| Azure Well | 您所在的位置:网站首页 › 路由跟踪可以更有效地获取 › Azure Well |
|
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。 Azure Well-Architected 框架评审 - Azure 防火墙 项目 04/20/2023本文提供了 Azure 防火墙的体系结构最佳做法。 本指南基于卓越体系结构的五大支柱: 可靠性 安全性 成本优化 卓越运营 性能效率我们假设你具备Azure 防火墙知识,并且熟悉其功能。 有关详细信息,请参阅 Azure 防火墙标准版功能。 先决条件 了解 Azure Well-Architected Framework 支柱有助于生成高质量、稳定且高效的云体系结构。 使用 架构良好的框架评审评估来评审 工作负荷。 根据本文中提供的指南,使用参考体系结构查看注意事项。 从 与 PaaS 数据存储建立专用连接的网络强化 Web 应用程序 开始, 并实现安全的混合网络。 可靠性若要了解 Azure 防火墙 如何支持可靠的工作负载,请参阅以下文章: Azure 防火墙简介 快速入门:使用可用性区域部署Azure 防火墙 设计清单在为Azure 防火墙做出设计选择时,请查看设计原则的可靠性。 使用安全虚拟中心进行部署。 使用全局Azure 防火墙策略。 确定是否要将第三方安全性用作服务 (SECaaS) 提供程序。 建议浏览以下建议表,以优化Azure 防火墙配置的可靠性。 建议 好处 将 Azure 防火墙 Manager 与 Azure 虚拟 WAN配合使用,可跨虚拟 WAN中心或中心虚拟网络部署和管理Azure 防火墙实例。 使用本机安全服务轻松创建中心辐射型和可传递体系结构,实现流量治理和保护。 创建全局 Azure 防火墙策略来控制全球网络环境中的安全态势。 将策略分配给Azure 防火墙的所有实例。 允许精细策略以满足特定区域的要求。 通过基于角色的访问控制 (RBAC) ,将增量防火墙策略委托给本地安全团队。 如果要使用这些解决方案来保护出站连接,请在防火墙管理器中将受支持的第三方软件配置为服务 (SaaS) 安全提供程序。 你可以使用熟悉的同类最佳第三方 SECaaS 产品/服务来保护用户的 Internet 访问。 跨多个可用性区域部署Azure 防火墙,以实现更高的服务级别协议 (SLA) 。 Azure 防火墙在单个可用性区域中部署和部署在多个区域中时,会提供不同的 SLA。 详细信息请参阅 Azure 防火墙 SLA。 有关所有 Azure SLA 的信息,请参阅 Azure 服务的 SLA 摘要。 在多区域环境中,为每个区域部署一个 Azure 防火墙 实例。 对于旨在抵御故障和容错的工作负载,请记住,Azure 防火墙和 Azure 虚拟网络 实例是区域资源。 密切监视Azure 防火墙指标,以确保解决方案的此组件正常运行。 密切监视指标,特别是 SNAT 端口利用率、防火墙健康状况和吞吐量。Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。 安全性安全性是任何体系结构最为重视的方面之一。 Azure 防火墙 是一种智能防火墙安全服务,可为 Azure 中运行的云工作负载提供威胁防护。 设计清单在为Azure 防火墙做出设计选择时,请查看安全性设计原则。 使用全局Azure 防火墙策略。 使用威胁智能。 使用 DNS 代理。 通过Azure 防火墙定向网络流量。 验证分支网络。 确定是否要使用第三方 SECaaS 提供程序。 使用实时 (JIT) 系统。 使用 DDoS 保护计划保护中心虚拟网络。 建议浏览以下建议表,以优化Azure 防火墙配置的安全性。 建议 好处 创建全局 Azure 防火墙策略来控制全球网络环境中的安全态势。 将策略分配给Azure 防火墙的所有实例。 允许精细策略以满足特定区域的要求。 通过 RBAC 将增量防火墙策略委托给本地安全团队。 在 Azure 防火墙上启用威胁情报。 你可以为防火墙启用基于威胁情报的筛选,以发出警报并拒绝来自或送到未知 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁情报源。 