你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 架构良好的框架评审 - Azure 防火墙
本文提供有关Azure 防火墙的体系结构建议。 本指南基于体系结构卓越五大支柱:
- 可靠性
- 安全性
- 成本优化
- 卓越运营
- 性能效率
我们假设你对Azure 防火墙有工作知识,并且熟悉其功能。 有关详细信息,请参阅Azure 防火墙概述。
先决条件
- 了解 Azure 架构良好的框架支柱有助于生成高质量、稳定且高效的云体系结构。 使用精心构建的 框架评审评估查看 工作负荷。
- 使用参考体系结构根据本文中提供的指南查看注意事项。 首先, 通过与 PaaS 数据存储 建立专用连接的网络强化 Web 应用程序并 实现安全的混合网络。
可靠性
若要了解Azure 防火墙如何可靠地支持工作负荷,请参阅以下文章:
设计清单
为Azure 防火墙做出设计选择时,请查看可靠性的设计原则。
- 在中心虚拟网络中或作为 Azure 虚拟 WAN 中心的一部分部署Azure 防火墙。
- 利用可用性区域复原能力。
- 创建Azure 防火墙策略结构。
- 查看已知问题列表。
- 监视Azure 防火墙运行状况。
注意
传统中心辐射模型与虚拟 WAN托管安全中心之间的网络服务可用性存在差异。 例如,在虚拟 WAN中心,无法从公共 IP 前缀获取Azure 防火墙公共 IP,并且不能启用 DDoS 防护。 选择一个或另一个模型必须考虑到设计良好的框架的所有五大支柱的要求。
建议
浏览下表,以优化Azure 防火墙配置的可靠性。
| 建议 | 好处 |
|---|---|
| 将 Azure 防火墙 Manager 与传统的中心辐射或 Azure 虚拟 WAN网络拓扑配合使用,以部署和管理Azure 防火墙实例。 | 使用本机安全服务轻松创建中心辐射型和可传递体系结构,以便进行流量治理和保护。 有关网络拓扑的详细信息,请参阅 Azure 云采用框架 文档。 |
| 创建Azure 防火墙策略来管理全球网络环境的安全状况。 将策略分配给Azure 防火墙的所有实例。 | Azure 防火墙策略可以按分层结构排列,以覆盖中央基策略。 允许精细策略满足特定区域的要求。 通过基于角色的访问控制(RBAC)将增量防火墙策略委托给本地安全团队。 某些设置特定于每个实例,例如 DNAT 规则和 DNS 配置,可能需要多个专用策略。 |
| 将Azure 防火墙经典规则迁移到现有部署的Azure 防火墙管理器策略。 | 对于现有部署,请将Azure 防火墙规则迁移到 Azure 防火墙 Manager 策略。 使用 Azure 防火墙 管理器集中管理防火墙和策略。 有关详细信息,请参阅迁移到 Azure 防火墙 Premium。 |
| 查看Azure 防火墙已知问题的列表。 | Azure 防火墙产品组在此位置维护已知问题的更新列表。 此列表包含与按设计行为相关的重要信息、正在构建的修补程序、平台限制以及可能的解决方法或缓解措施。 |
| 确保Azure 防火墙策略遵循Azure 防火墙限制和建议。 | 策略结构存在限制,包括规则和规则集合组的数量、策略总大小、源/目标目标。 请务必撰写策略并保持在记录的 阈值以下。 |
| 跨多个可用性区域部署Azure 防火墙以实现更高的服务级别协议(SLA)。 | Azure 防火墙在单个可用性区域中部署 SLA 以及部署在多个区域中时提供不同的 SLA。 详细信息请参阅 Azure 防火墙 SLA。 有关所有 Azure SLA 的信息,请参阅 Azure 服务的 SLA 摘要。 |
| 在多区域环境中,为每个区域部署Azure 防火墙实例。 | 对于传统的中心辐射体系结构,本文将介绍多区域详细信息。 对于安全虚拟中心(Azure 虚拟 WAN),必须将路由意向和策略配置为保护中心间和分支到分支通信的安全。 对于设计为抵御故障和容错的工作负荷,请记住,Azure 防火墙和 Azure 虚拟网络实例作为区域资源。 |
| 监视Azure 防火墙指标和资源运行状况状态。 | 密切监视Azure 防火墙运行状况状态的关键指标指标,例如吞吐量、防火墙运行状况状态、SNAT 端口利用率和 AZFW 延迟探测指标。 此外,Azure 防火墙现在与 Azure 资源运行状况集成。 通过Azure 防火墙 资源运行状况检查,现在可以查看Azure 防火墙的运行状况,并解决可能影响Azure 防火墙资源的服务问题。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
