你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
规划入站和出站的互联网连接
本文列出了有关 Azure 与公共 Internet 之间的入站和出站连接的注意事项和建议。
设计注意事项
Azure 本机网络安全服务,例如 Azure 防火墙、Azure 应用程序网关 上的Azure Web 应用程序防火墙(WAF),以及 Azure Front Door,都是完全托管的。 你无需承担大规模基础设施部署的运营和管理成本以及复杂性。
如果你的组织更喜欢使用非 Azure 网络虚拟设备(NVA),或者对于本机服务不满足特定要求的情况,Azure 登陆区域体系结构与合作伙伴 NVA 完全兼容。
Azure 为虚拟网络上的虚拟机(VM)或计算实例提供了多种直接 Internet 出站连接方法,例如网络地址转换(NAT)网关或负载均衡器。 建议 Azure NAT 网关 作为启用出站连接的默认值,因为它在作上是最简单的设置,并且是 Azure 中所有可用的出站连接方法中最可缩放且最有效的选项。 有关详细信息,请参阅 Azure 出站连接方法。
注意
从 2024 年 11 月开始,所有 Azure 防火墙部署都必须包括一个 管理 NIC,以分隔管理和数据流量。 管理 NIC 过去只需用于强制性隧道功能,而现在对于即将推出的防火墙功能是必需的。 若要避免服务中断,请确保防火墙已部署或更新,并启用此功能。 有关现有防火墙,请参阅 在现有防火墙上启用管理 NIC。
设计建议
使用 Azure NAT 网关建立到 Internet 的直接出站连接。 NAT 网关是一种完全托管的极具弹性的 NAT 服务,可提供可缩放的按需 SNAT。
将 NAT 网关用于:
- 向 Internet 发送流量的动态或大型工作负载。
- 用于出站连接的静态和可预测的公共 IP 地址。 NAT 网关最多可与 16 个公共 IP 地址或 /28 公共 IP 前缀相关联。
- 缓解与 负载均衡器出站规则、Azure 防火墙或 Azure 应用服务相关的 SNAT 端口耗尽问题。
- 网络中资源的安全性和隐私性。 只有出站流量和返回流量才能通过 NAT 网关。
使用 Azure 防火墙治理:
- 流往 Internet 的 Azure 出站流量。
- 非 HTTP/S 入站连接。
- 如果您的组织需要,可以进行东西向流量过滤。
部署启用了 Managament NIC 的 Azure 防火墙
- 确保提前创建 AzureFirewallManagementSubnet,以避免使用现有虚拟网络时出现部署问题。最小子网大小为 /26
- 将公共 IP 地址分配给管理 NIC。 此 IP 有助于防火墙的作任务,包括更新和管理通信。
- 默认情况下,Azure 将系统提供的路由表关联到 AzureFirewallManagementSubnet。 此表包含指向 Internet 的默认路由,需要禁用“传播网关路由”。
使用 Azure 防火墙高级版 来实现高级防火墙功能,例如:
- 传输层安全性(TLS)检查。
- 网络入侵检测和防护系统(IDPS)。
- URL 筛选。
- Web 类别。
注意
对于标准和高级防火墙版本,必须在创建过程中手动启用防火墙管理 NIC。 所有基本防火墙版本和所有安全中心防火墙始终已启用管理 NIC。
Azure 防火墙管理器 支持 Azure 虚拟 WAN 和常规虚拟网络。 将防火墙管理器与虚拟 WAN 配合使用,跨虚拟 WAN 中心或中心虚拟网络部署和管理 Azure 防火墙。
如果在 Azure 防火墙规则中一致地使用多个 IP 地址和范围,可在 Azure 防火墙中设置 IP 组。 可以将 Azure 防火墙 DNAT、网络和应用程序规则中的 IP 组用于跨 Azure 区域和订阅的多个防火墙。
如果使用自定义 用户定义的路由(UDR)来管理与 Azure 平台即服务(PaaS)服务的出站连接,请将 服务标记 指定为地址前缀。 服务标记会自动更新基础 IP 地址以包括更改,并减少在路由表中管理 Azure 前缀的开销。
注意
避免将客户路由表与 AzureFirewallManagementSubnet 相关联。 将自定义路由表与管理子网相关联可能会导致配置错误和潜在的服务中断。 如果确实关联路由表,请确保它具有到 Internet 的默认路由,以避免服务中断。
创建全局 Azure 防火墙策略,以控制全球网络环境的安全状况。 将策略分配给所有 Azure 防火墙实例。
使用 Azure 基于角色的访问控制将增量策略委派给本地安全团队,允许精细策略满足特定区域要求。
在登陆区域虚拟网络中使用 WAF 来保护来自 Internet 的入站 HTTP/S 流量。
使用 Azure Front Door 和 WAF 策略跨 Azure 区域提供全局保护,以便与登陆区域建立入站 HTTP/S 连接。
若要使用 Azure Front Door 和 Azure 应用程序网关来帮助保护 HTTP/S 应用程序,请使用 Azure Front Door 中的 WAF 策略。 锁定 Azure 应用程序网关以仅接收来自 Azure Front Door 的流量。
如果需要合作伙伴 NVA 以进行入站 HTTP/S 连接,请将它们部署在登陆区域虚拟网络中,同时部署的还有受它们保护且暴露于 Internet 的应用程序。
对于出站访问,无论何种场景,请勿使用 Azure 的默认互联网出站访问权限。 默认出站访问的相关问题包括:
- SNAT 端口耗尽的风险增加。
- 默认情况下不安全。
- 不能依赖于默认访问 IP。 这些不归客户所有,并且可能会发生更改。
将 NAT 网关用于联机登陆区域或未连接到中心虚拟网络的登陆区域。 需要出站 Internet 访问但不需要 Azure 防火墙标准版或高级版或第三方 NVA 的安全性的计算资源可以使用联机登陆区域。
如果你的组织想要使用软件即服务(SaaS)安全提供程序来帮助保护出站连接,请在防火墙管理器中配置支持的合作伙伴。
如果您使用合作伙伴 NVA 进行东西向或南北向流量保护和过滤:
- 对于虚拟 WAN 网络拓扑,将 NVA 部署到单独的 NVA 虚拟网络。 将虚拟网络连接到区域虚拟 WAN 中心和需要访问 NVA 的登陆区域。 有关详细信息,请参阅方案:通过 NVA 路由流量。
- 对于非虚拟 WAN 网络拓扑,请在中央枢纽虚拟网络中部署合作伙伴 NVA。
不要向 Internet 公开 VM 管理端口。 对于管理任务,请执行以下操作:
- 使用 Azure Policy 防止使用公共 IP 创建 VM。
- 使用 Azure Bastion 访问 Jumpbox VM。
使用 Azure DDoS 防护保护计划来保护托管在虚拟网络中的公共终结点。
请勿尝试将本地外围网络概念和体系结构复制到 Azure。 尽管 Azure 具有类似的安全功能,但实现和体系结构会适应云。