共用方式為

規劃輸入和輸出因特網連線能力

  • 發行項

本文列出 Azure 與公用因特網之間輸入和輸出連線的考慮和建議。

設計考慮

  • Azure 原生網路安全性服務,例如 Azure 防火牆、Azure 應用程式閘道 上的Azure Web 應用程式防火牆(WAF),以及 Azure Front Door,均為完全受控。 您可以避免承擔大規模基礎設施部署的運營和管理成本及其複雜度。

  • 如果您的組織偏好使用非 Azure 網路虛擬設備(NVA),或在原生服務不符合特定需求的情況下,Azure 登陸區域架構與合作夥伴 NVA 完全相容。

  • Azure 針對虛擬網路上的虛擬機(VM)或計算實例,提供數種直接因特網輸出連線方法,例如網路位址轉換(NAT)網關或負載平衡器。 Azure NAT 閘道 建議作為啟用輸出連線的預設值,因為它在作上是最簡單的設定,而且是 Azure 中所有可用的輸出連線方法中最可調整且最有效率的選項。 如需詳細資訊,請參閱 Azure 輸出連線方法。

注意

自 2024 年 11 月起,所有 Azure 防火牆部署都必須包含 管理 NIC,以分隔管理和數據流量。 管理 NIC 先前只需要用於強制通道,但現在是即將推出的防火牆功能中的一個必要部分。 若要避免服務中斷,請確定您的防火牆已部署或更新,並啟用此功能。 如需現有的防火牆,請參閱 在現有的防火牆上啟用管理 NIC

設計建議

  • 使用 Azure NAT 閘道進行因特網的直接輸出連線。 NAT 閘道是一種全自動管理、高可用性的 NAT 服務,提供 可擴展且隨需應變的 SNAT

    • 使用 NAT 閘道進行下列動作:

      • 將流量傳送至網際網路的動態或大型工作負載。
      • 輸出連線的靜態和可預測公用IP位址。 NAT 閘道最多可與16個公用IP位址或 /28公用IP前綴相關聯。
      • 常見 SNAT 埠耗盡問題的緩解,通常與 負載平衡器輸出規則Azure 防火牆Azure App Services有關。
      • 網路內資源的安全性和隱私權。 只有輸出和傳回流量才能通過NAT閘道。

  • 使用 Azure 防火牆來管理:

    • Azure 輸出流量至因特網。
    • 非 HTTP/S 輸入連線。
    • 如果您的組織需要,則進行東西向流量篩選。

  • 部署已啟用管理 NIC 的 Azure 防火牆

    • 請確定事先建立 AzureFirewallManagementSubnet,以避免使用現有虛擬網路時發生部署問題,且子網大小下限為 /26
    • 將公用IP位址指派給管理NIC。 此IP可協助防火牆的作工作,包括更新和管理通訊。
    • 根據預設,Azure 會將系統提供的路由表與 AzureFirewallManagementSubnet 建立關聯。 下表包含預設路由至因特網,且必須停用 傳播網關路由

  • 使用 Azure 防火牆進階版 以獲得進階防火牆功能,例如:

    • 傳輸層安全性 (TLS) 檢查。
    • 網路入侵檢測和預防系統(IDPS)。
    • URL 篩選。
    • 網路類別。

注意

針對標準和進階防火牆版本,必須在建立程式期間手動啟用防火牆管理 NIC。 所有基本防火牆版本和所有安全中樞防火牆一律都已啟用管理 NIC。

  • Azure 防火牆管理員 同時支援 Azure 虛擬 WAN 和一般虛擬網路。 使用具有虛擬 WAN 的防火牆管理員,在虛擬 WAN 中樞或中樞虛擬網路中部署和管理 Azure 防火牆。

  • 如果您在 Azure 防火牆規則中一致地使用多個 IP 位址和範圍,請在 Azure 防火牆中設定 IP 群組。 您可以在 Azure 防火牆 DNAT、網路和應用程式規則中,針對跨 Azure 區域和訂用帳戶的多個防火牆使用 IP 群組。

  • 如果您使用自定義 用戶定義路由 (UDR) 來管理 Azure 平臺即服務 (PaaS) 服務的輸出連線,請將 服務卷標指定為位址前綴。 服務標籤會自動更新基礎 IP 位址以包含變更,並減少在路由表中管理 Azure 前置詞的額外負荷。

注意

避免將客戶路由表與 AzureFirewallManagementSubnet 建立關聯。 將自定義路由表與管理子網產生關聯,可能會導致設定錯誤和潛在的服務中斷。 如果您確實將路由表建立關聯,請確定其具有因特網的預設路由,以避免服務中斷。

  • 建立全域 Azure 防火牆原則,以控管全球網路環境的安全性狀態。 將原則指派給所有 Azure 防火牆實例。

  • 允許精細化的策略,以使用 Azure 角色為基礎的存取控制來將增量政策委派給本地安全團隊,從而滿足特定區域需求。

  • 使用登入區域虛擬網路內的 WAF 來保護來自因特網的 HTTP/S 輸入流量。

  • 使用 Azure Front Door 和 WAF 原則,針對登陸區域的輸入 HTTP/S 連線,提供跨 Azure 區域的全域保護。

  • 若要使用 Azure Front Door 和 Azure 應用程式閘道來協助保護 HTTP/S 應用程式,請使用 Azure Front Door 中的 WAF 原則。 鎖定 Azure 應用程式閘道,只接收來自 Azure Front Door 的流量。

  • 如果您需要合作夥伴的 NVA 來處理傳入的 HTTP/S 連線,請將它們與它們所保護和公開於互聯網的應用程式一起部署在登陸區域的虛擬網路中。

  • 針對輸出存取,請勿針對任何案例使用 Azure 的預設因特網輸出存取。 預設外部存取所遇到的問題包括:

    • SNAT 端口耗盡風險增加。
    • 預設不安全。
    • 無法相依於預設存取IP。 它們不是由客戶擁有的,而且可能會被更改。

  • 使用 NAT 入口閘道來處理線上著陸區域,或處理未連接到中樞虛擬網路的著陸區域。 需要對外部網際網路存取且不需要 Azure 防火牆標準或高級或第三方 NVA 安全性的計算資源,可以使用在線登陸區。

  • 如果您的組織想要使用軟體即服務 (SaaS) 安全性提供者來協助保護輸出連線,請在防火牆管理員內設定支持的合作夥伴。

  • 如果您使用合作夥伴 NVA 進行東西向或南北向流量保護和過濾:

    • 針對虛擬 WAN 網路拓撲,將 NVA 部署到獨立的 NVA 虛擬網路。 將虛擬網路連線到區域虛擬 WAN 中樞,以及需要存取 NVA 的著陸區。 如需詳細資訊,請參閱 案例:透過 NVA 路由傳送流量
    • 針對非虛擬 WAN 網路拓撲,請將合作夥伴 NVA 部署在中央樞紐虛擬網路中。

  • 請勿將 VM 管理埠公開至因特網。 針對管理工作:

  • 使用 Azure DDoS 保護 保護計劃,協助保護您裝載於虛擬網路內的公用端點。

  • 請勿嘗試將內部部署周邊網路概念和架構複寫至 Azure。 雖然 Azure 具有類似的安全性功能,但其實作和架構已適應雲端。