Azure 架構完善的架構檢視 Azure 防火牆
Azure 防火牆 是雲端原生和智慧型手機網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供最佳的威脅防護。 它是具有內建高可用性和不受限制雲端延展性的完整具狀態受控防火牆服務。 Azure 防火牆 提供東西方和南北交通檢查。
本文假設身為架構設計人員,您已檢閱虛擬網路安全性選項,並選擇 Azure 防火牆 作為工作負載的網路安全性服務。 本文中的指引提供架構建議,這些建議會對應至 Azure 妥善架構架構要素的原則。
重要
如何使用本指南
每個區段都有一個 設計檢查清單 ,可呈現關注的架構區域,以及當地語系化至技術範圍的設計策略。
此外, 也包含可協助具體化這些策略的技術功能建議 。 建議並不代表可供 Azure 防火牆 及其相依性使用的所有組態完整清單。 相反地,他們會列出對應至設計檢視方塊的主要建議。 使用建議來建置概念證明或優化現有的環境。
示範主要建議的基礎架構: Azure 中的中樞輪輻網路拓撲。
技術範圍
此檢閱著重於下列 Azure 資源的相關決策:
- Azure 防火牆
- Azure 防火牆管理員
可靠性
可靠性支柱的目的是要藉由 建立足夠的復原能力和從失敗中快速復原的能力,來提供持續的功能。
可靠性設計原則提供適用於個別元件、系統流程和整個系統的高階設計策略。
設計檢查清單
根據 可靠性的設計檢閱檢查清單,啟動您的設計策略。 請確定其與您業務需求的相關性,同時請記住您所使用的原則和架構類型。 擴充策略,以視需要包含更多方法。
檢閱已知問題 Azure 防火牆 清單。 Azure 防火牆產品會維護已知問題的更新清單。 此清單包含有關設計行為、建構下的修正、平臺限制,以及可能因應措施或風險降低策略的重要資訊。
請確定您的 Azure 防火牆 原則遵守 Azure 防火牆 限制和建議。 原則結構有限制,包括規則和規則集合群組的數目、原則大小總計、來源目的地和目標目的地。 請務必撰寫您的原則,並維持在記載的 臨界值之下。
針對較高的服務等級協定(SLA),跨多個可用性區域部署 Azure 防火牆。 Azure 防火牆 會根據您是否在單一可用性區域或多個區域中部署服務,提供不同的 SLA。 如需詳細資訊,請參閱 線上服務 SLA。
在多區域環境中,在每個區域中部署 Azure 防火牆 實例。 如需傳統中樞和輪輻架構,請參閱 多重區域考慮。 針對安全的 Azure 虛擬 WAN 中樞,設定 路由意圖和原則 ,以保護中樞間和分支對分支通訊。 針對抗失敗和容錯工作負載,請考慮將 Azure 防火牆 和 Azure 虛擬網絡 的實例視為區域資源。
監視 Azure 防火牆 計量和資源健康狀態。 Azure 防火牆與 整合Azure 資源健康狀態。 使用 資源健康狀態 檢查來檢視 Azure 防火牆 的健康狀態,並解決可能會影響 Azure 防火牆 資源的服務問題。
在中樞虛擬網路或虛擬 WAN 中樞中部署 Azure 防火牆。
注意
網路服務的可用性與傳統中樞和輪輻模型和虛擬 WAN 管理的受保護中樞模型不同。 例如,在虛擬 WAN 中樞中,Azure 防火牆 公用 IP 無法來自公用 IP 前綴,且無法啟用 Azure DDoS 保護。 當您選擇模型時,請考慮您在「架構良好架構」架構的所有五大要素中的需求。
建議
| 建議 | 優點 |
|---|---|
| 跨多個可用性區域部署 Azure 防火牆。 | 跨多個可用性區域部署 Azure 防火牆,以維護特定層級的復原能力。 如果某個區域發生中斷,另一個區域會繼續為流量提供服務。 |
| 監視Log Analytics工作區中的 Azure 防火牆計量。 密切監視指出 Azure 防火牆 健全狀態的計量,例如輸送量、防火牆健康情況狀態、SNAT 埠使用率和 AZFW 延遲探查計量。 使用 Azure 服務健康狀態來監視 Azure 防火牆 健康情況。 |
