描述 Azure 防火墙

  • 2 分钟

防火墙是一个安全设备,可以是硬件、软件或两者的组合,它基于预先确定的安全规则监视和控制传入和传出网络流量。 其主要用途是在可信的内部网络与不可信的外部网络(如互联网)之间建立屏障,以保护内部网络免受恶意攻击。

Azure 防火墙是一种基于云的托管网络安全服务,用于为 Azure 中运行的云工作负载和资源提供威胁防护。

可以在任何虚拟网络上部署 Azure 防火墙,但最佳做法是在集中式虚拟网络上使用它。 然后,其他所有虚拟网络和本地网络将通过它进行路由。 此模型的优点是,可以集中控制跨不同订阅的所有 VNet 的网络流量。

展示在集中式虚拟网络上运行的 Azure 防火墙如何同时保护基于云的 VNet 和本地网络的示意图。

使用 Azure 防火墙,可以纵向扩展使用量,以适应不断变化的网络流量,这样你就不需要为峰值流量做预算。 当你将网络流量作为子网默认网关路由到防火墙时,它会遵守已配置的防火墙规则。

Azure 防火墙的主要功能

下面的列表简要介绍了 Azure 防火墙的一些基本功能。

  • 有状态防火墙:Azure 防火墙是有状态防火墙,这意味着它可以跟踪活动连接的状态,并根据流量的上下文做出决策。

  • 内置高可用性和可用性区域:Azure 防火墙具有内置的高可用性,这意味着它设计为确保连续运行并尽量减少故障时间,即使在发生故障或高流量负载的情况下也是如此。 Azure 防火墙可以配置为跨多个可用性区域,每个可用性区域都由一个或多个数据中心组成,这些数据中心都配置了独立的电源、冷却和网络设备。 Azure 防火墙对可用性区域的支持通过将资源分布到这些不同的区域确保了更高的可用性和复原能力。

  • 网络和应用程序级筛选:Azure 防火墙允许你针对入站和出站流量创建和实施网络流量筛选规则。 你可以根据 IP 地址、端口和协议来定义规则。 Azure 防火墙可以根据应用程序层协议(如 HTTP/S)来筛选流量。 这意味着你可以控制对完全限定的域名 (FQDN) 的访问。

  • 源和目标网络地址转换 (NAT):网络地址转换是将 IP 地址重新映射到另一个 IP 地址的方法,用于管理和保护网络流量。 Azure 防火墙支持源网络地址转换 (SNAT)。 SNAT 将网络资源(源)的专用 IP 地址转换为 Azure 公共 IP 地址。 这可以识别并允许源自虚拟网络的流量进入 Internet 目标。 类似地,Azure 防火墙支持目标网络地址转换 (DNAT)。 使用 DNAT,用于访问网络内特定服务的公共 IP 地址将被转换并筛选为虚拟网络上资源(目标)的专用 IP 地址。 这允许源自 Internet 的流量访问专用资源。

  • 威胁情报:Azure 防火墙与 Microsoft 的威胁情报馈送集成,以向你提醒已知的恶意 IP 地址和域,帮助保护你的网络免受威胁。 可以为防火墙启用基于威胁智能的筛选,以提醒和拒绝来自/到达已知恶意 IP 地址和域的流量。

  • 日志记录和监视:Azure 防火墙提供了日志记录和监视功能,可帮助跟踪防火墙活动并诊断问题。 日志可以发送到 Azure Monitor、Log Analytics 或事件中心进行进一步分析。

  • 与 Azure 服务集成:它与其他 Azure 服务(例如 Azure 虚拟网络、Azure Policy 和 Azure 安全中心)无缝集成,为云基础结构提供一个综合的安全解决方案。

Azure 防火墙提供三种 SKU:标准版、高级版和基本版。 “总结和资源”单元的“了解详细信息”部分提供了每个可用 SKU(标准、高级和基本)所包含的功能的详细信息。

与 Security Copilot 集成

Azure 防火墙与 Microsoft Security Copilot 集成。

对于加入到 Microsoft Security Copilot 的组织,用户可以通过独立体验来体验 Copilot 集成。

Azure 防火墙集成在 Security Copilot 独立体验中使用自然语言问题,帮助分析师对由网络入侵检测和防御系统(在标准和高级 Azure 防火墙 SKU 中可用)和/或威胁情报功能拦截的恶意流量进行详细调查。

若要使用 Azure 防火墙与 Copilot 的集成:

  • 与 Security Copilot 一起使用的 Azure 防火墙必须配置有 IDPS 的特定于资源的结构化日志,这些日志必须发送到 Log Analytics 工作区。
  • 用户必须具有角色权限才能使用 Microsoft Security Copilot,并且必须具有适当的 Azure 基于角色的访问控制 (RBAC) 角色才能访问防火墙和关联的 Log Analytics 工作区。
  • 必须打开 Security Copilot 中的 Azure 防火墙插件。

Azure 防火墙插件的屏幕截图。

Copilot 中的 Azure 防火墙功能是可供使用的内置提示,但你也可以根据支持的功能输入自己的提示。

可在独立体验中运行的 Azure 防火墙功能的屏幕截图。

此模块的摘要和资源单元提供了有关 Microsoft Security Copilot 中 Azure 防火墙集成的更多详细信息的链接。