共用方式為

Azure 防火牆基本版功能

  • 發行項

Azure 防火牆基本版是受控、雲端式網路安全性服務,可以保護 Azure 虛擬網路資源。

顯示防火牆基本版的圖表。

Azure 防火牆基本版包含下列功能:

  • 內建高可用性
  • 可用性區域
  • 應用程式 FQDN 篩選規則
  • 網路流量篩選規則
  • FQDN 標籤
  • 服務標籤
  • 警示模式中的威脅情報
  • 輸出 SNAT 支援
  • 輸入 DNAT 支援
  • 多個公用 IP 位址
  • Azure 監視器記錄
  • 認證

若要比較所有防火牆版本的 Azure 防火牆 功能,請參閱選擇正確的 Azure 防火牆 版本以符合您的需求

內建高可用性

高可用性是內建的,因此不需要額外的負載平衡器,您也不需要進行任何設定。

可用性區域

Azure 防火牆可在部署期間進行設定,以跨越多個可用性區域來增加可用性。 您也可以基於鄰近性而將 Azure 防火牆關聯到特定區域。 如需可用性的詳細資訊,請參閱 Azure 防火牆服務等級協定 (SLA)

部署於多個「可用性區域」的防火牆不會產生額外費用。

Azure 防火牆 可用性區域 可在支援可用性區域的區域中取得。 如需詳細資訊,請參閱 具有可用性區域支援的區域。

應用程式 FQDN 篩選規則

您可以將輸出 HTTP/S 流量或 Azure SQL 流量限制為包含萬用字元的特殊完整網域名稱 (FQDN) 清單。 此功能不需要傳輸層安全性 (TLS) 終止。

下列影片示範如何建立應用程式規則:

網路流量篩選規則

您可以依據來源和目的地 IP 位址、連接埠及通訊協定,集中建立「允許」或「拒絕」網路篩選規則。 Azure 防火牆是完全具狀態的,因此能夠分辨不同連線類型的合法封包。 規則會橫跨多個訂用帳戶和虛擬網路強制執行及記錄。

Azure 防火牆支援第 3 層和第 4 層網路通訊協定的具狀態篩選。 在 [網路規則] 中選取 [任意] 通訊協定,然後選取連接埠的萬用字元,即可篩選第 3 層 IP 通訊協定。

FQDN 標籤

FQDN 標籤讓您輕鬆就能允許已知的 Azure 服務網路流量通過您的防火牆。 舉例來說,當您要允許 Windows Update 網路流量通過防火牆時。 您可以建立應用程式規則,並包含 Windows Update 標籤。 現在,來自 Windows Update 的網路流量就能通過您的防火牆。

服務標籤

服務標籤表示一組 IP 位址前置詞,有助於降低建立安全性規則的複雜性。 您無法建立自己的服務標籤,也無法指定標籤中包含哪些 IP 位址。 Microsoft 會管理服務標籤所包含的位址首碼,並在位址變更時自動更新服務標籤。

威脅情報

您可為防火牆啟用威脅情報型篩選,以警示來自/傳向已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。

輸出 SNAT 支援

所有輸出虛擬網路流量 IP 位址都會轉譯成 Azure 防火牆公用 IP (來源網路位址轉譯)。 您可以識別並允許從您的虛擬網路到遠端網際網路目的地的流量。 目的地 IP 為 IANA RFC 1918 的私人 IP 範圍時,Azure 防火牆不會進行 SNAT 轉譯。

如果您的組織使用私人網路的公用 IP 位址範圍,Azure 防火牆會將流量 SNAT 轉譯到 AzureFirewallSubnet 其中一個防火牆私人 IP 位址。 您可以將 Azure 防火牆設定為不要 SNAT 公用 IP 位址範圍。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人 IP 位址範圍

您可以在 Azure 防火牆計量中監視 SNAT 連接埠使用率。 若要深入瞭解,請參閱防火牆記錄和計量文件中的 SNAT 連接埠使用率建議。

如需 Azure 防火牆 NAT 行為的詳細資訊,請參閱 Azure 防火牆 NAT 行為

輸入 DNAT 支援

傳送到您防火牆公用 IP 位址的輸入網際網路流量會轉譯 (目的地網路位址轉譯),並篩選至您虛擬網路上的私人 IP 位址。

多個公用 IP 位址

您可以將多個公用 IP 位址與防火牆相關聯。

多個公用IP位址可啟用下列案例:

  • DNAT - 您可以將多個標準連接埠執行個體轉譯到後端伺服器。 例如,如果您有兩個公用 IP 位址,您可以為這兩個 IP 位址轉譯 TCP 通訊埠 3389 (RDP)。
  • SNAT - 更多連接埠可用於輸出 SNAT 連線,降低 SNAT 連接埠耗盡的可能性。 目前,Azure 防火牆會隨機選取來源公用 IP 位址以用於連線。 如果您的網路上有任何下游篩選,則您必須允許與防火牆相關聯的所有公用 IP 位址。 請考慮使用公用 IP 位址首碼來簡化此設定。

Azure 監視器記錄

所有事件都會與 Azure 監視器整合,讓您可以將記錄封存至儲存體帳戶、將事件串流至事件中樞,或者將其傳送到 Azure 監視器記錄。 如需 Azure 監視器記錄範例,請參閱適用於 Azure 防火牆的 Azure 監視器記錄

如需詳細資訊,請參閱教學課程:監視 Azure 防火牆記錄和計量

Azure 防火牆活頁簿提供用於 Azure 防火牆資料分析的彈性畫布。 您可以使用畫布在Azure 入口網站內建立豐富的視覺效果報告。 如需詳細資訊,請參閱使用 Azure 防火牆活頁簿監視記錄

認證

Azure 防火牆符合支付卡產業 (PCI)、服務組織控制 (SOC) 和國際標準化組織 (ISO) 規範。 如需詳細資訊,請參閱 Azure 防火牆合規性認證