描述 Azure 防火牆

  • 2 分鐘

防火牆是安全性裝置,可以是硬體、軟體或兩者的組合,根據預先決定的安全性規則監視和控制傳入和傳出的網路流量。 其主要目的是在受信任的內部網路和未受信任的外部網路 (如網際網路) 之間建立屏障,以保護內部網路免受惡意攻擊。

Azure 防火牆是受控的雲端式網路安全性服務,可為在 Azure 中執行的雲端工作負載和資源提供威脅防護。

您可以在任何虛擬網路上部署 Azure 防火牆,但最佳方法是在集中式虛擬網路上使用它。 如此一來,您所有其他的虛擬和內部部署網路都將經過該防火牆執行路由傳送。 此模型的優點是能夠集中控制跨不同訂閱的所有虛擬網路的網路流量。

圖表顯示 Azure 防火牆在集中式虛擬網路上執行的方式,可保護雲端式虛擬網路和您的內部部署網路。

Azure 防火牆可以隨著多變的網路流量擴大使用方式,因此您不需要為尖峰流量編列預算。 當您將網路流量路由傳送至防火牆作為子網路預設閘道時,網路流量會受限於設定的防火牆規則。

Azure 防火牆的主要功能

清單簡要介紹了 Azure 防火牆的一些基本功能。

  • 具狀態防火牆:Azure 防火牆是具狀態防火牆,這表示它可以追蹤作用中連線的狀態,並根據流量的内容做出決策。

  • 內建的高可用性與可用性區域:Azure 防火牆具有內建的高可用性,這表示它旨在確保連續作業和最短停機時間,即使在發生失敗或高流量負載的情况下也是如此。 Azure 防火牆可以設定為跨多個可用性區域,其中每個可用性區域由一個或多個配備獨立電源、冷卻系統和網路的資料中心組成。 Azure 防火牆對可用性區域的支援透過在這些單獨區域之間分發資源來確保更高的可用性和韌性。

  • 網路與應用程式層級篩選:Azure 防火牆允許您為輸入和輸出流量建立和執行網路流量篩選規則。 您可以根據 IP 位址、連接埠和通訊協定定義規則。 Azure 防火牆可以根據 HTTP/S 等應用程式層通訊協定篩選流量。 這表示您可以控制對完整網域名稱 (FQDN) 的存取。

  • 來源和目的地網路位址轉譯 (NAT):網路位址轉譯是將 IP 位址重新對應至另一個 IP 位址以管理和保護網路流量的方法。 Azure 防火牆支援來源網路位址轉譯 (SNAT)。 SNAT 將網路資源 (來源) 的私人 IP 位址轉譯為 Azure 公用 IP 位址。 這識別並允許從虛擬網路至網際網路目的地的流量。 同樣,Azure 防火牆支援目的地網路位址轉譯 (DNAT)。 藉由 DNAT,用於存取網路內特定服務的公用 IP 位址將被轉譯並篩選為虛擬網路 (目的地) 上資源的私人 IP 位址。 這允許來自網際網路的流量存取您的私人資源。

  • 威脅情報:Azure 防火牆與 Microsoft 的威脅情報摘要整合,以通知您已知的惡意 IP 位址和網域,協助保護您的網路免受威脅。 您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/傳向已知惡意 IP 位址和網域的流量。

  • 記錄和監視:Azure 防火牆提供記錄和監視功能,以協助您追蹤防火牆活動並診斷問題。 記錄可以傳送至 Azure 監視器、Log Analytics 或事件中樞進行進一步分析。

  • 與 Azure 服務整合:它與其他 Azure 服務無縫整合,如 Azure 虛擬網路、Azure 原則和 Azure 資訊安全中心,為您的雲端基礎結構提供了一致安全性解决方案。

Azure 防火牆於三個 SKU 中提供:標準版、進階版和基本版。 如需每個可用 SKU (標準、進階和基本) 所含功能的詳細資訊,請參閱摘要和資源單元的<深入了解>一節。

與 Security Copilot 整合

Azure 防火牆已與 Microsoft Security Copilot 整合。

針對上線至 Microsoft Security Copilot 的組織,使用者可以透過獨立體驗來體驗 Copilot 整合。

Azure 防火牆整合可協助分析員使用 Security Copilot 獨立體驗中的自然語言問題,對網路入侵偵測和防護系統 (在標準和進階 Azure 防火牆 SKU 中可用) 攔截的惡意流量和/或威脅情報功能進行詳細調查。

若要使用 Azure 防火牆與 Copilot 整合:

  • 要搭配 Security Copilot 使用的 Azure 防火牆必須設定為使用 IDPS 的資源特定結構化記錄,且這些記錄必須傳送至 Log Analytics 工作區。
  • 使用者必須具有角色權限,才能使用 Microsoft Security Copilot,而且必須具有適當的 Azure 角色型存取控制 (RBAC) 角色,才能存取防火牆和相關聯的 Log Analytics 工作區。
  • 必須開啟 Security Copilot 中的 Azure 防火牆外掛程式。

Azure 防火牆外掛程式的螢幕擷取畫面。

Copilot 中的 Azure 防火牆功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。

可在獨立體驗中執行的 Azure 防火牆系統功能的螢幕擷取畫面。

此模組的摘要和資源單元提供了連結,指向 Microsoft Security Copilot 中有關 Azure 防火牆整合的更詳細資訊。