監視資源計量和服務健康情況,以便偵測服務狀態何時降級,並採取主動措施來防止失敗。 |
安全性
安全性支柱的目的是為工作負載提供機密性、完整性和可用性保證。
安全性設計原則提供高階設計策略,可藉由將方法套用至 Azure 防火牆的技術設計,以達成這些目標。
設計檢查清單
根據 安全性的設計檢閱檢查清單,開始您的設計策略。 識別弱點和控件,以改善安全性狀態。 擴充策略,以視需要包含更多方法。
透過防火牆或網路虛擬設備 (NVA) 傳送來自您工作負載的所有因特網流量,以偵測和封鎖威脅。 設定使用者定義的路由 (UDR) 以強制流量通過 Azure 防火牆。 針對 Web 流量,請考慮使用 Azure 防火牆 作為明確的 Proxy。
如果您想要使用這些提供者來保護輸出連線,請在防火牆管理員內設定支援的合作夥伴軟體即服務 (SaaS) 安全性提供者。
限制直接系結至虛擬機的 公用IP位址 使用方式,讓流量無法略過防火牆。 Azure 雲端採用架構 模型會將特定的 Azure 原則指派給 CORP 管理群組。
如果您的安全性需求需要實作 Web 應用程式的 零信任 方法,例如新增檢查和加密,請遵循 零信任 組態指南進行 Azure 防火牆 和 應用程式閘道。 請遵循本指南,針對傳統中樞和輪輻和虛擬 WAN 案例整合 Azure 防火牆 和 應用程式閘道。
如需詳細資訊,請參閱 在邊緣套用防火牆。
建立網路周邊 作為工作負載 分割策略 的一部分,以控制爆破半徑、模糊化工作負載資源,以及封鎖非預期、禁止和不安全的存取。 根據最低許可權存取準則建立 Azure 防火牆 原則的規則。
當您以強制通道模式設定 Azure 防火牆 時,將公用IP位址設定為 [無] 以部署完全私人數據平面。 此方法不適用於虛擬 WAN。
當您定義網路規則以簡化管理時,請使用完整功能變數名稱 (FQDN) 和服務標籤。
使用偵測機制 來努力監視威脅和濫用跡象。 利用平臺提供的偵測機制和量值。 啟用入侵檢測和預防系統 (IDPS)。 將 Azure DDoS 保護方案與您的中樞虛擬網路產生關聯。
如需詳細資訊,請參閱 偵測濫用。
建議
| 建議 | 優點 |
|---|---|
| 如果您需要將所有因特網系結流量路由至指定的下一個躍點,而不是直接路由傳送至因特網,請設定 Azure 防火牆 強制通道模式。 此建議不適用於虛擬 WAN。 「Azure 防火牆」必須能夠直接連線到網際網路。 如果您的 AzureFirewallSubnet 透過邊界閘道通訊協定學習到內部部署網路的預設路由,您必須以強制通道模式設定 Azure 防火牆。 您可以使用強制通道功能,為 Azure 防火牆 管理子網新增另一個 /26 位址空間。 將子網 命名為 AzureFirewallManagementSubnet。 如果您有現有的 Azure 防火牆 實例,您無法在強制通道模式中重新設定,請建立具有 0.0.0.0/0 路由的 UDR。 將 NextHopType 值設定為 因特網。 若要維護因特網連線,請將 UDR 與 AzureFirewallSubnet 產生關聯。 當您以強制通道模式設定 Azure 防火牆 時,將公用IP位址設定為 [無] 以部署完全私人數據平面。 但是管理平面仍需要公用IP才能進行管理。 來自虛擬和內部部署網路的內部流量不會使用該公用IP。 |
使用強制通道,讓您不會將 Azure 資源直接公開至因特網。 此方法可降低受攻擊面,並將外部威脅的風險降到最低。 若要更有效率地強制執行公司原則和合規性需求,請透過內部部署防火牆或 NVA 路由傳送所有因特網系結流量。 |