安全性
安全是体系结构的首要考虑因素之一。 Azure 防火墙是一种智能防火墙安全服务,可为 Azure 中运行的云工作负荷提供威胁防护。
设计清单
为Azure 防火墙做出设计选择时,请查看安全设计原则。
- 确定是否需要 强制隧道。
- 根据最低特权访问条件为策略创建规则。
- 利用 威胁情报。
- 启用Azure 防火墙 DNS 代理。
- 通过Azure 防火墙定向网络流量。
- 确定是否要使用第三方安全性即服务(SECaaS)提供程序。
- 使用 DDoS 保护Azure 防火墙公共 IP 地址。
建议
浏览下表,以优化Azure 防火墙配置的安全性。
| 建议 | 好处 |
|---|---|
| 如果需要将所有 Internet 绑定的流量路由到指定的下一跃点,而不是直接转到 Internet,请在强制隧道模式下配置Azure 防火墙(不适用于 Azure 虚拟 WAN)。 | Azure 防火墙必须具有直接的 Internet 连接。 如果 AzureFirewallSubnet 通过边界网关协议了解到本地网络的默认路由,则必须在强制隧道模式下配置Azure 防火墙。 使用强制隧道功能,Azure 防火墙管理子网需要另一个 /26 地址空间。 需要将其命名为 AzureFirewallManagementSubnet。 如果这是无法在强制隧道模式下重新配置的现有Azure 防火墙实例,请创建具有 0.0.0.0/0 路由的 UDR。 将 NextHopType 值设置为 Internet。 将其与 AzureFirewallSubnet 相关联,以维护 Internet 连接。 |
| 在强制隧道模式下配置Azure 防火墙时,将公共 IP 地址设置为“无”,以部署完全专用的数据平面(不适用于 Azure 虚拟 WAN)。 | 部署新的Azure 防火墙实例时,如果启用强制隧道模式,可以将公共 IP 地址设置为“无”以部署完全专用的数据平面。 但是,管理平面仍需要公共 IP 才能用于管理目的。 来自虚拟和本地网络的内部流量不会使用该公共 IP。 有关强制隧道的详细信息,请参阅Azure 防火墙强制隧道。 |
| 基于最低特权访问条件为防火墙策略创建规则。 | Azure 防火墙策略可以按分层结构排列,以覆盖中央基策略。 允许精细策略满足特定区域的要求。 每个策略可以包含具有特定优先级、操作和处理顺序的不同 DNAT、网络和应用程序规则集。 基于最低特权访问零信任原则创建规则。 本文介绍了如何处理规则。 |
| 在警报和拒绝模式下对Azure 防火墙启用威胁智能。 | 你可以为防火墙启用基于威胁情报的筛选,以发出警报并拒绝来自或送到未知 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁情报源。 智能安全图支持Microsoft威胁智能,由多个服务使用,包括 Microsoft Defender for Cloud。 |
| 在警报或警报和拒绝模式下启用 IDPS。 | IDPS 是最强大的Azure 防火墙(高级)安全功能之一,应启用。 根据安全性和应用程序要求,并考虑性能影响(请参阅下面的“成本”部分),可以选择警报或警报和拒绝模式。 |
| 启用Azure 防火墙(DNS)代理配置。 | 启用此功能会将 VNet 中的客户端Azure 防火墙为 DNS 服务器。 它将保护不会直接访问和公开的内部 DNS 基础结构。 还必须将Azure 防火墙配置为使用将用于转发 DNS 查询的自定义 DNS。 |
| 配置用户定义的路由(UDR),以强制流量通过Azure 防火墙。 | 在传统的中心辐射体系结构中,配置 UDR 以强制流量通过Azure 防火墙进行Spoke-to-Spoke和Spoke-to-InternetSpoke-to-Hybrid连接。 在 Azure 虚拟 WAN中,请配置路由意向和策略,以通过集成到中心的Azure 防火墙实例重定向专用和/或 Internet 流量。 |
| 限制直接绑定到虚拟机的公共 IP 地址的使用 | 为了防止流量绕过防火墙,应限制公共 IP 地址与 VM 网络接口的关联。 在 Azure 云采用框架 (CAF) 模型中,特定的 Azure Policy 分配给 CORP 管理组。 |
