13、网络安全与Azure防火墙配置全解析

网络安全与Azure防火墙配置全解析

1. 网络安全组（NSG）规则设置与有效规则

1.1 NSG规则创建

可以通过导航到“出站安全规则”面板来创建出站安全规则。创建NSG规则后，可以导航到“子网”或“网络接口”面板关联NSG。

1.2 NSG有效规则

当在子网和NIC级别都使用NSG时，规则将在两个级别进行评估。要允许流量通过，子网和NIC级别都必须创建允许规则。若任何一级没有允许规则，流量将被丢弃。将NSG分配给子网时，规则将应用于该子网中的所有NIC，但可以覆盖此继承关系，为NIC分配专用规则。

流量评估顺序如下：
- 入站流量 ：先根据子网级别的规则进行评估，若有允许规则，则将数据包发送到NIC，再评估NIC级别的规则，只有当NIC级别也有允许规则时，数据包才会被允许通过，否则丢弃。
- 出站流量 ：先根据NIC规则进行评估，若有允许规则，再在子网级别进行评估。

允许在子网和NIC级别应用规则可减少管理开销，子网级别的规则可通过在NIC级别应用另一组规则来覆盖。

2. Azure防火墙概述

2.1 Azure防火墙简介

Azure防火墙是Microsoft Azure提供的防火墙即服务，是一种基于云的托管安全解决方案，可保护部署在Azure虚拟网络中的工作负载。它具有内置的高可用性和可扩展性，可跨虚拟网络和订阅创建、实施和管理网络策略。

与网络安全组（NSG）的主要区别在于，NSG在OSI模型的第3层和第4层运行，而Azur