| 在階層式結構中建立防火牆原則的規則,以重疊中央基底原則。 如需詳細資訊,請參閱使用 Azure 防火牆 原則來處理規則。 根據最低許可權存取原則建立規則 零信任 原則 |
在階層式結構中組織規則,讓細微的原則可以符合特定區域的需求。 每個原則都可以包含不同集合的目的地網路位址轉換(DNAT)、網路和應用程式規則,這些規則具有特定優先順序、動作和處理訂單。 |
| 在防火牆管理員內設定支援 的安全性合作夥伴提供者 ,以保護輸出連線。 此案例需要中樞內具有 S2S VPN 閘道的虛擬 WAN,因為它會使用 IPsec 通道來連線到提供者的基礎結構。 受控安全性服務提供者可能會收取額外的授權費用,並限制 IPsec 連線的輸送量。 您也可以使用替代解決方案,例如 Zscaler Cloud Connector。 |
啟用 Azure 防火牆 中的安全性合作夥伴提供者,以利用最佳品種的雲端安全性供應專案,為您的因特網流量提供進階保護。 這些提供者提供特製化、使用者感知篩選和全面的威脅偵測功能,以增強整體安全性狀態。 |
| 啟用 Azure 防火牆 DNS Proxy 設定。 同時設定 Azure 防火牆 使用自定義 DNS 來轉送 DNS 查詢。 |
啟用此功能,以將虛擬網路中的用戶端 Azure 防火牆 為 DNS 伺服器。 這項功能可保護未直接存取和公開的內部 DNS 基礎結構。 |
| 將UDR設定為強制透過傳統中樞和輪輻架構中的 Azure 防火牆 流量,以進行輪輻對輪輻、輪輻對因特網和輪輻對混合式連線。 在虛擬 WAN 中,設定路由意圖和原則,以透過整合至中樞的 Azure 防火牆 實例,將私人流量或因特網流量重新導向。 如果您無法套用 UDR,而且只需要 Web 流量重新導向,請使用 Azure 防火牆 作為輸出路徑上的明確 Proxy。 當您將 Azure 防火牆 設定為 Proxy 時,您可以在傳送應用程式上設定 Proxy 設定,例如網頁瀏覽器。 |
透過防火牆傳送流量來檢查流量,並協助識別和封鎖惡意流量。 使用 Azure 防火牆 做為輸出流量的明確 Proxy,讓 Web 流量到達防火牆的私人 IP 位址,因此不需要使用 UDR 即可直接從防火牆輸出。 這項功能也有助於使用多個防火牆,而不需修改現有的網路路由。 |
| 在 網路規則中使用 FQDN 篩選。 您必須啟用 Azure 防火牆 DNS Proxy 設定,才能在網路規則中使用 FQDN。 | 在 Azure 防火牆 網路規則中使用 FQDN,讓系統管理員可以管理功能變數名稱,而不是多個IP位址,以簡化管理。 此動態解析可確保網域IP變更時,防火牆規則會自動更新。 |
| 使用 Azure 防火牆 服務標籤取代特定IP位址,為 Azure、Microsoft Dynamics 365和Microsoft 365 中的特定服務提供選擇性存取權。 | 在網路規則中使用服務標籤,以便您可以根據服務名稱而非特定的IP位址來定義訪問控制,以簡化安全性管理。 Microsoft IP 位址變更時,會自動管理及更新這些標記。 此方法可確保您的防火牆規則在不需要手動介入的情況下保持正確且有效。 |
| 在應用程式規則中使用 FQDN 標籤來提供特定 Microsoft 服務 的選擇性存取權。 您可以在應用程式規則中使用 FQDN 標籤,允許特定 Azure 服務的防火牆 所需的輸出網路流量,例如 Microsoft 365、Windows 365 和 Microsoft Intune。 |
在 Azure 防火牆 應用程式規則中使用 FQDN 標籤來代表與已知 Microsoft 服務 相關聯的 FQDN 群組。 此方法可簡化網路安全性規則的管理。 |
