Az - Azure Network

基本信息

Azure 提供 虚拟网络 (VNet)，允许用户在 Azure 云中创建 隔离的 网络。在这些 VNets 中，可以安全地托管和管理虚拟机、应用程序、数据库等资源。Azure 中的网络支持云内通信（在 Azure 服务之间）以及与外部网络和互联网的连接。 此外，可以 连接 VNets 与其他 VNets 以及本地网络。

虚拟网络 (VNET) 和子网

Azure 虚拟网络 (VNet) 是您在云中自己网络的表示，提供对您订阅的 Azure 环境的 逻辑隔离。VNets 允许您在 Azure 中配置和管理虚拟专用网络 (VPN)，托管虚拟机 (VM)、数据库和应用服务等资源。它们提供 对网络设置的完全控制，包括 IP 地址范围、子网创建、路由表和网络网关。

子网 是 VNet 内的细分，由特定的 IP 地址范围 定义。通过将 VNet 划分为多个子网，您可以根据网络架构组织和保护资源。 默认情况下，同一 Azure 虚拟网络 (VNet) 内的所有子网 可以相互通信，没有任何限制。

示例：

• MyVNet 的 IP 地址范围为 10.0.0.0/16。

• 子网-1： 10.0.0.0/24 用于 Web 服务器。

• 子网-2： 10.0.1.0/24 用于数据库服务器。

枚举

要列出 Azure 账户中的所有 VNets 和子网，可以使用 Azure 命令行界面 (CLI)。以下是步骤：

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

网络安全组 (NSG)

一个 网络安全组 (NSG) 过滤 Azure 虚拟网络 (VNet) 内 Azure 资源的网络流量。它包含一组 安全规则，可以指示 哪些端口可以用于入站和出站流量，通过源端口、源 IP、端口目标，并且可以分配优先级（优先级数字越低，优先级越高）。

NSG 可以与 子网和 NIC 关联。

规则示例：

• 一个允许来自任何源的 HTTP 流量（端口 80）到您的 Web 服务器的入站规则。

• 一个仅允许 SQL 流量（端口 1433）到特定目标 IP 地址范围的出站规则。

枚举

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets

Azure Firewall

Azure Firewall 是 Azure 中的一个 托管网络安全服务，通过检查和控制流量来保护云资源。它是一个 有状态防火墙，根据第 3 层到第 7 层的规则过滤流量，支持 在 Azure 内部（东西向流量）和 与外部网络之间（南北向流量）的通信。部署在 虚拟网络（VNet）级别，为 VNet 中的所有子网提供集中保护。Azure Firewall 自动扩展以应对流量需求，并确保高可用性，无需手动设置。

它提供三种 SKU——基本版、标准版和 高级版，每种版本都针对特定客户需求量身定制：

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure 路由表

Azure 路由表 用于控制子网内网络流量的路由。它们定义了规则，指定数据包应如何转发，转发目标可以是 Azure 资源、互联网或特定的下一跳，如虚拟设备或 Azure 防火墙。您可以将路由表与 子网 关联，所有在该子网内的资源将遵循表中的路由。

示例： 如果一个子网托管需要通过网络虚拟设备 (NVA) 进行检查的出站流量的资源，您可以在路由表中创建一个 路由，将所有流量（例如，0.0.0.0/0）重定向到 NVA 的私有 IP 地址作为下一跳。

枚举

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Azure Private Link 是 Azure 中的一项服务，通过确保您的 Azure 虚拟网络 (VNet) 与服务之间的流量完全在 Microsoft 的 Azure 主干网络内传输，从而实现对 Azure 服务的私有访问。它有效地将服务引入您的 VNet。此设置通过不将数据暴露于公共互联网来增强安全性。

Private Link 可以与各种 Azure 服务一起使用，如 Azure Storage、Azure SQL Database 和通过 Private Link 共享的自定义服务。它提供了一种安全的方式，从您自己的 VNet 或甚至不同的 Azure 订阅中使用服务。

示例：

考虑一个场景，您有一个 希望从您的 VNet 安全访问的 Azure SQL Database。通常，这可能涉及穿越公共互联网。使用 Private Link，您可以在您的 VNet 中创建一个 私有端点，直接连接到 Azure SQL Database 服务。此端点使数据库看起来像是您自己 VNet 的一部分，可以通过私有 IP 地址访问，从而确保安全和私密的访问。

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

Azure 服务端点

Azure 服务端点扩展了您的虚拟网络私有地址空间和 VNet 的身份，通过直接连接到 Azure 服务。通过启用服务端点，您 VNet 中的资源可以安全地连接到 Azure 服务，如 Azure 存储和 Azure SQL 数据库，使用 Azure 的骨干网络。这确保了从 VNet 到 Azure 服务的流量保持在 Azure 网络内，提供了更安全和可靠的路径。

示例：

例如，Azure 存储帐户默认可以通过公共互联网访问。通过在您的 VNet 中启用Azure 存储的服务端点，您可以确保只有来自您 VNet 的流量可以访问存储帐户。然后可以配置存储帐户防火墙，仅接受来自您 VNet 的流量。

