則分析是一項新功能,可讓您深入瞭解 Azure 防火牆 原則的影響。 它可協助您找出 (達到原則限制、低使用率規則、備援規則、規則太泛型、IP 群組使用建議) 的原則,並提供建議來改善安全性狀態和規則處理效能。 |
| 熟悉 KQL (Kusto 查詢語言) 查詢,以允許使用 Azure 防火牆 記錄進行快速分析和疑難解答。 | 系統會針對 Azure 防火牆 提供範例查詢。 這些可讓您快速識別防火牆內發生的情況,並檢查是否觸發了哪些規則,或允許/封鎖要求的規則。 |
Azure Advisor 協助您確保及改善商務關鍵性應用程式的持續性。 檢閱 Azure Advisor 建議。
效能效率
效能效率是工作負載調整的能力,以有效率地符合使用者所放置的需求。
設計檢查清單
當您進行 Azure 防火牆 的設計選擇時,請檢閱效能效率的設計原則。
- 定期檢閱並優化防火牆規則。
- 檢閱原則需求和機會,以摘要IP範圍和URL清單。
- 評估 SNAT 埠需求。
- 規劃負載測試,以測試環境中的自動調整效能。
- 若不需要,請勿啟用診斷工具和記錄。
建議
探索下表的建議,以優化您的 Azure 防火牆 組態,以提升效能效率。
| 建議 | 優點 |
|---|---|
| 使用 原則分析 儀錶板來識別防火牆原則的潛在優化。 | 原則分析是一項新功能,可讓您深入瞭解 Azure 防火牆 原則的影響。 它可協助您找出 (達到原則限制、低使用率規則、備援規則、規則太泛型、IP 群組使用量建議) 原則中的潛在問題,並提供改善安全性狀態和規則處理效能的建議。 |
| 對於具有大型 規則集的防火牆原則,請提早在群組中放置最常使用的規則,以將延遲優化。 | 規則會根據規則類型、繼承、規則集合群組優先順序和規則集合優先順序來處理。 系統會先處理優先順序最高的規則集合群組。 在規則集合群組內,會先處理優先順序最高的規則集合。 將最常使用的規則放在規則集中將會優化處理延遲。 本文將說明如何處理和評估規則。 |
| 使用 IP群組 摘要IP位址範圍。 | 您可以使用IP群組來摘要IP範圍,因此您不會超過 唯一來源/目的地網路規則的限制。 針對每個規則,Azure 會將埠乘以IP位址。 因此,如果您有一個具有四個IP位址範圍和五個埠的規則,您將耗用20個網路規則。 IP 群組會被視為單一位址,以便建立網路規則。 |
| 請考慮 使用 Web 類別 來允許或拒絕大量輸出存取。 | 請考慮使用 Azure 防火牆 Web 類別,而不是明確建置和維護一長串公用因特網網站。 此功能會動態分類 Web 內容,並允許建立精簡的應用程式規則。 |
| 在警示和拒絕模式中評估IDPS的效能影響。 | 如果需要 Azure 防火牆 才能在 IDPS 模式中運作警示和拒絕,請仔細考慮此頁面中所述的效能影響。 |
| 評估潛在的 SNAT 埠耗盡問題。 | Azure 防火牆 目前支援每個後端虛擬機擴展集實例每個公用IP位址2496個埠。 根據預設,有兩個虛擬機擴展集實例。 因此,每個流量目的地 IP、目的地埠和通訊協定都有 4992 個埠, (TCP 或 UDP) 。 防火牆最多可擴大至 20 個執行個體。 針對易受到 SNAT 耗盡影響的部署,您可以為 Azure 防火牆部署至少設定五個公用 IP 位址以緩解限制。 |
| 在任何效能測試之前,請適當地準備 Azure 防火牆。 | 在測試前 20 分鐘建立不屬於負載測試一部分的初始流量。 使用診斷設定來擷取相應增加和相應減少事件。 您可以使用 Azure 負載測試 服務來產生初始流量。 允許 Azure 防火牆 實例將其實例相應增加為最大值。 |
| 使用 /26 位址空間 (AzureFirewallSubnet) 設定 Azure 防火牆 子網。 | Azure 防火牆 是虛擬網路中的專用部署。 在您的虛擬網路內,Azure 防火牆 實例需要專用子網。 Azure 防火牆 隨著容量調整而布建更多容量。 其子網的 /26 位址空間可確保防火牆有足夠的IP位址可供調整。 Azure 防火牆不需要大於 /26 的子網路。 Azure 防火牆 子網名稱必須是 AzureFirewallSubnet。 |
| 如果不需要,請勿啟用進階記錄 | Azure 防火牆 提供一些進階記錄功能,可耗費大量成本來維護一律作用中。 相反地,它們應該只用於疑難解答用途,並限制在持續時間內,然後在不需要時停用。 例如,頂端流程和流量追蹤記錄的成本很高,可能會導致 Azure 防火牆 基礎結構上的 CPU 和記憶體使用量過多。 |
Azure Advisor 協助您確保及改善商務關鍵性應用程式的持續性。 檢閱 Azure Advisor 建議。
Azure Advisor 建議
Azure Advisor 是個人化的雲端顧問,可協助您遵循最佳做法來將 Azure 部署最佳化。 尚未 Azure 防火牆 特定的 Advisor 建議。 您可以套用一些一般建議,以協助改善可靠性、安全性、成本效益、效能和營運卓越。
- 建立當 Azure 問題影響您時,要通知的 Azure 服務健康狀態警示
- 請確定您在需要時可以存取「Azure Cloud Experts」
- 啟用流量分析以深入了解 Azure 資源間的流量模式
- 遵循足夠的系統管理 (最低許可權原則)
- 使用 Microsoft Defender for Cloud 保護您的網路資源
其他資源
Azure 架構中心指引
- Azure 防火牆結構概觀
- 使用 Azure 防火牆 協助保護 Azure Kubernetes Service (AKS) 叢集
- 使用 Azure 防火牆 來保護 Azure 虛擬桌面 (AVD) 部署
- 使用 Azure 防火牆 來保護 Office 365
- Azure 中的中樞輪輻網路拓撲
- 使用 Azure 防火牆和應用程式閘道的 Web 應用程式零信任網路
- 實作安全的混合式網路
- 具有 PaaS 資料存放區私人連線能力的網路強化 Web 應用程式
後續步驟
部署 Azure 防火牆 的實例,以查看其運作方式:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應