| 在警示和拒絕模式中啟用 Azure 防火牆的威脅情報。 | 使用威脅情報來針對新興威脅提供實時保護,以降低網路攻擊的風險。 這項功能會使用Microsoft威脅情報摘要,自動警示和封鎖來自已知惡意IP位址、網域和URL的流量。 |
| 在警示或警示和拒絕模式中啟用IDPS。 請考慮這項功能的效能影響。 | 啟用 Azure 防火牆 中的 IDPS 篩選可提供網路流量的即時監視和分析,以偵測及防止惡意活動。 這項功能會使用簽章型偵測來快速識別已知威脅,並在造成傷害之前加以封鎖。 如需詳細資訊,請參閱 偵測濫用。 |
| 當您搭配使用 TLS 檢查搭配 Azure 防火牆 Premium 時,請使用內部企業證書頒發機構單位 (CA) 來產生憑證。 僅針對 測試和概念證明 (PoC) 目的使用自我簽署憑證。 | 啟用 TLS 檢查,讓進階 Azure 防火牆 終止並檢查 TLS 連線,以偵測、警示及降低 HTTPS 中的惡意活動。 |
| 使用防火牆管理員來建立 Azure DDoS 保護方案與中樞虛擬網路的關聯。 此方法不適用於虛擬 WAN。 | 設定 Azure DDoS 保護方案,以便集中管理 DDoS 保護與防火牆原則。 此方法可簡化您管理網路安全性的方式,並簡化部署和監視程式的方式。 |
成本最佳化
成本優化著重於 偵測支出模式、將投資放在重要領域,以及優化其他人 以符合組織預算,同時符合商務需求。
成本優化設計原則提供高階設計策略,以達成這些目標,並在與 Azure 防火牆 及其環境相關的技術設計中視需要進行取捨。
設計檢查清單
根據 投資成本優化 的設計檢閱檢查清單,開始您的設計策略。 微調設計,讓工作負載符合為工作負載配置的預算。 您的設計應該使用正確的 Azure 功能、監視投資,以及尋找經過一段時間優化的機會。
選取要部署 Azure 防火牆 SKU。 從三個 Azure 防火牆 SKU 中選擇:基本、標準和進階。 使用 Azure 防火牆 Premium 來保護高度敏感的應用程式,例如付款處理。 如果您的工作負載需要第 3 層至第 7 層防火牆,且需要自動調整,以處理高達 30 Gbps 的尖峰流量期間,請使用 Azure 防火牆 Standard。 如果您使用 SMB,且最多需要 250 Mbps 的輸送量,請使用 Azure 防火牆 Basic。 您可以在 標準與進階 SKU 之間降級或升級。 如需詳細資訊,請參閱選擇正確的 Azure 防火牆 SKU。
拿掉未使用的防火牆部署,並將未使用的部署優化。 停止 Azure 防火牆 不需要持續執行的部署。 識別和刪除未使用的部署 Azure 防火牆。 若要降低營運成本,請監視和優化防火牆實例使用量、Azure 防火牆 管理員原則設定,以及您使用的公用IP位址和原則數目。
共用相同的 Azure 防火牆 實例。 您可以在中樞虛擬網路或虛擬 WAN 安全中樞使用 Azure 防火牆 的中央實例,並在從相同區域連線到相同中樞的輪輻虛擬網路之間共用相同的 Azure 防火牆 實例。 請確定您在中樞和輪輻拓撲中沒有非預期的跨區域流量。
透過防火牆優化流量。 定期檢閱 Azure 防火牆 處理的流量。 尋找減少周遊防火牆流量的機會。
減少您儲存的記錄數據量。 Azure 防火牆 可以使用 Azure 事件中樞 來全面記錄流量的元數據,並將其傳送至 Log Analytics 工作區、Azure 儲存體 或非Microsoft解決方案。 所有記錄解決方案都會產生處理數據並提供記憶體的成本。 大量數據可能會產生大量成本。 請考慮符合成本效益的方法和 Log Analytics的替代方案,並預估成本。 請考慮您是否需要記錄所有記錄類別的流量元數據。
建議
| 建議 | 優點 |
|---|---|
| 停止 Azure 防火牆 不需要持續執行的部署。 您可能只有上班時間才使用的開發或測試環境。 如需詳細資訊,請參閱解除分配和配置 Azure 防火牆。 | 在離峰時段或閑置期間關閉這些部署,以減少不必要的費用,但在關鍵時間維持安全性和效能。 |