枚举

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

服务端点与私有链接之间的区别

Microsoft 在 docs 中建议使用私有链接：

服务端点：

• 从您的 VNet 到 Azure 服务的流量通过 Microsoft Azure 骨干网络传输，绕过公共互联网。

• 该端点是与 Azure 服务的直接连接，并未为 VNet 内的服务提供私有 IP。

• 除非您配置服务防火墙以阻止此类流量，否则服务本身仍可通过其公共端点从 VNet 外部访问。

• 子网与 Azure 服务之间是一对一的关系。

• 比私有链接便宜。

私有链接：

• 私有链接通过私有端点将 Azure 服务映射到您的 VNet，该私有端点是 VNet 内具有私有 IP 地址的网络接口。

• 使用此私有 IP 地址访问 Azure 服务，使其看起来像是您网络的一部分。

• 通过私有链接连接的服务只能从您的 VNet 或连接的网络访问；没有公共互联网访问服务。

• 它为 Azure 服务或您在 Azure 中托管的自有服务提供安全连接，以及与他人共享的服务的连接。

• 它通过 VNet 中的私有端点提供更细粒度的访问控制，而不是通过服务端点在子网级别提供更广泛的访问控制。

总之，虽然服务端点和私有链接都提供安全的 Azure 服务连接，私有链接通过确保服务以私密方式访问而不暴露于公共互联网，提供了更高水平的隔离和安全性。另一方面，服务端点在一般情况下更易于设置，适用于需要简单、安全访问 Azure 服务而不需要 VNet 中的私有 IP 的场景。

Azure Front Door (AFD) 和 AFD WAF

Azure Front Door 是一个可扩展且安全的入口点，用于 快速交付 您的全球 web 应用程序。它 结合 了全球 负载均衡、站点加速、SSL 卸载和 Web 应用防火墙 (WAF) 功能于一体。Azure Front Door 提供基于 离用户最近的边缘位置 的智能路由，确保最佳性能和可靠性。此外，它还提供基于 URL 的路由、多站点托管、会话亲和性和应用层安全性。

Azure Front Door WAF 旨在 保护 web 应用程序免受基于 web 的攻击，无需修改后端代码。它包括自定义规则和管理规则集，以防范 SQL 注入、跨站脚本和其他常见攻击等威胁。

示例：

想象一下，您有一个全球分布的应用程序，用户遍布世界各地。您可以使用 Azure Front Door 将用户请求路由到最近的区域数据中心 托管您的应用程序，从而减少延迟，改善用户体验，并 利用 WAF 功能保护其免受 web 攻击。如果某个特定区域出现停机，Azure Front Door 可以自动将流量重新路由到下一个最佳位置，确保高可用性。

枚举

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door Instances
Get-AzFrontDoor

# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure 应用程序网关和 Azure 应用程序网关 WAF

Azure 应用程序网关是一个 Web 流量负载均衡器，使您能够管理对 Web 应用程序的流量。它在应用交付控制器 (ADC) 中提供 第 7 层负载均衡、SSL 终止和 Web 应用程序防火墙 (WAF) 功能。主要功能包括基于 URL 的路由、基于 Cookie 的会话亲和性和安全套接字层 (SSL) 卸载，这些对于需要复杂负载均衡能力的应用程序至关重要，例如全球路由和基于路径的路由。

示例：

考虑一个场景，您有一个电子商务网站，其中包括多个子域以实现不同功能，例如用户帐户和支付处理。Azure 应用程序网关可以 根据 URL 路径将流量路由到适当的 Web 服务器。例如，流量到 example.com/accounts 可以被定向到用户帐户服务，而流量到 example.com/pay 可以被定向到支付处理服务。 并且 使用 WAF 功能保护您的网站免受攻击。

枚举

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

Azure Hub, Spoke & VNet Peering

VNet Peering 是 Azure 中的一项网络功能，允许不同的虚拟网络（VNets）直接无缝连接。通过 VNet 对等连接，一个 VNet 中的资源可以使用私有 IP 地址与另一个 VNet 中的资源进行通信，就像它们在同一网络中一样。 VNet 对等连接也可以与本地网络一起使用，通过设置站点到站点的 VPN 或 Azure ExpressRoute。

Azure Hub 和 Spoke 是一种用于管理和组织网络流量的网络拓扑。“中心”是一个控制和路由不同“辐条”之间流量的中心点。中心通常包含共享服务，如网络虚拟设备（NVA）、Azure VPN 网关、Azure 防火墙或 Azure Bastion。“辐条”是承载工作负载并通过 VNet 对等连接到中心的 VNets，使它们能够利用中心内的共享服务。该模型促进了清晰的网络布局，通过集中多个 VNet 可以使用的公共服务来减少复杂性。

示例：

想象一个公司有独立的部门，如销售、HR 和开发，每个部门都有自己的 VNet（辐条）。这些 VNets 需要访问共享资源，如中央数据库、防火墙和互联网网关，这些资源都位于另一个 VNet（中心）中。通过使用 Hub 和 Spoke 模型，每个部门可以通过中心 VNet 安全地连接到共享资源，而不将这些资源暴露于公共互联网或创建一个具有众多连接的复杂网络结构。

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

Site-to-Site VPN

在 Azure 中，Site-to-Site VPN 允许您 将本地网络连接到 Azure 虚拟网络 (VNet)，使 Azure 中的资源（如 VM）看起来就像在您的本地网络上。此连接是通过 VPN 网关加密两个网络之间的流量 来建立的。

示例：

一家总部位于纽约的企业拥有一个本地数据中心，需要安全地连接到其在 Azure 中托管虚拟化工作负载的 VNet。通过设置 Site-to-Site VPN，该公司可以确保本地服务器与 Azure VM 之间的加密连接，使得两个环境中的资源可以像在同一本地网络中一样安全地访问。

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute 是一项服务，提供 您本地基础设施与 Azure 数据中心之间的私有、专用、高速连接。此连接通过连接提供商建立，绕过公共互联网，提供比典型互联网连接更高的可靠性、更快的速度、更低的延迟和更高的安全性。

示例：

一家跨国公司由于数据量大和高吞吐量的需求，需要 与其 Azure 服务之间保持一致和可靠的连接。该公司选择 Azure ExpressRoute 直接将其本地数据中心连接到 Azure，促进大规模数据传输，例如每日备份和实时数据分析，同时增强隐私和速度。

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit