微软云认证账号 Azure微软云防火墙设置教程

大家好，欢迎来到《Azure微软云防火墙设置教程》——不是PPT式说明书，也不是复制粘贴的官方文档搬运工，而是一份你边喝咖啡边照着操作、十分钟后就能让防火墙真正拦住非法流量的实战指南。

先说句大实话：Azure防火墙不是「点一下就安全」的魔法按钮。它像一位刚调来你公司总部的安保主管——专业、靠谱，但入职第一天得先办工牌（子网）、配钥匙（公网IP）、领对讲机（路由表）、熟记访客名单（规则集）。漏一步？他可能坐在监控室里刷手机，眼睁睁看着黑客当自己人进进出出。

一、前置准备：别急着点「创建」，先画张「云上小区平面图」

想象你在Azure上盖一栋三层小楼（VNet）：一层是办公区（前端子网），二层是财务室（后端子网），三层是保安岗亭（AzureFirewallSubnet）。注意！岗亭不能和办公室挤在一层——Azure防火墙必须独占一个/26或更大的子网（即至少64个IP），且子网名必须严格叫 AzureFirewallSubnet。不是Firewall-Subnet，不是firewall-subnet，更不是“保安部专用网段”。大小写敏感，拼写错误=部署失败，报错提示还特别客气：“抱歉，我们找不到您指定的岗亭位置”。

顺手提醒：这个子网不能放任何VM、跳转机或代理服务器。它是纯保安岗亭，不兼职、不兼岗、不共享Wi-Fi。你硬塞一台跳板机进去？Azure会温柔地拒绝你，并附赠一句：“子网已被占用，请重开一间岗亭”。

二、三步建墙：从控制台点到防火墙立正站好

Step 1：资源组先行
新建一个资源组（比如叫rg-fw-demo），别直接扔进默认组里。就像搬家先租个新公寓再买家具，干净清爽，出了问题也容易拎包走人。

Step 2：VNet & 子网到位
创建VNet（比如vnet-prod），地址空间建议10.0.0.0/16。然后划三块地：
• 办公区子网：sn-front，10.0.1.0/24
• 财务室子网：sn-back，10.0.2.0/24
• 岗亭子网：AzureFirewallSubnet，10.0.3.0/26（重点！/26=64个IP，够用）

Step 3：防火墙本体上线
搜索「Azure Firewall」→「创建」→填基础信息（名称、区域、资源组、VNet）→关键动作：在「高级设置」里勾选「启用DNS代理」（否则规则里的域名解析会罢工）；「公共IP地址」选「新建」，类型选「标准」（非基本版！基本版不支持规则日志）。点击「查看 + 创建」，等5分钟，直到状态变成「已部署」——此时岗亭已上岗，但还没发制服、没配对讲机、没背守则。

三、授予权力：三条铁律，让它真能拦人

防火墙默认策略是「全放行」，等于岗亭保安穿着睡衣开门迎客。必须手动加三套装备：

① 网络规则（Network Rules）——管IP+端口
场景：只允许办公区访问财务室的SQL Server（端口1433），其他一律挡掉。
→ 进入防火墙→「规则」→「网络规则集合」→新建集合（如allow-sql）→加规则：
• 名称：allow-front-to-back-sql
• 协议：TCP
• 源地址：10.0.1.0/24
• 目标地址：10.0.2.0/24
• 目标端口：1433
（小技巧：目标地址可填具体VM私有IP，更精准）

② 应用规则（Application Rules）——管域名和URL
场景：办公区员工只能上百度、GitHub，不能刷抖音、逛淘宝。
→ 新建「应用规则集合」（如allow-web）→加规则：
• 名称：allow-baidu-github
• 协议：HTTP/HTTPS
• 源地址：10.0.1.0/24
• 目标FQDN：*.baidu.com, *.github.com
（注意：用*通配，不用www，且必须带.com）

③ NAT规则（NAT Rules）——管「谁能把外面的请求转进来」
场景：把公网IP的80端口转发到内部Web服务器（10.0.1.10:80）。
→ 「NAT规则集合」→新建→规则：
• 名称：nat-http-to-webserver
• 协议：TCP
• 外部IP：你的公网IP
• 外部端口：80
• 内部IP：10.0.1.10
• 内部端口：80
（NAT规则优先级最高，匹配即执行，不走后续网络/应用规则）

四、指路明灯：没路由=保安不认识路

防火墙建好了，规则也写了，但流量还是直奔后端子网——因为Azure根本没告诉数据包：“遇到这栋楼，请先拐去岗亭报备！”

微软云认证账号 解决方案：给前端子网绑定一个用户定义路由表（UDR），里面只有一条路由：
• 目标前缀：0.0.0.0/0（所有外网流量）
• 下一跃点类型：Virtual appliance
• 下一跃点地址：防火墙的私有IP（部署完自动生成，可在防火墙「概述」页看到）

⚠️ 重点提醒：
• UDR必须绑定到源子网（比如办公区），不是绑在防火墙子网上；
• 后端子网也建议绑定UDR，加一条0.0.0.0/0 → firewall IP，确保返回流量也过岗亭（实现双向检查）；
• 如果用了Azure Bastion或VPN网关，记得排除对应地址段，否则远程桌面会断连。

五、验货时刻：三招确认它真在干活

① 日志看门狗：打开防火墙→「诊断设置」→启用「AzureFirewallApplicationRule和AzureFirewallNetworkRule日志→存到Log Analytics。等几分钟，搜AzureDiagnostics | where Category == "AzureFirewallApplicationRule"，看到带Action_s: "Allow"或"Deny"的日志，说明规则已生效。

② 流量抓包法：从办公区VM执行curl -v https://taobao.com，应该超时；执行curl -v https://github.com，应成功返回HTML——规则不是摆设。

③ 公网验证：用手机4G网络访问你的公网IP（NAT映射的80端口），如果打开网站，说明NAT通了；换台没配白名单的电脑访问，该页面打不开，说明防护生效。

六、常见翻车现场 & 救命锦囊

• “部署失败：子网名称不对”：删掉子网，重命名为AzureFirewallSubnet，大小写一个字母都不能错；
• “规则写了，但流量不走防火墙”：检查UDR是否绑定到正确子网，下一跃点IP是否抄错；
• “能上百度，但登录不了GitHub账号”：GitHub登录依赖api.github.com、objects.githubusercontent.com等多个域名，规则里要全列上；
• “NAT转发后网页加载慢”：检查后端Web服务器是否监听0.0.0.0:80而非127.0.0.1:80；
• “日志里全是Deny，但业务没断？”：可能是健康探测、时间同步、系统更新等后台流量被拦，加一条规则放行*.microsoft.com和ntp.*。

最后送你一句Azure老兵箴言：防火墙不是越严越好，而是恰到好处的约束。它的使命不是制造障碍，而是让可信的人走得更稳，让不可信的流量连门把手都摸不到。现在，去你的Azure门户，把那间岗亭建起来吧——这一次，你亲手配齐了制服、对讲机和全套守则。