微软云防火墙对接全流程拆解|从入门到投产,一篇讲清Azure Firewall配置逻辑
目录
一、为什么企业需要Azure防火墙:它和NSG搭档干活
二、对接准备:网络架构与子网规划
三、防火墙部署:在Azure门户中"种"下第一朵云防火墙
四、DNAT规则配置:让外部流量找到回家的路
五、出站规则设置:网络规则与应用程序规则双管齐下
六、强制隧道与默认路由:把所有出站流量送进防火墙的"体检中心"
七、监控与日志:用KQL让防火墙规则"开口说话"
八、关于上海汪远信息科技有限公司
九、常见问题问答
一、为什么企业需要Azure防火墙:它和NSG搭档干活
做云运维的朋友应该都清楚,Azure平台上网络安全相关的工具不少,但最核心的两件套就是网络安全组和Azure防火墙。打个不太恰当的比方,如果NSG是一个在楼道里查身份证的保安,那么Azure防火墙就是一个在园区大门口设卡的全功能安检中心。NSG主要工作在OSI模型的网络层和传输层,基于IP、端口、协议这五元组信息来做"放行或拒绝"的判断。它很适合做细粒度的资源级访问控制,比如限制某台虚拟机只能被特定网段访问。但NSG处理不了更复杂的场景,比如你想拦截某个恶意域名、想对出口HTTPS流量做应用层过滤,或者需要集中管理跨多个订阅的安全策略,这些时候NSG就力不从心了。
Azure防火墙恰好填补了这些空白。它在网络层基础上叠加了应用层过滤能力,可以识别完全限定域名、支持威胁情报自动拦截、提供内置的高可用性和弹性伸缩,还能通过防火墙管理器跨多个虚拟网络和订阅实现集中策略管理。它和NSG不是替代关系,而是配合关系——用防火墙在虚拟网络边界做第一道集中防护,再用NSG在子网或网卡层面做第二道精细化过滤,这种分层防御才是深度防御的最佳实践。
二、对接准备:网络架构与子网规划
在动手部署防火墙之前,需要先想清楚网络架构怎么搭。Azure官方推荐的是中心辐射型模型——把防火墙放在一个专门的中心虚拟网络里,其他承载业务的工作负载虚拟网络通过虚拟网络对等连接到中心网络,然后把工作负载子网的默认路由指向防火墙的私有IP。这样一来,所有进出工作负载的流量都必须先经过防火墙"体检",真正做到集中管控。
子网规划有几个关键点需要提前确认。防火墙所在的虚拟网络里,必须预留一个名为AzureFirewallSubnet的子网,这个子网地址范围建议用/26,因为防火墙需要足够的IP地址来支撑高可用和弹性扩展。如果在强制隧道模式下部署,还需要额外创建AzureFirewallManagementSubnet子网,专门承载防火墙与管理平面之间的控制流量。工作负载服务器则放在另一个子网里,比如命名为Workload-SN。为了后续便于通过浏览器安全登录测试服务器,还可以加一个AzureBastionSubnet来部署Azure Bastion服务。
三、防火墙部署:在Azure门户中"种"下第一朵云防火墙
网络架构规划好之后,就可以开始部署了。整个过程可以在Azure门户中通过图形化界面完成,也可以使用PowerShell命令行或Terraform等基础设施即代码工具来实现自动化。这里以门户操作为例进行说明。
登录Azure门户后,首先需要创建一个资源组用来统一管理所有相关资源。在资源组中创建虚拟网络时,按照上面规划好的子网配置来填充地址空间。创建虚拟网络的过程中,门户提供了安全选项卡,可以直接在这个步骤中勾选启用Azure防火墙,并完成防火墙的基本设置——包括命名、选择SKU层级、分配公网IP地址。SKU的选择要看实际需求:基本版适用于吞吐量低于250Mbps的轻量级场景,标准版覆盖绝大多数企业级需求,高级版则额外支持TLS检查和入侵检测防御系统功能。防火墙的公网IP是用来接收入站互联网流量的入口地址,可以新建也可以从已有的IP池里选。
