规划 Azure 防火墙部署

在部署 Azure 防火墙之前，需要规划网络拓扑、确定所需的防火墙规则并了解部署步骤。

Azure 防火墙规则

你应该记得，默认情况下，防火墙会拒绝所有访问。你的工作是使用允许流量通过防火墙的条件配置防火墙。每个条件都称为一个规则。每个规则对数据应用一项或多项检查。只有通过所有防火墙规则中每项检查的流量才能通过防火墙。

下表介绍了可以为 Azure 防火墙创建的三种规则类型。为了允许适当的 Azure 虚拟桌面网络流量，你将使用应用程序和网络规则。

规则类型	说明
网络地址转换 (NAT)	根据防火墙的公共 IP 地址和指定的端口号，转换并筛选入站 Internet 流量。例如，若要启用与虚拟机 (VM) 的远程桌面连接，可使用 NAT 规则将防火墙的公共 IP 地址和端口 3389 转换为 VM 的专用 IP 地址。
应用程序	根据完全限定域名 (FQDN) 或 FQDN 标记筛选流量。 FQDN 标记表示与众所周知的 Microsoft 服务（如 Azure 虚拟桌面）关联的一组 FQDN。例如，你将使用应用程序规则通过 FQDN 标记“WindowsVirtualDesktop”来允许 Azure 虚拟桌面 VM 的出站流量。
网络	根据以下三个网络参数中的一个或多个参数筛选流量：IP 地址、端口和协议。例如，使用网络规则针对 TCP 和 UDP 端口 53 允许从本地 Active Directory 域服务器专用 IP 地址流向 Azure 的流量。如果使用的是 Microsoft Entra 域服务器，则无需创建网络规则。 DNS 查询将转发到位于 168.63.129.16 的 Azure DNS。

Azure 防火墙按优先级顺序应用规则。基于威胁情报的规则始终具有最高优先级，且先予以处理。之后，按类型应用规则：先是 NAT 规则，然后是网络规则，再然后是应用程序规则。在每种类型中，规则将根据创建规则时分配的优先级值（从最低值到最高值）予以处理。

你应该记得，Azure 防火墙提供了许多功能，旨在简化创建和管理规则的过程。下表对这些功能进行了总结。为了允许 Azure 虚拟桌面的网络流量，你将使用 FQDN 标记，但也可以在环境中使用下列其他选项。

Feature	说明
FQDN	主机的域名或者一个或多个 IP 地址。将 FQDN 添加到应用程序规则将允许访问该域。在应用程序规则中使用 FQDN 时，可以使用通配符，例如 *.google.com。
FQDN 标记	一组已知的 Microsoft FQDN。将 FQDN 标记添加到应用程序规则可允许对标记的 FQDN 进行出站访问。例如，Windows 更新、Azure 虚拟桌面、Windows 诊断和 Azure 备份均存在 FQDN 标记。 Microsoft 管理 FQDN 标记，你无法修改或创建它们。
服务标记	与特定 Azure 服务相关的一组 IP 地址前缀。将服务标记添加到网络规则可允许访问标记所表示的服务。包括 Azure 备份、Azure Cosmos DB 和 Azure 逻辑应用在内的许多 Azure 服务都具有服务标记。 Microsoft 管理服务标记，你无法修改或创建它们。
IP 组	一组 IP 地址，例如 10.2.0.0/16 或 10.1.0.0-10.1.0.31。可以将 IP 组用作 NAT 或应用程序规则中的源地址，或用作网络规则中的源地址或目标地址。
自定义 DNS	将域名解析为 IP 地址的自定义 DNS 服务器。如果使用自定义 DNS 服务器（而不是 Azure DNS），则还必须将 Azure 防火墙配置为 DNS 代理。
DNS 代理	可以将 Azure 防火墙配置为充当 DNS 代理，这意味着所有客户端 DNS 请求在前往 DNS 服务器之前都要通过防火墙。

在上一个练习中，你创建了一个主机池和一个带有子网的虚拟网络。你已将会话主机 VM 部署到该子网并将其注册到主机池。在接下来的练习中，你将完成以下步骤来部署 Azure 防火墙，以保护主机池。

设置网络：
- 创建包含用于防火墙部署的子网的中心虚拟网络。
- 将中心网络与辐射网络对等互连。在下一个练习中，你会将中心虚拟网络与 Azure 虚拟桌面主机池使用的虚拟网络对等互连。
部署 Azure 防火墙：
- 将 Azure 防火墙部署到中心虚拟网络中的子网。
- 对于出站流量，创建一个将流量从所有子网发送到防火墙专用 IP 地址的默认路由。
创建 Azure 防火墙规则：
- 使用用于筛选入站和出站流量的规则配置防火墙。