规划、实施和管理 Azure 防火墙、Azure 防火墙管理器和防火墙策略
Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供最高水平的威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 它提供东西流量和南北流量检查。
Azure 防火墙提供三种 SKU:标准版、高级版和基本版。
Azure 防火墙标准版
Azure 防火墙标准版直接从 Microsoft 网络安全提供第 3 层到第 7 层 (L3-L7) 筛选和威胁情报源。 基于威胁情报的筛选可以发出警报,并拒绝来自/发往已知恶意 IP 地址和域的流量,这些地址和域会实时更新以防范新兴攻击。
Azure 防火墙高级版
Azure 防火墙高级版提供了高级功能,包括基于签名的入侵检测和防护系统 (IDPS),以支持通过查找特定模式来快速检测攻击。 这些模式可能包括网络流量中的字节序列或恶意软件使用的已知恶意指令序列。 有 67000 个以上的签名存在于 50 个以上的类别中,它们会实时更新以防范新兴攻击。 攻击类别包括恶意软件、网络钓鱼、硬币挖掘和特洛伊木马攻击。
Azure 防火墙基本版
Azure 防火墙基本版适用于中小型 (SMB) 客户,用于保护其 Azure 云环境。 它以合理的价格提供 SMB 客户所需的基本保护。
Azure 防火墙基本版类似于防火墙标准版,但具有以下主要限制:
- 仅支持威胁 Intel 警报模式。
- 固定缩放单元,以在两个虚拟机后端实例上运行服务
- 建议用于预估吞吐量为 250 Mbps 的环境
Azure 防火墙管理器
Azure 防火墙管理器是一种安全管理服务,可为基于云的安全外围提供集中安全策略和路由管理。
防火墙管理器可为两种网络体系结构类型提供安全管理:
- 安全虚拟中心
Azure 虚拟 WAN 中心是一种 Microsoft 托管资源,可用于轻松创建中心辐射型体系结构。 当安全和路由策略与此类中心相关联时,它被称为安全虚拟中心。 - 中心虚拟网络
这是你自己创建并管理的标准 Azure 虚拟网络。 安全策略在与此类中心关联后,将称为中心虚拟网络。 目前仅支持 Azure 防火墙策略。 可将包含工作负荷服务器和服务的辐射虚拟网络对等互连。 还可以在未对等互连到任何辐射的独立虚拟网络中管理防火墙。
Azure 防火墙管理器功能
Azure 防火墙管理器具有以下功能:
中央 Azure 防火墙部署和配置
可以集中部署和配置多个跨不同 Azure 区域和订阅的 Azure 防火墙实例。
分层策略(全局和本地)
可以使用 Azure 防火墙管理器跨多个安全虚拟中心集中管理 Azure 防火墙策略。 中央 IT 团队可以创作全局防火墙策略,跨团队实施组织范围的防火墙策略。 本地创作的防火墙策略允许 DevOps 自助服务模型,敏捷性更高。
与第三方安全即服务集成,安全性更佳
除了 Azure 防火墙,还可以集成第三方安全即服务 (SECaaS) 提供程序,为 VNet 和分支 Internet 连接提供双重网络保护。
此功能仅在安全虚拟中心部署中可用。
VNet 到 Internet (V2I) 流量筛选
- 使用首选第三方安全提供程序筛选出站虚拟网络流量。
- 为在 Azure 上运行的云工作负荷提供高级用户感知型 Internet 保护。
- 使用首选第三方安全提供程序筛选出站虚拟网络流量。
分支到 Internet (B2I) 流量筛选:利用 Azure 连接和全球分发,轻松将分支的第三方筛选添加到 Internet 方案。
集中式路由管理
轻松将流量路由到安全中心进行筛选和记录,无需在辐射虚拟网络上手动设置用户定义路由 (UDR)。
此功能仅在安全虚拟中心部署中可用。
可使用第三方提供程序对分支到 Internet (B2I) 流量进行筛选,同时使用 Azure 防火墙对分支到 VNet (B2V)、VNet 到 VNet (V2V) 以及 VNet 到 Internet (V2I) 流量进行筛选。
DDoS 防护计划
可以在 Azure 防火墙管理器中将虚拟网络与 DDoS 防护计划相关联。 有关详细信息,请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划。
管理 Web 应用程序防火墙策略
可以为应用程序交付平台(包括 Azure Front Door 和 Azure 应用程序网关)集中创建和关联 Web 应用程序防火墙 (WAF) 策略。 有关详细信息,请参阅管理 Web 应用程序防火墙策略。
上市区域
可以跨区域使用 Azure 防火墙策略。 例如,可以在美国西部创建一个策略,然后在美国东部使用它。