部署完成后,可以在资源组中看到刚才创建的防火墙实例。这时候防火墙还没有配置任何规则,所有流量默认是被拒绝的,需要通过后续步骤逐步开放必要的访问通道。
四、DNAT规则配置:让外部流量找到回家的路
很多企业上云之后都需要把内部服务暴露给互联网用户访问,比如官网、API网关、远程桌面等。这时候就需要用到DNAT规则了。DNAT的作用简单来说就是:当互联网上的请求访问防火墙公网IP的某个端口时,防火墙把这个请求转发给内部某个私有IP地址的对应端口。
DNAT规则的配置在Azure防火墙的策略里完成。规则集合的动作需要选择DNAT类型,每条规则里填写来源、转换前的目标IP和端口、转换后的目标私有IP和端口。出于安全考虑,建议在来源字段中明确指定允许访问的客户端IP段,而不是直接用星号开放给全世界,这样可以有效减少被恶意扫描和攻击的风险。
DNAT规则配置完成后会自动生成一条对应的隐式网络规则来允许经过转换后的流量,不需要额外配置网络规则。一个常见的应用场景是配置远程桌面协议的DNAT规则,让运维人员可以从公司办公网络直接登录位于工作负载子网里的Windows虚拟机进行维护操作,既保证了便利性又避免了直接把虚拟机的公网IP暴露出去。
五、出站规则设置:网络规则与应用程序规则双管齐下
出站流量的控制是Azure防火墙另一个核心用途。企业通常希望限制工作负载只能访问特定的外部服务,而不是放任虚拟机随意上网。Azure防火墙提供了两类出站规则来实现这个目标。
网络规则工作在网络层和传输层,主要基于源IP、协议、目标端口和目标地址来做过滤。比如只允许工作负载访问特定的外部DNS服务器,就可以配一条网络规则,协议选UDP,目标端口53,目标地址填DNS服务器的IP。
应用程序规则则更进一步,它可以基于完全限定域名来做过滤。比如只允许虚拟机访问腾讯官网,应用程序规则里配一条允许规则,目标域名填入www.qq.com,防火墙会自动解析域名并放行HTTP和HTTPS流量。应用程序规则还支持通配符,比如放开*.data.mcr.microsoft.com来满足容器应用从微软容器注册表拉取镜像的需求。需要特别说明的是,应用程序规则仅对HTTP和HTTPS协议生效,如果是SSH或者RDP这类协议,还是要靠网络规则来管控。
规则优先级方面,Azure防火墙有明确的三层顺序:DNAT规则优先级最高,网络规则次之,应用程序规则最后。规则集合组按优先级数字从小到大依次执行,所有规则处理完毕后如果仍然没有匹配项,流量默认被拒绝。这个处理逻辑在排查访问问题时很关键——如果发现某个访问被阻断了,首先检查是否被优先级更高的规则提前处理了。
六、强制隧道与默认路由:把所有出站流量送进防火墙的"体检中心"
防火墙部署好了,规则也配了,但还有一个关键步骤不能漏——流量路由。如果没有显式配置路由,工作负载子网里的虚拟机还是会走系统默认路由直接把出站流量发到互联网,防火墙等于形同虚设。为了让防火墙真正工作起来,需要利用用户定义路由来改变流量流向。
具体做法是:在工作负载子网关联的路由表里添加一条默认路由,地址前缀设为0.0.0.0/0,下一跳类型选虚拟设备,下一跳地址填防火墙实例的私有IP地址。这样所有出站流量都会先被送到防火墙那里,经过规则检查和过滤之后,再由防火墙转发到最终目的地。如果企业有更严格的安全合规要求,还可以启用强制隧道模式——把所有出站流量通过VPN或ExpressRoute强制路由到本地数据中心的边界防火墙再做一次检查。开启强制隧道需要防火墙关联一个管理网络接口,并且AzureFirewallManagementSubnet子网必须存在。需要注意的是,强制隧道模式下DNAT功能可能受限,因为有不对称路由的问题,这一点在配置前要评估清楚。