| 如果无法应用 UDR,并且只需要 Web 流量重定向,请考虑将Azure 防火墙用作显式代理 | 在出站路径上启用显式代理功能后,可以在发送 Web 应用程序(如 Web 浏览器)上配置代理设置,并将Azure 防火墙配置为代理。 因此,Web 流量将到达防火墙的专用 IP 地址,因此无需使用 UDR 即可直接从防火墙传出。 此功能还有助于在不修改现有网络路由的情况下使用多个防火墙。 |
| 如果要使用这些解决方案来保护出站连接,请在防火墙管理器中配置受支持的第三方软件即服务(SaaS)安全提供程序。 | 你可以使用熟悉的、 最好的第三方 SECaaS 产品/服务 来保护用户的 Internet 访问。 此方案需要 Azure 虚拟 WAN中心中的 S2S VPN 网关,因为它使用 IPSec 隧道连接到提供程序的基础结构。 SECaaS 提供程序可能会收取额外的许可证费用,并限制 IPSec 连接的吞吐量。 ZScaler Cloud Connector 等替代解决方案存在,可能更合适。 |
| 在网络规则中使用完全限定的域名(FQDN)筛选。 | 可以在Azure 防火墙和防火墙策略中使用基于 DNS 解析的 FQDN。 此功能允许你筛选采用任何 TCP/UDP 协议(包括 NTP、SSH、RDP 等)的出站流量。 必须启用Azure 防火墙 DNS 代理配置才能在网络规则中使用 FQDN。 若要了解其工作原理,请参阅网络规则中的Azure 防火墙 FQDN 筛选。 |
| 使用网络规则中的服务标记启用对特定Microsoft 服务的选择性访问。 | 服务标记表示一组 IP 地址前缀,帮助最大程度地降低安全规则创建过程的复杂性。 使用 网络规则中的服务标记 ,可以启用对 Azure、Dynamics 和 Office 365 中特定服务的出站访问,而无需打开各种 IP 地址。 Azure 将自动维护这些标记与每个服务使用的基础 IP 地址之间的映射。 此处列出了可用于Azure 防火墙的服务标记列表:Az 防火墙服务标记。 |
| 使用应用程序规则中的 FQDN 标记启用对特定Microsoft 服务的选择性访问。 | FQDN 标记表示与已知Microsoft 服务关联的一组完全限定的域名(FQDN)。 可以在应用程序规则中使用 FQDN 标记,允许某些 特定 Azure 服务、Office 365、Windows 365 和 Intune 通过防火墙所需的出站网络流量。 |
| 使用Azure 防火墙管理器创建 DDoS 保护计划并将其与中心虚拟网络相关联(不适用于 Azure 虚拟 WAN)。 | DDoS 防护计划提供了增强的缓解功能,可保护防火墙免受 DDoS 攻击。 Azure 防火墙管理器是用于创建防火墙基础结构和 DDoS 保护计划的集成工具。 有关详细信息,请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划。 |
| 使用企业 PKI 生成用于 TLS 检查的证书。 | 使用 Azure 防火墙 Premium 时,如果使用 TLS 检查功能,建议将内部企业证书颁发机构(CA)用于生产环境。 自签名证书应 仅用于测试/PoC 目的 。 |
| 查看零信任配置指南,了解Azure 防火墙和应用程序网关 | 如果安全要求需要为 Web 应用程序(检查和加密)实现零信任方法,建议遵循本指南。 本文档介绍了如何在传统中心辐射和虚拟 WAN方案中将介绍如何将Azure 防火墙和应用程序网关集成在一起。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
策略定义
网络接口不应具有公共 IP。 此策略拒绝配置了任何公共 IP 的网络接口。 公共 IP 地址允许 Internet 资源以入站方式与 Azure 资源通信,并允许 Azure 资源以出站方式与 Internet 通信。
所有 Internet 流量都应通过已部署的Azure 防火墙进行路由。 Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害。
与 Azure 网络相关的所有内置策略定义都列在内置策略 - 网络中。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。