| 定期檢閱 Azure 防火牆 流程的流量,並尋找原始工作負載優化。 最 上層流程記錄,也稱為 fat flow 記錄,會顯示透過防火牆貢獻最高輸送量的頂端連線。 | 將透過防火牆產生最多流量的工作負載優化,以減少流量,進而降低防火牆上的負載,並將數據處理和頻寬成本降至最低。 |
| 識別和刪除未使用的部署 Azure 防火牆。 分析 與指向防火牆私人IP之子網相關聯的監視計量 和UDR。 也請考慮關於環境和部署的其他驗證和內部檔。 例如,分析 Azure 防火牆的任何傳統NAT、網路和應用程式規則。 請考慮您的設定。 例如,您可以將 DNS Proxy 設定設定為 [已停用]。 如需詳細資訊,請參閱監視 Azure 防火牆。 |
使用此方法來偵測一段時間的符合成本效益的部署,並排除未使用的資源,這可防止不必要的成本。 |
| 仔細檢閱防火牆管理員原則、關聯和繼承,以優化成本。 原則會根據防火牆關聯計費。 具有零或一個防火牆關聯的原則是免費的。 具有多個防火牆關聯的原則會以固定費率計費。 如需詳細資訊,請參閱 防火牆管理員定價。 |
適當地使用防火牆管理員及其原則來降低營運成本、提高效率,以及降低管理額外負荷。 |
| 檢閱設定中的所有公用IP位址,並解除關聯並刪除您不使用的IP位址。 在您移除任何 IP 位址之前,請先評估來源網路位址轉換 (SNAT) 埠使用量。 如需詳細資訊,請參閱監視 Azure 防火牆 記錄和計量和 SNAT 埠使用量。 |
刪除未使用的IP位址以降低成本。 |
卓越營運
卓越營運主要著重於開發實務、可觀察性和發行管理的程式。
營運卓越設計原則提供高階設計策略,以達成工作負載作業需求的目標。
設計檢查清單
根據 Operational Excellence 的設計檢閱檢查清單來開始您的設計策略,以定義與 Azure 防火牆 相關的可觀察性、測試和部署程式。
使用防火牆管理員搭配傳統中樞和輪輻拓撲或虛擬 WAN 網路拓撲,以部署和管理 Azure 防火牆 的實例。 使用原生安全性服務進行流量治理和保護,以建立中樞和輪輻和可轉移架構。 如需詳細資訊,請參閱 網路拓撲和連線能力。
將 Azure 防火牆 傳統規則移轉至現有部署的防火牆管理員原則。 使用防火牆管理員集中管理防火牆和原則。 如需詳細資訊,請參閱移轉至 Azure 防火牆 Premium。
維護 Azure 原則 成品的一般備份。 如果您使用基礎結構即程式代碼方法來維護 Azure 防火牆 和所有相依性,則應備妥 Azure 防火牆 原則的備份和版本控制。 如果沒有,您可以部署 以外部邏輯應用程式為基礎的隨附機制 ,以提供有效的自動化解決方案。
監視 Azure 防火牆記錄和計量。 利用診斷記錄進行防火牆監視及疑難解答,以及用於稽核作業的活動記錄。
分析監視數據,以評估系統的整體健康情況。 使用內建 Azure 防火牆 監視活頁簿,熟悉 Kusto 查詢語言 (KQL) 查詢,並使用原則分析儀錶板來識別潛在的問題。
定義重要事件的 警示,讓操作員可以快速響應它們。
利用 Azure 中平臺提供的偵測機制來偵測濫用。 盡可能整合 Azure 防火牆 與 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel。 與 適用於雲端的 Defender 整合,讓您可以在一個地方將網路基礎結構和網路安全性的狀態可視化,包括 Azure 跨 Azure 不同區域的所有虛擬網路和虛擬中樞的 Azure 網路安全性。 與 Microsoft Sentinel 整合以提供威脅偵測和預防功能。
建議
| 建議 | 優點 |
|---|---|
