通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure 网络安全?

网络安全是云计算的关键方面,因为它保护在云上运行的数据和应用程序免受各种威胁和攻击。 Azure 提供了一套全面的网络安全解决方案,可用于在云中设计、部署和管理安全且可复原的网络。

显示 Azure 防火墙、Azure DDoS 防护和 Azure Web 应用程序防火墙图标的屏幕截图。

Azure 网络安全的指导原则之一是 零信任模型,该模型假定没有网络或设备本质上是安全或可信的。 相反,应根据数据、标识和上下文验证每个请求和连接。 零信任模型可帮助你防止未经授权的访问、限制横向移动并减少网络的攻击面。

选择解决方案

为 Azure 工作负荷选择合适的网络安全解决方案取决于具体的需求和要求。 Azure 提供了各种网络安全服务,可用于单独或组合使用来保护工作负荷。 下面是在选择网络安全解决方案时要考虑的一些关键因素:

  • 工作负荷类型:不同的工作负荷具有不同的安全要求。 例如,Web 应用程序可能需要防范 Web 攻击,而虚拟机可能需要防范基于网络的攻击。
  • 部署模型:Azure 为网络安全服务提供不同的部署模型,例如虚拟设备、托管服务和集成解决方案。 选择最符合需求和要求的模型。
  • 与其他 Azure 服务集成:许多 Azure 网络安全服务与其他 Azure 服务(例如 Azure Monitor、Azure 安全中心和 Microsoft Sentinel)集成。 选择可轻松与现有 Azure 服务集成的解决方案,以增强安全性和监视。
  • 成本:不同的网络安全服务具有不同的定价模型。 选择符合预算的解决方案并提供所需的保护级别。
  • 符合性要求:根据你的行业和位置,你可能具有网络安全解决方案必须满足的特定合规性要求。 选择可帮助满足这些要求的解决方案。
  • 可伸缩性:随着工作负荷的增长,网络安全解决方案应能够使用它们进行缩放。 选择一种解决方案,该解决方案可以处理增加的流量和工作负载,而不会影响安全性。
  • 管理和监视:选择提供简单管理和监视功能的解决方案,例如仪表板、警报和报告。 这将帮助你快速识别和响应安全事件。

Azure 防火墙

Azure 防火墙 是一种云原生智能网络防火墙服务,提供完全有状态保护,具有内置的高可用性和无限的云可伸缩性。 它为 Azure 工作负荷提供网络和应用程序级安全性。 作为托管服务,可以在虚拟网络中部署 Azure 防火墙,并与 Azure Monitor、Azure 安全中心和 Microsoft Sentinel 等其他 Azure 服务无缝集成,以增强安全性和监视。

关系图显示 Azure 防火墙如何检查从互联网流入和流出的流量,然后将其路由到目标。

根据需求,可以从三个 Azure 防火墙 SKU 中进行选择:

  • 基本:基本 SKU 是 Azure 工作负荷中简单防火墙解决方案的一个经济高效的选项。 它提供网络和应用程序筛选、网络地址转换和日志记录等基本功能。
  • 标准:标准 SKU 是一个更高级的选项,其中包括额外的功能,如 DNS 代理和 Web 类别。 它专为 Azure 工作负载中的更全面的防火墙解决方案而设计。
  • 高级:高级 SKU 是包含标准 SKU 的所有功能的最高级选项,以及 TLS 检查、入侵检测和防护以及 URL 筛选等额外功能。 它专为 Azure 工作负荷中最高级别的安全性和控制而设计。

用例

  • 网络安全:保护 Azure 工作负载免受基于网络的攻击和未经授权的访问。
  • 应用程序安全性:保护 Azure 工作负载免受基于应用程序的攻击和漏洞。
  • 入侵检测和防护:监视网络是否存在恶意活动、记录有关此活动的信息、报告它,并选择性地尝试阻止它。
  • TLS 检查:检查和解密 TLS 流量,以检测和阻止加密流量中隐藏的威胁。
  • URL 筛选:根据组织的策略控制对特定 URL 或 URL 类别的访问。

有关详细信息,请参阅 Azure 防火墙概述

Azure DDoS 防护

Azure DDoS 防护 是一项服务,提供增强的 DDoS 缓解功能来抵御 DDoS 攻击。 它会自动进行优化,以帮助保护虚拟网络中的特定 Azure 资源。 在任何新的或现有的虚拟网络或公共 IP 地址资源上启用保护非常简单,无需进行任何应用程序或资源更改。