另外还有一个省流量的设置建议:如果发现SNAT端口耗尽的问题,可以把Azure NAT Gateway和防火墙搭配使用。NAT Gateway每个公网IP可以提供超过六万个SNAT端口,远高于防火墙自身的端口配额,两者配合可以在保持防火墙应用层检查能力的同时大幅提升出口并发能力。
七、监控与日志:用KQL让防火墙规则"开口说话"
防火墙配好之后,运维工作并没有结束。怎么知道规则有没有生效、哪些访问被拒绝了、有没有恶意IP在尝试攻击,这些信息都需要从日志里挖出来。Azure防火墙的诊断日志需要通过诊断设置来开启,把日志发送到Log Analytics工作区、存储账户或者事件中心。其中Log Analytics是最常用也最强大的方案,因为可以通过Kusto查询语言对日志进行深度分析。
网络规则日志和应用程序规则日志分别放在不同的Category里。查询网络规则命中情况,可以用AzureDiagnostics这个表,过滤Category等于AzureFirewallNetworkRule的条件,再按时间段做筛选。应用程序规则日志类似,Category换成AzureFirewallApplicationRule。如果想查看某条特定规则的命中次数,可以针对规则名称字段做聚合统计,找出那些长期命中为零的"僵尸规则",考虑删除以保持策略精简。如果发现某个应用访问时好时坏,不妨先查一下防火墙日志看看是不是规则命中异常,再把监控警报配置上,当拒绝次数超过阈值时自动触发通知,让运维团队能够第一时间介入。
日志分析还有一个实用场景——合规审计。通过将防火墙日志与Azure Policy结合,可以持续审核防火墙配置是否符合组织安全基线,比如确保威胁情报强制开启为告警加拦截模式、确保IDPS工作在高级拦截状态,这些都能大幅降低被入侵和数据外泄的风险。
八、关于上海汪远信息科技有限公司
上海汪远信息科技有限公司是国内深耕多年的综合型多云服务合作商,业务覆盖阿里云、腾讯云、华为云、天翼云、火山云、微软云、谷歌云、亚马逊云八大主流公有云平台,服务场景覆盖全行业企业数字化需求。公司现有全职员工500人,团队架构完善、服务体系标准化。在微软云生态内,上海汪远拥有最高级别代理资质,年度微软云销量稳定在5000万美金级别,累计服务客户超过10万家。依托香港公司的合规架构,上海汪远能够为中国大陆企业提供正规的微软云国际业务代理服务,并支持开具大陆增值税发票,同时配合专业技术团队提供从架构咨询到故障排查的全生命周期支持,帮助企业以更优成本用好微软云。
九、常见问题问答
Q1:Azure防火墙部署后,为什么工作负载虚拟机还是能直接访问互联网?
A:大概率是忘记配置默认路由了。需要在工作负载子网关联的路由表里添加一条0.0.0.0/0指向防火墙私有IP的用户定义路由,否则虚拟机依然走系统默认路由。
Q2:应用程序规则配了允许访问某个域名,但还是打不开网页,可能是什么原因?
B:首先检查一下是不是网络规则先拦截了流量。DNAT和网络规则的优先级高于应用程序规则,如果匹配到了拒绝规则,应用程序规则根本不会被执行。其次检查域名是否使用了HTTPS且需要SNI检查,高级版以外的SKU需要额外配置TLS检查。
Q3:Azure防火墙和网络安全组到底要不要一起用?
C:建议一起用。防火墙做集中边界防护,NSG做资源级精细化过滤,两者配合才是深度防御的标准做法。
Q4:强制隧道模式下DNAT还能正常工作吗?
D:不支持。由于非对称路由问题,启用了强制隧道且没有管理NIC的防火墙无法正确处理来自互联网的入站DNAT流量,这一点在规划时要特别留意。
Q5:怎么快速找出哪些防火墙规则从来没被命中过?
E:把防火墙诊断日志发送到Log Analytics工作区,然后写一条KQL查询,按规则名称分组统计命中次数,过滤出计数为零的记录就可以了。