| 啟用 Azure 防火牆 的診斷記錄。 使用防火牆記錄或活頁簿來監視 Azure 防火牆。 您也可以使用活動記錄來稽核 Azure 防火牆資源上的作業。 使用結構化防火牆記錄格式。 如果您有需要它的現有工具,才使用先前 的診斷記錄格式 。 請勿同時啟用這兩種記錄格式。 |
啟用診斷記錄,以優化 Azure 防火牆 的監視工具和策略。 使用結構化防火牆記錄來建構記錄數據,以便輕鬆地搜尋、篩選和分析。 最新的監視工具是以這種類型的記錄為基礎,因此通常是必要條件。 |
| 使用內建 Azure 防火牆 活頁簿。 | 使用 Azure 防火牆 活頁簿,從 Azure 防火牆 事件擷取寶貴的見解、分析您的應用程式和網路規則,以及檢查跨 URL、埠和位址的防火牆活動統計數據。 |
| 監視 Azure 防火牆 記錄和計量,並建立 Azure 防火牆 容量的警示。 建立警示來監視 輸送量、 防火牆健全狀況狀態、 SNAT 埠使用率,以及 AZFW 延遲探查 計量。 | 設定重要事件的警示,以在發生潛在問題之前通知操作員、協助防止中斷,以及起始快速容量調整。 |
| 定期檢閱原則 分析儀錶板 ,以找出潛在的問題。 | 使用原則分析來分析 Azure 防火牆 原則的影響。 找出原則中的潛在問題,例如會議原則限制、不適當的規則,以及不正確的IP群組使用方式。 取得改善安全性狀態和規則處理效能的建議。 |
| 瞭解 KQL 查詢,讓您可以使用 Azure 防火牆 記錄快速分析和疑難解答問題。 Azure 防火牆 提供範例查詢。 | 使用 KQL 查詢快速識別防火牆內的事件,並檢查以查看觸發的規則,或允許或封鎖要求的規則。 |
效能效率
效能效率是維護用戶體驗, 即使藉由管理容量增加負載 也一定。 此策略包括調整資源、識別和優化潛在的瓶頸,以及優化尖峰效能。
效能效率設計原則提供針對預期使用量達成這些容量目標的高階設計策略。
設計檢查清單
根據 效能效率的設計檢閱檢查清單,開始您的設計策略。 定義以 Azure 防火牆 關鍵效能指標為基礎的基準。
根據架構完善的架構建議,將您的 Azure 防火牆 組態優化,以優化程式代碼和基礎結構,並確保尖峰作業。 若要維護有效率且安全的網路,請定期檢閱並優化防火牆規則。 這種做法可協助確保您的防火牆設定在最新的安全性威脅下保持有效且最新狀態。
評估原則需求,並尋找摘要IP範圍和URL清單的機會。 使用 Web 類別來允許或拒絕大量輸出存取,以簡化管理和增強安全性。 評估警示和拒絕模式中 IDPS 的效能影響,因為此設定可能會影響網路等待時間和輸送量。 設定公用IP位址以支援您的 SNAT 連接埠需求。 請遵循這些做法來建立健全且可調整的網路安全性基礎結構。
請勿將 Azure 防火牆 用於虛擬網路內部流量控制。 使用 Azure 防火牆 來控制下列類型的流量:
- 跨虛擬網路的流量
- 虛擬網路與內部部署網路之間的流量
- 輸出流量至因特網
- 連入非 HTTP 或非 HTTPS 流量
針對虛擬網路內部流量控制,請使用 網路安全組。
在效能測試之前適當地準備 Azure 防火牆。 在測試前 20 分鐘建立不屬於負載測試一部分的初始流量。 使用診斷設定來擷取相應增加和相應減少事件。 您可以使用 Azure 負載測試服務來產生初始流量,以便相應增加 Azure 防火牆 實例數目上限。
使用 /26 位址空間設定 Azure 防火牆 子網。 您需要專用的子網才能 Azure 防火牆。 Azure 防火牆 隨著容量調整而布建更多容量。 /26 位址空間可確保防火牆有足夠的 IP 位址可容納調整。 Azure 防火牆 不需要大於 /26 的子網。 將 Azure 防火牆 子網命名為 AzureFirewallSubnet。