设计清单
为Azure 防火墙做出设计选择时,请查看成本优化的设计原则。
- 选择要部署Azure 防火墙 SKU。
- 确定某些实例是否需要永久的 24x7 分配。
- 确定可在工作负荷之间优化防火墙使用的位置。
- 监视和优化防火墙实例使用情况,以确定成本效益。
- 查看并优化所需的公共 IP 地址数和所用策略。
- 查看日志记录要求、估算成本并随时间推移进行控制。
建议
浏览下表,以优化Azure 防火墙配置以优化成本。
| 建议 | 好处 |
|---|---|
| 部署正确的Azure 防火墙 SKU。 | Azure 防火墙可以部署在三个不同的 SKU 中: 基本、标准和高级。 建议使用 Azure 防火墙高级版来保护高度敏感的应用程序,例如付款处理。 对于寻求第 3 层至第 7 层防火墙并需要进行自动缩放以处理最高 30 Gbps 的峰值流量时段的客户,建议使用 Azure 防火墙标准版。 对于吞吐量需求为 250 Mbps 的 SMB 客户,建议使用 Azure 防火墙基本版。 如果需要,可以在标准版和高级版之间降级或升级,如此处所述。 有关详细信息,请参阅选择正确的Azure 防火墙 SKU 以满足需求。 |
| 停止无需运行 24x7 的Azure 防火墙部署。 | 你可能具有仅在工作时间使用的开发或测试环境。 有关详细信息,请参阅解除分配和分配Azure 防火墙。 |
| 跨多个工作负荷和 Azure 虚拟网络共享同一个Azure 防火墙实例。 | 可以在中心虚拟网络中使用Azure 防火墙的中心实例或虚拟 WAN安全中心,并在连接到同一区域的多个辐射虚拟网络之间共享同一防火墙。 确保作为中心辐射型拓扑的一部分没有意外的跨区域流量。 |
| 定期查看Azure 防火墙处理的流量,并查找原始工作负荷优化 | Top Flow 日志(在行业称为 Fat Flow 中已知),显示通过防火墙导致最高吞吐量的顶级连接。 建议定期查看Azure 防火墙处理的流量,并搜索可能的优化,以减少遍历防火墙的流量量。 |
| 查看未充分利用的Azure 防火墙实例。 识别和删除未使用的Azure 防火墙部署。 | 若要识别未使用的Azure 防火墙部署,请先分析与指向防火墙专用 IP 的子网关联的监视指标和 UDR。 将该信息与其他验证相结合,例如,Azure 防火墙实例是否有 NAT、网络和应用程序的任何规则(经典),或者 DNS 代理设置配置为“已禁用”,以及有关环境和部署的内部文档。 可以检测随时间推移经济高效的部署。 有关监视日志和指标的详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 |
| 使用 Azure 防火墙 Manager 及其策略来降低运营成本、提高效率并减少管理开销。 | 请仔细阅读防火墙管理器策略、关联和继承。 策略根据防火墙关联计费。 存在零个或一个防火墙关联的策略是免费的。 存在多个防火墙关联的策略按固定费率计费。 有关详细信息,请参阅定价 - Azure 防火墙管理器。 |
| 删除未使用的公共 IP 地址。 | 验证是否正在使用所有关联的公共 IP 地址。 如果未使用它们,请取消关联并删除它们。 在删除任何 IP 地址之前评估 SNAT 端口利用率。 仅使用防火墙所需的公共 IP 数。 有关详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 |
| 查看日志记录要求。 | Azure 防火墙能够通过事件中心全面记录其看到的所有流量的元数据,以及 Log Analytics 工作区、存储或第三方解决方案。 但是,所有日志记录解决方案都会产生数据处理和存储费用。 在非常大的量下,这些成本可能会很大,应考虑一种经济高效的方法和 Log Analytics 替代方法,并估算成本。 考虑是否需要记录所有日志记录类别的流量元数据,并根据需要在诊断设置中修改。 |
有关更多建议,请参阅 成本优化的设计评审清单。
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
卓越运营
监视和诊断至关重要。 可以测量性能统计信息和指标,以便快速排查和修正问题。
设计清单
为Azure 防火墙做出设计选择时,请查看卓越运营的设计原则。
- 维护Azure 防火墙配置和策略的清单和备份。