  • IP 保护:Azure DDoS IP 保护为分配有公共 IP 地址的 Azure 资源提供保护。 它可防御体积、协议和应用层攻击。

    示意图显示了 Azure DDoS 防护如何应用于具有公共 IP 地址的资源。

  • 网络保护:Azure DDoS 网络保护为分配有公共 IP 地址的虚拟网络中的 Azure 资源提供保护。 它具有额外的功能,例如 DDoS 快速响应支持、成本保护和 WAF 折扣。

    关系图说明了在虚拟网络级别为中心辐射型拓扑启用的 Azure DDoS 防护。

用例

  • 防范 DDoS 攻击:保护 Azure 资源免受 DDoS 攻击,包括卷数、协议和应用程序层攻击。
  • 成本保护:保护 Azure 资源免受 DDoS 攻击带来的意外成本。
  • 快速响应:在发生 DDoS 攻击时,获取 Azure DDoS 专家的快速响应支持。

有关详细信息,请参阅 Azure DDoS 防护概述

Azure Web 应用程序防火墙

Azure Web 应用程序防火墙 (WAF)是一种 Web 应用程序防火墙,可集中保护 Web 应用程序免受常见攻击和漏洞的伤害。 WAF 使用规则来监视 HTTP 请求和响应,并且可以根据定义的规则阻止或允许流量。

说明应用于 Azure 应用程序网关和 Azure Front Door 的 Azure Web 应用程序防火墙的关系图,这些防火墙允许有效的请求和阻止 Web 攻击。

WAF 在两个部署选项中可用:

  • Azure 应用程序网关 WAF:Azure 应用程序网关是 Web 流量(OSI 第 7 层)负载均衡器,可用于管理发到 Web 应用程序的流量。
  • Azure Front Door WAF:Azure Front Door 是一个可缩放且安全的入口点,用于快速交付全球应用程序。 它提供 SSL 卸载、应用程序加速和全局负载均衡,并具备即时故障转移功能。

用例

  • 防范 Web 攻击:保护 Web 应用程序免受常见的攻击和漏洞,例如 SQL 注入和跨站点脚本(XSS)。
  • 集中管理:从单个位置管理 Web 应用程序防火墙规则和策略。
  • 与 Azure 服务集成:将 WAF 与其他 Azure 服务(例如 Azure 应用程序网关和 Azure Front Door)集成,以提高安全性和性能。
  • 自定义规则:创建自定义规则以满足特定的安全要求和策略。
  • 机器人保护:保护 Web 应用程序免受恶意机器人和自动攻击。

有关详细信息,请参阅 Azure Web 应用程序防火墙概述

Azure 门户体验

Azure 门户提供用于 管理网络安全服务的统一体验。 可以轻松地从单个位置创建和管理网络安全服务,还可以查看服务的状态和运行状况。

Azure 门户中网络安全选择体验的屏幕截图。

常见的网络安全方案

网络安全中心目前支持以下部署选项:

  • 受保护的中心辐射型虚拟网络:在指定为中心的虚拟网络中部署 Azure 防火墙。 此中心虚拟网络可以使用虚拟网络对等互连来连接到多个辐射虚拟网络。 Azure 防火墙与 Azure 防火墙策略相关联,该策略定义防火墙的规则和配置。 此部署模型非常适合寻求在一个位置集中网络安全和管理的组织。

  • 大规模保护虚拟 WAN:在 Azure 虚拟 WAN 安全中心部署 Azure 防火墙。 Azure 防火墙与 Azure 防火墙策略相关联,安全中心连接到多个分支机构和远程用户。 此部署模型非常适合使用 Azure 虚拟 WAN 将多个分支机构和远程用户连接到 Azure 资源的组织。

  • Web 应用程序的零信任:将 Azure 应用程序网关与 Azure Web 应用程序防火墙(WAF)策略配合使用,以保护区域 Web 应用程序免受常见攻击和漏洞的攻击。 自定义 WAF 策略,以有效满足 Web 应用程序的特定安全需求。

  • 安全地交付云内容:将 Azure Front Door 与 Azure Web 应用程序防火墙(WAF)策略配合使用,以保护和优化全球 Web 应用程序的交付。 此部署模型可确保安全高效的应用程序性能,同时允许自定义 WAF 策略以满足特定安全需求。

后续步骤

详细了解每个 Azure 网络安全服务的不同特性和功能:

Azure 网络安全文档

  • Last updated on