如果您不需要進階記錄,請不要啟用進階記錄。 Azure 防火牆 提供一些進階記錄功能,可能會產生大量成本來保持作用中。 相反地,您可以只針對疑難解答目的和有限的時間使用這些功能。 當您不需要這些功能時,請停用這些功能。 例如,最上層流程和流程追蹤記錄的成本很高,而且可能會導致 Azure 防火牆 基礎結構上的 CPU 和記憶體使用量過高。
建議
| 建議 | 優點 |
|---|---|
| 使用原則分析儀錶板來識別優化 Azure 防火牆 原則的方式。 | 使用原則分析來識別原則中的潛在問題,例如會議原則限制、不當規則,以及不正確的IP群組使用方式。 取得改善安全性狀態和規則處理效能的建議。 |
| 將經常使用的規則放在群組中,以優化具有大型規則集之 Azure 防火牆 原則的延遲。 如需詳細資訊,請參閱使用 Azure 防火牆 原則來處理規則。 |
將經常使用的規則放在規則集中,以優化處理延遲。 Azure 防火牆 會根據規則類型、繼承、規則集合群組優先順序和規則集合優先順序來處理規則。 Azure 防火牆 會先處理高優先順序的規則集合群組。 在規則集合群組內,Azure 防火牆 先處理優先順序最高的規則集合。 |
| 使用IP群組來摘要IP位址範圍,並避免超過 唯一來源或唯一目的地網路規則的限制。 Azure 防火牆 當您建立網路規則時,會將IP群組視為單一位址。 | 這種方法可有效地增加您可以涵蓋的IP位址數目,而不需要超過限制。 針對每個規則,Azure 會將埠乘以IP位址。 因此,如果一個規則有四個IP位址範圍和五個埠,您就會取用20個網路規則。 |
| 使用 Azure 防火牆 Web 類別來允許或拒絕大量輸出存取,而不是明確建置和維護一長串公用因特網網站。 | 此功能會動態分類 Web 內容,並允許建立精簡的應用程式規則,以減少作業額外負荷。 |
| 評估警示和拒絕模式中IDPS的效能影響。 如需詳細資訊,請參閱 Azure 防火牆效能。 | 啟用警示和拒絕模式中的 IDPS,以偵測並防止惡意網路活動。 這項功能可能會造成效能降低。 瞭解對工作負載的影響,以便您據此規劃。 |
| 針對容易遭受 SNAT 埠耗盡的部署,設定至少五個公用 IP 位址的 Azure 防火牆 部署。 | Azure 防火牆 支援每個後端 Azure 虛擬機器擴展集 實例所使用的每個公用 IP 位址 2,496 個埠。 此設定會將可用的 SNAT 埠增加五倍。 根據預設,Azure 防火牆 會針對每個流量目的地 IP、目的地埠和 TCP 或 UDP 通訊協定部署兩個支援 4,992 個埠的兩個 虛擬機器擴展集 實例。 防火牆最多可擴大至 20 個執行個體。 |
Azure 原則
Azure 提供一組與 Azure 防火牆 及其相依性相關的大量內建原則。 您可以透過 Azure 原則 稽核上述一些建議。 例如,您可以檢查是否:
網路介面不應該有公用IP。 此原則會拒絕使用公用IP設定的網路介面。 公用IP位址可讓因特網資源對Azure資源進行輸入通訊,而 Azure 資源可以向因特網通訊輸出。
所有因特網流量都應該透過已部署的 Azure 防火牆 實例路由傳送。 Azure 資訊安全中心 識別某些子網不會受到新一代防火牆的保護。 保護您的子網免於潛在的威脅。 使用 Azure 防火牆 或支援的下一代防火牆來限制子網的存取。
如需全面治理,請檢閱 Azure 原則 內建定義,以取得可能會影響網路安全性的 Azure 防火牆 和其他原則。
Azure Advisor 建議
Azure Advisor 是個人化的雲端顧問,可協助您遵循最佳做法來將 Azure 部署最佳化。 以下是一些建議,可協助您改善 Azure 防火牆的可靠性、安全性、成本效益、效能和營運卓越。
下一步
請參閱下列資源,示範本文中的建議。
使用下列參考架構作為如何將本文指引套用至工作負載的範例:
使用下列資源來改善您的實作專業知識:
請參閱其他資源: