你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

转换到 Azure 中的网络安全外围

在本文中，了解不同的访问模式，以及如何转换到 Azure 中的网络安全外围。访问模式控制资源的访问和日志记录行为。

对资源关联的访问模式配置点

访问模式配置点是外围资源关联的一部分，因此可由外围管理员设置。

可在资源关联中设置 accessMode 属性，以控制资源的公用网络访问。

accessMode 的可能值目前为“已强制执行”和“学习”。

访问模式	描述
学习	这是默认访问模式。此模式下的评估将使用网络安全外围配置作为基线，但在未找到匹配规则的情况下，评估将回退到资源防火墙配置，该配置随后可使用现有设置批准访问。
强制	显式设置时，资源只遵循网络安全外围访问规则。

为了防止在对现有 PaaS 资源采用网络安全外围的同时出现意外的连接中断，并确保平稳转换到安全配置，管理员可在“学习”模式下将 PaaS 资源添加到网络安全外围。虽然此步骤不保护 PaaS 资源，但它将：

允许根据网络安全外围配置建立连接。此外，当网络安全外围访问规则不允许连接时，此配置中的资源会回退以遵循资源定义的防火墙规则和受信任访问行为。
启用诊断日志时，生成日志，详细说明连接是基于网络安全外围配置还是资源的配置获得批准。然后，管理员可分析这些日志，以确认访问规则中的漏洞、缺少的外围成员身份和不需要的连接。

重要

在“学习”模式下运行 PaaS 资源只应作为一个转换步骤。恶意参与者可能会利用不安全的资源以使数据外泄。因此，在访问模式设置为“已强制执行”的情况下，尽快转换到完全安全的配置至关重要。

若要完全保护公共访问，务必要移至网络安全外围中的“已强制执行”模式。移至“已强制执行”模式之前要考虑的事项是对公共、专用、受信任和外围访问的影响。在“已强制执行”模式下，跨不同类型的 PaaS 资源对关联的 PaaS 资源进行网络访问的行为可概括如下：

公共访问：公共访问指通过公用网络发出的入站或出站请求。默认情况下，受网络安全外围保护的 PaaS 资源已禁用其入站和出站公共访问，但网络安全外围访问规则可用于选择性地允许与之匹配的公共流量。
外围访问：外围访问指属于同一网络安全外围的资源之间的入站或出站请求。为了防止数据渗透和外泄，除非在“已强制执行”模式下于源和目标将此类外围流量显式批准为公共流量，否则此类流量永远不会跨越外围边界。需要对资源分配托管标识才能进行外围访问。
受信任访问：受信任服务访问指少数 Azure 服务的一个功能，当来源是被认为可信的特定 Azure 服务时，该功能允许通过公共网络进行访问。由于网络安全外围提供比受信任访问更精细的控制，因此受信任访问在“已强制执行”模式下不受支持。
专用访问：通过专用链接的访问不受网络安全外围的影响。

网络安全外围通过在 publicNetworkAccess 下引入名为 SecuredbyPerimeter 的新属性，支持默认保护行为。设置后，它锁定公共访问，并阻止 PaaS 资源向公共网络公开。

在创建资源时，如果 publicNetworkAccess 设置为 SecuredByPerimeter，则即使未与外围关联，资源也在锁定模式下进行创建。如果进行了配置，则只允许专用链路流量。关联到外围后，网络安全外围控制资源访问行为。下表总结了各种模式下的访问行为，以及公用网络访问配置：

关联访问模式	未关联	学习模式	“已强制执行”模式
公用网络访问
已启用	入站：资源规则出站：允许	入站：网络安全外围 + 资源规则出站：网络安全外围规则 + 允许	入站：网络安全外围规则出站：网络安全外围规则
已禁用	入站：拒绝出站：允许	入站：网络安全外围规则出站：网络安全外围规则 + 允许	入站：网络安全外围规则出站：网络安全外围规则
SecuredByPerimeter	入站：拒绝出站：拒绝	入站：网络安全外围规则出站：网络安全外围规则	- 入站：网络安全外围规则 - 出站：网络安全外围规则