- 利用诊断日志进行防火墙监视和故障排除。
- 利用Azure 防火墙监视工作簿。
- 定期查看策略见解和分析。
- 将 Azure 防火墙 与 Microsoft Defender for Cloud 和 Microsoft Sentinel 集成。
建议
浏览下表,以优化Azure 防火墙配置,实现卓越运营。
| 建议 | 好处 |
|---|---|
| 请勿将Azure 防火墙用于 VNet 内部流量控制。 | Azure 防火墙应用于控制 VNet 之间的流量、VNet 与本地网络之间的流量、Internet 的出站流量以及传入的非 HTTP/s 流量。 对于 VNet 内部流量控制,建议使用 网络安全组。 |
| 维护 Azure Policy 项目的常规备份。 | 如果使用基础结构即代码(IaC)方法来维护Azure 防火墙和所有依赖项,则应已就地备份和版本控制Azure 防火墙策略。 如果没有, 则可以部署基于外部逻辑应用的配套机制 来自动执行并提供有效的解决方案。 |
| 为Azure 防火墙启用诊断日志。 | 诊断日志是许多监视工具和Azure 防火墙策略的关键组件,应启用。 可以使用防火墙日志或工作簿监视Azure 防火墙。 还可以使用活动日志对Azure 防火墙资源执行审核操作。 |
| 使用 结构化防火墙日志 格式。 | 结构化防火墙日志 是一种以特定新格式组织的日志数据。 它们使用预定义的架构来构建日志数据,使其易于搜索、筛选和分析。 最新的监视工具基于这种类型的日志,因此它通常是一个先决条件。 仅当存在具有先决条件的现有工具时,才使用以前的 诊断日志格式 。 不要同时启用这两种日志记录格式。 |
| 使用内置Azure 防火墙监视工作簿。 | Azure 防火墙门户体验现在包括新工作簿监视部分 UI,不再需要单独的安装。 使用Azure 防火墙工作簿,可以从Azure 防火墙事件中提取有价值的见解,深入了解应用程序和网络规则,并检查有关跨 URL、端口和地址的防火墙活动的统计信息。 |
| 监视关键指标,并为Azure 防火墙容量的利用率指标创建警报。 | 应创建警报以至少监视吞吐量、防火墙运行状况、SNAT 端口利用率和 AZFW 延迟探测指标。 有关监视日志和指标的信息,请参阅监视Azure 防火墙日志和指标。 |
| 配置与 Microsoft Defender for Cloud 和 Microsoft Sentinel 的Azure 防火墙集成。 | 如果这些工具在环境中可用,建议利用与 Microsoft Defender for Cloud 和 Microsoft Sentinel 解决方案的集成。 借助 Microsoft Defender for Cloud 集成,可以在一个位置可视化网络基础结构和网络安全的所有状态,包括跨分布在 Azure 不同区域中的所有 VNet 和虚拟中心的 Azure 网络安全。 与 Microsoft Sentinel 集成可提供威胁检测和防护功能。 |
| 定期查看 策略分析 仪表板,以确定潜在问题。 | 策略分析是一项新功能,可深入了解Azure 防火墙策略的影响。 它有助于识别策略中的潜在问题(达到策略限制、低利用率规则、冗余规则、规则过于通用、IP 组使用建议),并提供改进安全状况和规则处理性能的建议。 |
| 熟悉 KQL (Kusto 查询语言) 查询,以便使用Azure 防火墙日志快速分析和故障排除。 | 为Azure 防火墙提供了示例查询。 这些规则可让你快速识别防火墙内发生的情况,并检查触发了哪些规则,或允许/阻止请求的规则。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
性能效率
性能效率是工作负荷能够进行缩放,以有效地满足用户对它的需求。
设计清单
为Azure 防火墙做出设计选择时,请查看性能效率的设计原则。
- 定期查看和优化防火墙规则。
- 查看策略要求和机会,以汇总 IP 范围和 URL 列表。
- 评估 SNAT 端口要求。
- 规划负载测试以测试环境中的自动缩放性能。
- 如果不需要,请不要启用诊断工具和日志记录。
建议
浏览下表,以优化Azure 防火墙配置来提高性能效率。
| 建议 | 好处 |
|---|---|