Intelligent Security Graph 支持 Microsoft 威胁智能,供多个服务使用,包括 Microsoft Defender for Cloud。 启用域名系统 (DNS) 代理,并将基础结构 DNS 指向Azure 防火墙。 默认情况下,Azure 防火墙使用 Azure DNS。 使用自定义 DNS,可以将Azure 防火墙配置为使用公司 DNS 解析外部和内部名称。 配置用户定义路由 (UDR),将流量强制路由到 Azure 防火墙。 配置 UDR,将流量强制传输到 Azure 防火墙,以便用于 SpoketoSpoke、SpoketoInternet 和 SpoketoHybrid 连接。 验证部署Azure 防火墙的中心虚拟网络与其他分支虚拟网络之间是否存在不必要的对等互连。 有助于确保不需要的流量不会发送到部署Azure 防火墙的 Azure 防火墙或中心网络。 将安全合作伙伴提供程序用于第三方 SECaaS 产品/服务。 安全合作伙伴提供商可帮助筛选通过虚拟专用网络或分支到 Internet 的 Internet 流量。 使用 JIT 系统控制对虚拟机的访问, (从 Internet) VM。 可以使用 Microsoft Defender for Cloud JIT 来控制使用 Azure 防火墙 从 Internet 连接的客户端的访问。 在强制隧道模式下配置Azure 防火墙,将所有 Internet 绑定的流量路由到指定的下一跃点,而不是直接转到 Internet。 Azure 防火墙必须具有直接的 Internet 连接。 如果 AzureFirewallSubnet 通过边界网关协议了解到本地网络的默认路由,则必须在强制隧道模式下配置Azure 防火墙。 使用强制隧道功能,需要为Azure 防火墙管理子网提供另一个 /26 地址空间。 需要将其命名为 AzureFirewallManagementSubnet。如果这是无法在强制隧道模式下重新配置的现有Azure 防火墙实例,请创建路由为 0.0.0.0.0/0 的 UDR。 将 NextHopType 值设置为 Internet。 将其与 AzureFirewallSubnet 关联,以保持 Internet 连接。 在强制隧道模式下配置Azure 防火墙时,将公共 IP 地址设置为“无”以部署完全专用的数据平面。 部署新的 Azure 防火墙 实例时,如果启用强制隧道模式,可以将公共 IP 地址设置为“无”以部署完全专用的数据平面。 但是,管理平面仍需要公共 IP,仅用于管理目的。 来自虚拟和本地网络的内部流量不会使用该公共 IP。 有关强制隧道的详细信息,请参阅Azure 防火墙强制隧道。 在网络规则中使用完全限定的域名 (FQDN) 筛选。 可以在Azure 防火墙和防火墙策略中使用基于 DNS 解析的 FQDN。 此功能允许你筛选采用任何 TCP/UDP 协议(包括 NTP、SSH、RDP 等)的出站流量。 必须启用 DNS 代理选项才能在网络规则中使用 FQDN。 若要了解其工作原理,请参阅Azure 防火墙网络规则中的 FQDN 筛选。 使用 Azure 防火墙 Manager 创建 DDoS 保护计划并将其与中心虚拟网络相关联。 DDoS 防护计划提供了增强的缓解功能,可保护防火墙免受 DDoS 攻击。 Azure 防火墙 Manager 是用于创建防火墙基础结构和 DDoS 保护计划的集成工具。 有关详细信息,请参阅使用 Azure 防火墙管理器配置 Azure DDoS 防护计划。Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。 策略定义应通过Azure 防火墙路由所有 Internet 流量。 通过Azure 防火墙或支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁。 与 Azure 网络相关的所有内置策略定义都列在 内置策略 - 网络中。 成本优化成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 设计清单在为Azure 防火墙做出设计选择时,请查看成本优化的设计原则。 确定要部署的防火墙 SKU。 确定某些资源是否需要 100% 分配。 