通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

计划入站和出站 Internet 连接

  • 项目

本文列出了在 Azure 与公共 Internet 之间进行的入站和出站连接的注意事项和建议。

设计注意事项

  • Azure 原生网络安全服务(如 Azure 防火墙Azure 应用程序网关上的 Azure Web 应用程序防火墙 (WAF)Azure Front Door)都是完全托管的。 不会大规模产生基础结构部署的操作和管理成本与复杂性。

  • 如果你的组织更喜欢使用非 Azure 网络虚拟设备 (NVA),或者遇到原生服务不满足特定要求的情况,则可以使用 Azure 登陆区域体系结构,因为它与合作伙伴 NVA 完全兼容。

  • Azure 为虚拟网络上的虚拟机 (VM) 或计算实例提供多个直接 Internet 出站连接方法,例如网络地址转换 (NAT) 网关或负载均衡器。 建议使用 Azure NAT 网关 作为启用出站连接的默认值,因为它在操作上是最简单设置的,并且是 Azure 中所有可用的出站连接方法中最可缩放且最有效的选项。 有关详细信息,请参阅 Azure 出站连接方法

设计建议

  • 使用 Azure NAT 网关建立到 Internet 的直接出站连接。 NAT 网关是一种完全托管、高度弹性的 NAT 服务,可提供 可缩放和按需 SNAT

    • 将 NAT 网关用于:

      • 向 Internet 发送流量的动态或大型工作负荷。
      • 用于出站连接的静态和可预测的公共 IP 地址。 NAT 网关最多可与 16 个公共 IP 地址或 /28 公共 IP 前缀相关联。
      • 缓解负载均衡器出站规则Azure 防火墙Azure App 服务通常遇到的 SNAT 端口耗尽问题。
      • 网络中资源的安全性和隐私性。 只有出站流量和返回流量才能通过 NAT 网关。

  • 使用 Azure 防火墙治理:

    • 到 Internet 的 Azure 出站流量。
    • 非 HTTP/S 入站连接。
    • 东/西流量筛选(如果你的组织需要)。

  • Azure 防火墙高级版用于高级防火墙功能,例如:

    • 传输层安全性 (TLS) 检查。
    • 网络入侵检测和防护系统 (IDPS)。
    • URL 筛选。
    • Web 类别。

  • Azure 防火墙管理器支持 Azure 虚拟 WAN 和常规虚拟网络。 将防火墙管理器与虚拟 WAN 结合使用,以便在虚拟 WAN 中心或中心虚拟网络中部署和管理 Azure 防火墙。

  • 如果在 Azure 防火墙规则中一致地使用多个 IP 地址和范围,请在 Azure 防火墙中设置 IP 组。 可以跨 Azure 区域和订阅在 Azure 防火墙 DNAT、网络以及多个防火墙的应用程序规则中使用 IP 组。

  • 如果使用自定义用户定义的路由 (UDR) 来管理与 Azure 平台即服务 (PaaS) 服务的出站连接,请将服务标记指定为地址前缀。 服务标记会自动更新基础 IP 地址以包括更改,减少在路由表中管理 Azure 前缀的开销。

  • 创建全局 Azure 防火墙策略来治理全球网络环境中的安全态势。 将策略分配给所有 Azure 防火墙实例。

  • 通过使用 Azure 基于角色的访问控制将增量策略委托给本地安全团队,使精细策略满足特定区域要求。

  • 在登陆区域虚拟网络中使用 WAF 来保护来自 Internet 的入站 HTTP/S 流量。

  • 使用 Azure Front Door 和 WAF 策略跨 Azure 区域为到登陆区域的入站 HTTP/S 连接提供全局保护。

  • 若要使用 Azure Front Door 和 Azure 应用程序网关来帮助保护 HTTP/S 应用程序,请在 Azure Front Door 中使用 WAF 策略。 锁定 Azure 应用程序网关以仅接收来自 Azure 前门的流量。

  • 如果需要合作伙伴 NVA 以进行入站 HTTP/S 连接,请将它们部署在登陆区域虚拟网络中,同时部署的还有受它们保护且暴露于 Internet 的应用程序。

  • 对应出站访问,请不要将 Azure 的默认 Internet 出站访问用于任何方案。 默认出站访问遇到的问题包括:

    • SNAT 端口耗尽的风险增加。
    • 默认情况下不安全。
    • 不能依赖于默认访问 IP。 他们不归客户所有,可能会更改。

  • 将 NAT 网关用于联机登陆区域或未连接到中心虚拟网络的登陆区域。 需要出站 Internet 访问但不需要 Azure 防火墙标准版或高级版或第三方 NVA 的安全性的计算资源可以使用联机登陆区域。

  • 如果你的组织想要使用服务型软件 (SaaS) 安全提供程序来帮助保护出站连接,请在防火墙管理器中配置受支持的合作伙伴。

  • 如果使用合作伙伴 NVA 进行东西或南北流量保护和筛选,请执行以下操作:

    • 对于虚拟 WAN 网络拓扑,将 NVA 部署到单独的 NVA 虚拟网络。 将虚拟网络连接到区域虚拟 WAN 中心和需要访问 NVA 的登陆区域。 有关详细信息,请参阅方案:通过 NVA 路由流量
    • 对于非虚拟 WAN 网络拓扑,请在中央虚拟网络中部署合作伙伴 NVA。

  • 不要在 Internet 上公开 VM 管理端口。 对于管理任务,请执行以下操作:

  • 使用 Azure DDoS 防护 计划来帮助保护虚拟网络中托管的公共终结点。

  • 请勿尝试将本地外围网络概念和体系结构复制到 Azure 中。 尽管 Azure 具有类似的安全功能,但实现和体系结构是适应云的。