| 使用 策略分析 仪表板确定防火墙策略的潜在优化。 | 策略分析是一项新功能,可深入了解Azure 防火墙策略的影响。 它有助于识别策略中的潜在问题(达到策略限制、低利用率规则、冗余规则、规则过于通用、IP 组使用建议),并提供改进安全状况和规则处理性能的建议。 |
| 对于具有大型 规则集的防火墙策略,请将最常用的规则放在组中以优化延迟。 | 规则基于规则类型、继承、规则集合组优先级和规则集合优先级进行处理。 首先处理优先级最高的规则集合组。 在规则集合组中,首先处理优先级最高的规则集合。 在规则集中放置最常用的规则将优化处理延迟。 本文介绍了如何处理和评估规则。 |
| 使用 IP 组 汇总 IP 地址范围。 | 可以使用 IP 组来汇总 IP 范围,因此不会超过 唯一源/目标网络规则的限制。 对于每个规则,Azure 将端口乘以 IP 地址。 因此,如果有一个规则具有四个 IP 地址范围和五个端口,你将使用 20 个网络规则。 IP 组被视为用于创建网络规则的单个地址。 |
| 请考虑 使用 Web 类别 批量允许或拒绝出站访问。 | 请考虑使用 Azure 防火墙 Web 类别,而不是显式构建和维护一长串公共 Internet 网站。 此功能将动态分类 Web 内容,并允许创建压缩的应用程序规则。 |
| 评估警报和拒绝模式下 IDPS 的性能影响。 | 如果需要Azure 防火墙以 IDPS 模式运行警报和拒绝,请仔细考虑防火墙性能中记录的性能影响。 |
| 评估潜在的 SNAT 端口耗尽问题。 | Azure 防火墙当前支持每个后端虚拟机规模集实例的每个公用 IP 地址 2496 个端口。 默认有两个虚拟机规模集实例。 因此,每个流目标 IP、目标端口和协议(TCP 或 UDP)有 4992 个端口。 防火墙最多可以扩展到 20 个实例。 可以针对容易出现 SNAT 耗尽的部署,为 Azure 防火墙部署配置至少五个公共 IP 地址,以此解决这些限制。 |
| 在任何性能测试之前,正确预热Azure 防火墙。 | 在测试前 20 分钟创建不属于负载测试的初始流量。 使用诊断设置捕获纵向扩展和缩减事件。 可以使用 Azure 负载测试 服务生成初始流量。 允许Azure 防火墙实例将其实例纵向扩展到最大值。 |
| 使用 /26 地址空间配置Azure 防火墙子网(AzureFirewallSubnet)。 | Azure 防火墙是虚拟网络中的专用部署。 在虚拟网络中,Azure 防火墙实例需要专用子网。 Azure 防火墙在缩放时预配更多容量。 其子网的 A /26 地址空间可确保防火墙有足够的 IP 地址适应缩放。 Azure 防火墙不需要大于 /26 的子网。 Azure 防火墙子网名称必须是 AzureFirewallSubnet。 |
| 如果不需要,请不要启用高级日志记录 | Azure 防火墙提供了一些高级日志记录功能,使保持始终处于活动状态的成本可能很高。 相反,它们应仅用于故障排除目的,并限制在持续时间内,然后在必要时禁用。 例如,顶级流和流跟踪日志成本高昂可能会导致Azure 防火墙基础结构上的 CPU 和存储使用率过高。 |
Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。
Azure 顾问建议
Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 目前还没有Azure 防火墙特定的顾问建议。 一些常规建议可用于帮助提高可靠性、安全性、成本效益、性能和卓越运营。
- 创建 Azure 服务运行状况警报,以在 Azure 问题影响你时收到通知
- 使流量分析能够查看跨 Azure 资源的流量模式的见解
- 使用 Microsoft Defender for Cloud 保护网络资源
其他资源
Azure 体系结构中心指南
- Azure 防火墙体系结构概述
- 使用 Azure 防火墙帮助保护 Azure Kubernetes 服务 (AKS) 群集
- 使用Azure 防火墙保护 Azure 虚拟桌面(AVD)部署
- 使用Azure 防火墙保护 Office 365
- Azure 中的中心辐射型网络拓扑
- 提供 Azure 防火墙和应用程序网关的 Web 应用程序的零信任网络
- 实现安全的混合网络
- 网络强化的 Web 应用程序,具有与 PaaS 数据存储的专用连接
下一步
部署Azure 防火墙实例以查看其工作原理: