規劃 Azure 防火牆部署
您還需要規劃網路拓撲、識別您將需要的防火牆規則,以及了解部署步驟,然後才能部署 Azure 防火牆。
建議的網路拓撲
您應該記得,使用具有下列特性的中樞和輪輻網路拓撲,最適合部署 Azure 防火牆:
- 作為中央連接點的虛擬網路。 此網路是中樞虛擬網路。
- 對等互連至中樞的一或多個虛擬網路。 這些對等是輪輻虛擬網路,可用來佈建工作負載伺服器。
您可以在中樞虛擬網路的子網中部署防火牆實例,然後將所有輸入和輸出流量設定為通過防火牆。 當您部署 Azure 防火牆來保護 Azure 虛擬桌面的主機集區時,將會使用此設定。
Azure 防火牆規則
您應該記得,防火牆預設會拒絕所有存取。 您的工作是使用允許流量通過防火牆的條件,來設定防火牆。 每個條件都稱為是一個規則。 每個規則都會對資料套用一或多項檢查。 只有通過所有防火牆規則中各個檢查的流量,才准予通行。
下表說明您可以為 Azure 防火牆建立的三種規則類型。 為了允許適當的 Azure 虛擬桌面網路流量,您將使用應用程式和網路規則。
| 規則類型 | 描述 |
|---|---|
| 網路位址轉譯 (NAT) | 根據您防火牆的公用 IP 位址和指定的連接埠號碼,轉譯和篩選輸入網際網路流量。 例如,若要啟用對虛擬機器 (VM) 的遠端桌面連線,您可以使用 NAT 規則,將防火牆的公用 IP 位址和連接埠 3389 轉譯為 VM 的私人 IP 位址。 |
| 應用程式 | 根據完整網域名稱 (FQDN) 或 FQDN 標籤來篩選流量。 FQDN 標籤代表一群與知名 Microsoft 服務 (例如 Azure 虛擬桌面) 相關聯的 FQDN。 例如,您將使用應用程式規則,透過使用 FQDN 標籤「WindowsVirtualDesktop」,來允許 Azure 虛擬桌面 VM 的輸出流量。 |
| 網路 | 根據下列三個網路參數中的一或多個來篩選流量:IP 位址、連接埠和通訊協定。 例如,使用網路規則,針對 TCP 和 UDP 連接埠 53,允許從內部部署 Active Directory Domain Server 私人 IP 位址到 Azure 的流量。 如果您使用 Microsoft Entra Domain Server,就不需要建立網路規則。 DNS 查詢會轉送至位於 168.63.129.16 的 Azure DNS。 |
Azure 防火牆會依優先順序套用規則。 以威脅情報為基礎的規則一律會獲得最高的優先順序,且會先進行處理。 其後將會依類型套用規則:依序為 NAT 規則、網路規則、應用程式規則。 在每個類型中,會根據您在建立規則時指派的優先順序值 (從最低值到最高值) 來處理規則。
部署選項
您應該記得,Azure 防火牆提供了許多可讓您更輕鬆地建立和管理規則的功能。 下表摘要說明這些功能。 若要允許 Azure 虛擬桌面的網路流量,您將使用 FQDN 標籤,但您也可以在環境中使用這些其他選項。
| 功能 | 描述 |
|---|---|
| FQDN | 主機的網域名稱,或是一或多個 IP 位址。 將 FQDN 新增至應用程式規則,可允許存取該網域。 當您在應用程式規則中使用 FQDN 時,可以使用通配符,例如 *.google.com。 |
| FQDN 標籤 | 一組知名的 Microsoft FQDN。 將 FQDN 標籤新增至應用程式規則,可允許對標籤的 FQDN 進行輸出存取。 例如,Windows Update、Azure 虛擬桌面、Windows 診斷及 Azure 備份都有 FQDN 標籤。 Microsoft 會管理 FQDN 標籤,您無法修改或建立它們。 |
| 服務標籤 | 一組與特定 Azure 服務相關的 IP 位址首碼。 將服務標籤新增至網路規則,可允許存取標籤所代表的服務。 有數十個 Azure 服務 (包括 Azure 備份、Azure Cosmos DB 與 Azure Logic Apps) 具有服務標籤。 Microsoft 會管理服務標籤,而且您無法修改或建立標籤。 |
| IP 群組 | 一組 IP 位址,例如 10.2.0.0/16 或 10.1.0.0-10.1.0.31。 您可以使用 IP 群組作為 NAT 或應用程式規則中的來源位址,或作為網路規則中的來源或目的地位址。 |
| 自訂 DNS | 將網域名稱解析為 IP 位址的自訂 DNS 伺服器。 如果您使用自訂 DNS 伺服器,而不是 Azure DNS,您也必須將 Azure 防火牆設定為 DNS Proxy。 |
| DNS Proxy | 您可以設定 Azure 防火牆以作為 DNS Proxy,這表示所有用戶端 DNS 要求都會通過防火牆,然後再移至 DNS 伺服器。 |
Azure 防火牆的部署步驟
在先前的練習中,您已建立具有子網路的主機集區和虛擬網路。 您已將工作階段主機 VM 部署到該子網路中,並向主機集區註冊該 VM。 在接下來的練習中,您將完成下列步驟來部署 Azure 防火牆,以保護主機集區。
設定網路:
- 建立中樞虛擬網路,並使其包含用於防火牆部署的子網路。
- 對等互連中樞與輪輻網路。 在下一個練習中,您會將中樞虛擬網路與 Azure 虛擬桌面主機集區所使用的虛擬網路對等互連。
部署 Azure 防火牆:
- 將 Azure 防火牆部署至中樞虛擬網路中的子網路。
- 為輸出流量建立預設路由,將來自所有子網路的流量傳送至防火牆的私人 IP 位址。
建立 Azure 防火牆 規則:
- 為防火牆設定篩選輸入和輸出流量的規則。