技能解封初始篇章-對空對地的坦克巨塔(Firewall)

前言

Azure 防火牆是一個全託管的網路層級的資安服務，涵蓋範圍是以您的 Azure 虛擬網路下的資源為主要保護範圍。涵蓋 L4-L7 的 FaaS(Firewall as a Service)防火牆即服務，同時符合內建就有的高可用以及不受限的擴展延展。

Azure 防火牆本身具有以下重要特色：
* 防火牆本身就具高可用性。
* 支援可用性區域。(可減少負載平衡服務設置，同時可跨多個可用性區域提升保護)
* 不受限的水平擴展。
* 應用程式 FQDN 過濾防護。
* 網路流量篩選。
* 威脅情報警示並可直接 Drop 已知的惡意IP流量。(此判斷來自微軟的威脅情報判別)
* 來源與目的網路位址轉譯。(SNAT/DNAT)
* Azure Monitor 集中整合記錄分析。

如圖中所示，透過對整個虛擬網路的保護下都能夠判別L4-L7層的流量是否為惡意再作進一步的防護動作讓後端的虛擬機器真正在上面對外的應用服務都能夠安全無虞。

圖一.

Azure Firewall 把玩前成本計價須知

防火牆部署 (固定費用)

每個防火牆部署 NT$37.568/小時

資料處理 (變動費用)

每 GB NT$0.481 由防火牆處理。

Azure Firewall Q&A

Azure 防火牆部署方式是什麼？

可將Azure 防火牆部署在任何虛擬網路上，但一般用戶通常會將其部署當一個虛擬網路中心，在以中樞和支點方式與其他虛擬網路對等互連。接著就可從對等互連的虛擬網路設定預設路由，指向此虛擬網路防火牆中心。

我們本身支援全域 VNet 對等互連，但不建議使用，因為跨區連線會發生效能和延遲問題。為了達到最佳效能, 請為每個區域部署一個防火牆。

Azure 防火牆主要有哪些規則概念？

應用程式規則：設定可從子網存取的完整功能變數名稱 (Fqdn)。
網路規則：設定包含來源位址、通訊協定、目的地埠及目的地位址的規則。
NAT 規則:設定 DNAT 規則以允許連入連接。

Azure 防火牆運作方式與市集中如：NVA 服務有何不同？

Azure 防火牆是一種基本防火牆，可處理特定客戶實例但並非取代。建議可以視需求混合使用協力廠商 NVA 和 Azure 防火牆。使用首重相輔相成。

應用程式閘道 WAF 與 Azure 防火牆有什麼不同？

Web 應用程式防火牆 (WAF) 是應用程式閘道中一個功能，可供 Web 集中式進入保護，避免遭到常見惡意攻擊。Azure 防火牆可針對非 HTTP/S 通訊協定如： RDP、SSH、FTP 等..協定供輸入保護、為所有通訊協定 / 連接埠供輸出網路層級保護以及為輸出 HTTP/S 供 Web 層級保護。

網路安全性群組 (NSG) 和 Azure 防火牆有什麼不同？

Azure 防火牆可補足網路安全性群組功能。兩者結合時，可供更好的”深度防禦“網路安全性。網路安全性群組供分散式網路層流量篩選，可限制虛擬網路內資源的流量。

Azure 防火牆完全具狀態的集中式網路防火牆即服務，可跨不同訂用帳戶和虛擬網路，供網路層級和應用程式層級的保護。

如何使用我的服務端點設定 Azure 防火牆？

要安全存取 PaaS 服務，建議使用服務端點。你可選擇在Azure 防火牆子網路中啟用服務端點，並在已連線的支點虛擬網路上停用它。如此你就可享有這兩項功能的好處 — 服務端點安全性和所有流量的集中記錄。

是否有任何防火牆資源群組的限制？

防火牆、子網路、VNet 和公用 IP 位址全都必須在相同的資源群組中。

為什麼 Azure 防火牆需要/26 個子網大小？

Azure 防火牆在調整規模時布建更多虛擬機器 instance。 /26 位址空間可確保防火牆有足夠的 IP 位址可容納調整。