确定可以跨工作负载优化防火墙使用的位置。 监视防火墙使用情况以确定成本效益。 查看防火墙管理器功能以确定潜在的运营效率。 确定所需的公共 IP 地址数。 建议浏览以下建议表,以优化Azure 防火墙配置以优化成本。 建议 好处 根据需要部署标准和高级 SKU。 “标准”选项通常足以满足东西向流量的需求。 Premium 具有南北流量所需的额外功能、强制隧道功能以及许多其他功能。 有关详细信息,请参阅 Azure 防火墙 Premium Preview 功能。 根据需要使用标准和高级选项部署混合方案。 停止Azure 防火墙不需要运行 24 小时的部署。 你可能有仅在工作时间使用的开发环境。 有关详细信息,请参阅解除分配和分配Azure 防火墙。 跨多个工作负荷和 Azure 虚拟网络共享同一个Azure 防火墙实例。 可以在中心虚拟网络中使用Azure 防火墙的中心实例,并在从同一区域连接到同一中心的多个辐射虚拟网络之间共享相同的防火墙。确保中心辐射型拓扑中没有意外的跨区域流量。 查看未充分利用Azure 防火墙实例。 识别和删除未使用的Azure 防火墙部署。 若要识别未使用的Azure 防火墙部署,请首先分析与指向防火墙专用 IP 的子网关联的监视指标和 UDR。 将此信息与其他验证相结合,例如,Azure 防火墙实例是否有任何规则 (NAT、网络和应用程序的经典) ,或者即使 DNS 代理设置配置为“已禁用”,以及有关环境和部署的内部文档也是如此。可以检测一段时间内经济高效的部署。 有关监视日志和指标的详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 使用 Azure 防火墙 Manager 及其策略来降低运营成本、提高效率并减少管理开销。 请仔细阅读防火墙管理器策略、关联和继承。 策略根据防火墙关联计费。 存在零个或一个防火墙关联的策略是免费的。 存在多个防火墙关联的策略按固定费率计费。有关详细信息,请参阅定价 - Azure 防火墙管理器。 删除未使用的公共 IP 地址,并使用 IP 组减少管理开销。 验证是否正在使用所有关联的公共 IP 地址。 如果未使用它们,请取消关联并删除它们。 使用 IP 组减少管理费用。 在删除任何 IP 地址之前评估 SNAT 端口利用率。你将仅使用防火墙所需的公共 IP 数。 有关详细信息,请参阅监视Azure 防火墙日志和指标以及 SNAT 端口利用率。 有关更多建议,请参阅 成本优化支柱的原则。 Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。 卓越运营监视和诊断至关重要。 可以度量性能统计信息和指标,以快速排查和修正问题。 设计清单在为Azure 防火墙做出设计选择时,请查看设计原则,确保卓越运营。 使用日志进行监视。 尽可能使用标记以允许流量通过防火墙。 使用工作簿。 在 Microsoft Sentinel 中使用 Azure 防火墙 连接器。 建议浏览以下建议表,以优化Azure 防火墙配置,实现卓越运营。 建议 好处 打开 Azure 防火墙日志。 可以使用防火墙日志或工作簿监视Azure 防火墙。 还可以使用活动日志对Azure 防火墙资源执行审核操作。 在 Azure 防火墙 上使用 FQDN 标记。 FQDN 标记使你可以轻松地允许已知的 Azure 服务网络流量通过防火墙。 例如,假设你想要允许 Windows 更新网络流量通过防火墙。 创建应用程序规则,并使用 Windows 更新标记。 现在,来自 Windows 更新的网络流量将可以流经防火墙。 在 Azure Log Analytics 中使用工作簿。 工作簿有助于可视化防火墙日志。 在 Microsoft Sentinel 中启用Azure 防火墙连接器。 可以使用 Microsoft Sentinel 为Azure 防火墙创建检测和逻辑应用。 将Azure 防火墙规则迁移到现有部署Azure 防火墙 Manager 策略。 对于现有部署,请将Azure 防火墙规则迁移到 Azure 防火墙 Manager 策略。 使用 Azure 防火墙 Manager 集中管理防火墙和策略。 监视容量指标是预配Azure 防火墙容量利用率的指标。 根据需要设置警报,以便在达到任何指标的阈值后获取通知。有关监视日志和指标的信息,请参阅监视Azure 防火墙日志和指标。 监视其他Azure 防火墙日志和指标,以便进行故障排除并设置警报。 Azure 防火墙公开了一些其他日志和指标,用于故障排除,这些日志和指标是适当的问题指标。 基于以下列表评估警报。应用程序规则日志:与配置的应用程序规则之一匹配的每个新连接都会生成接受/拒绝连接的日志。网络规则日志:与配置的网络规则之一匹配的每个新连接都会生成接受/拒绝连接的日志。DNS 代理日志:此日志跟踪使用 DNS 代理配置的 DNS 服务器的 DNS 消息。 使用诊断日志和策略分析。 诊断日志时,可以查看 Azure 防火墙日志、性能日志和访问日志。 可在 Azure 中利用这些日志对 Azure 防火墙实例进行管理和故障排除。进行 Azure 防火墙管理器策略分析时,可以开始查看与规则和这些规则命中次数相匹配的规则和流。 通过监视正在使用的规则和匹配的流量,可以完全了解流量。 Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。 性能效率性能效率是工作负载缩放以有效满足用户对它的需求的能力。 设计清单为Azure 防火墙做出设计选择时,请查看性能效率的设计原则。 确定 SNAT 端口要求以及是否应部署 NAT 网关。 规划负载测试以测试环境中的自动缩放性能。 规划网络规则要求和汇总 IP 范围的机会。 建议浏览以下建议表,以优化Azure 防火墙配置以提升性能效率。 建议 好处 如果需要超过 512,000 个 SNAT 端口,请部署具有Azure 防火墙的 NAT 网关。 使用 NAT 网关,可以扩展到超过 100 万个端口。 有关详细信息,请参阅 使用 Azure NAT 网关缩放 SNAT 端口。 在测试前 20 分钟创建不属于负载测试的初始流量。 使用诊断设置捕获纵向扩展和纵向缩减事件。 可以使用 Azure 负载测试 服务生成初始流量。 允许Azure 防火墙实例将其实例纵向扩展到最大值。 使用 IP 组汇总 IP 地址范围。 可以使用 IP 组来汇总 IP 范围,以便不超过 10,000 条网络规则。 对于每个规则,Azure 将端口乘以 IP 地址。 因此,如果有 1 个规则具有 4 个 IP 地址范围和 5 个端口,则将使用 20 个网络规则。 使用 /26 地址空间 (AzureFirewallSubnet) 配置Azure 防火墙子网。 Azure 防火墙是虚拟网络中的专用部署。 在虚拟网络中,Azure 防火墙 实例需要专用子网。 Azure 防火墙在缩放时预配更多容量。其子网的 A /26 地址空间可确保防火墙有足够的 IP 地址适应缩放。 Azure 防火墙不需要大于 /26 的子网。 Azure 防火墙子网名称必须是 AzureFirewallSubnet。Azure 顾问可帮助确保并提高业务关键应用程序的连续性。 查看 Azure 顾问建议。 Azure 顾问建议Azure 顾问是个性化的云顾问程序,可帮助遵循最佳做法来优化 Azure 部署。 下面是一些建议,可帮助你提高Azure 防火墙实例的可靠性、安全性、成本效益、性能和卓越运营。 创建 Azure 服务运行状况警报,以便在 Azure 问题影响你时收到通知 确保在需要时有权访问 Azure 云专家 启用流量分析以深入了解 Azure 资源中的流量模式 将出站连接协议更新为 Azure Site Recovery 的服务标记 遵循足够多的管理 (最小特权原则) 使用 Microsoft Defender for Cloud 保护网络资源 其他资源 Azure 防火墙文档 Azure 防火墙服务限制、配额和约束 适用于 Azure 防火墙的 Azure 安全基线 Azure 体系结构中心指南 Azure 防火墙体系结构概述 使用 Azure 防火墙帮助保护 Azure Kubernetes 服务 (AKS) 群集 Azure 中的中心辐射型网络拓扑 实现安全的混合网络 网络强化的 Web 应用程序,具有与 PaaS 数据存储的专用连接 后续步骤部署 Azure 防火墙 实例以查看其工作原理: 教程:使用 Azure 门户部署和配置Azure 防火墙和策略 |
| CopyRight 2018-2019 实验室设备网 版权所有 |