Az - Azure Network

基本信息

Azure 提供 虚拟网络 (VNet)，允许用户在 Azure 云中创建 隔离的 网络。在这些 VNet 中，可以安全地托管和管理虚拟机、应用程序、数据库等资源。Azure 中的网络支持云内通信（在 Azure 服务之间）以及与外部网络和互联网的连接。 此外，可以 连接 VNet 与其他 VNet 以及本地网络。

虚拟网络 (VNET) 和子网

Azure 虚拟网络 (VNet) 是您在云中自己网络的表示，提供在 Azure 环境中专门为您的订阅而设的 逻辑隔离。VNet 允许您在 Azure 中配置和管理虚拟专用网络 (VPN)，托管虚拟机 (VM)、数据库和应用服务等资源。它们提供 对网络设置的完全控制，包括 IP 地址范围、子网创建、路由表和网络网关。

子网 是 VNet 内的细分，由特定的 IP 地址范围 定义。通过将 VNet 划分为多个子网，您可以根据网络架构组织和保护资源。 默认情况下，同一 Azure 虚拟网络 (VNet) 内的所有子网 可以相互通信，没有任何限制。

示例：

• MyVNet 的 IP 地址范围为 10.0.0.0/16。

• 子网-1： 10.0.0.0/24 用于 Web 服务器。

• 子网-2： 10.0.1.0/24 用于数据库服务器。

枚举

要列出 Azure 账户中的所有 VNet 和子网，可以使用 Azure 命令行界面 (CLI)。以下是步骤：

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

网络安全组 (NSG)

一个 网络安全组 (NSG) 过滤 Azure 虚拟网络 (VNet) 内 Azure 资源的网络流量。它包含一组 安全规则，可以指示 哪些端口可以用于入站和出站流量，通过源端口、源 IP、端口目标，并且可以分配优先级（优先级数字越低，优先级越高）。

NSG 可以与 子网和 NIC 关联。

规则示例：

• 一个入站规则，允许来自任何源的 HTTP 流量（端口 80）到您的 Web 服务器。

• 一个出站规则，仅允许 SQL 流量（端口 1433）到特定的目标 IP 地址范围。

枚举

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

Azure Firewall

Azure Firewall 是 Azure 中的一个 托管网络安全服务，通过检查和控制流量来保护云资源。它是一个 有状态防火墙，根据第 3 层到第 7 层的规则过滤流量，支持 在 Azure 内部（东西向流量）和 与外部网络之间（南北向流量）的通信。部署在 虚拟网络（VNet）级别，为 VNet 中的所有子网提供集中保护。Azure Firewall 自动扩展以应对流量需求，并确保高可用性，无需手动设置。

它提供三种 SKU——基本版、标准版和 高级版，每种版本都针对特定客户需求量身定制：

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure 路由表

Azure 路由表 用于控制子网内网络流量的路由。它们定义了规则，指定数据包应如何转发，转发目标可以是 Azure 资源、互联网或特定的下一跳，如虚拟设备或 Azure 防火墙。您可以将路由表与 子网 关联，所有在该子网内的资源将遵循表中的路由。

示例： 如果一个子网托管需要通过网络虚拟设备 (NVA) 进行检查的出站流量的资源，您可以在路由表中创建一个 路由，将所有流量（例如，0.0.0.0/0）重定向到 NVA 的私有 IP 地址作为下一跳。

枚举

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link 是 Azure 中的一项服务，通过确保您的 Azure 虚拟网络 (VNet) 与服务之间的流量完全在 Microsoft 的 Azure 主干网络内传输，从而实现对 Azure 服务的私有访问。它有效地将服务引入您的 VNet。此设置通过不将数据暴露于公共互联网来增强安全性。

Private Link 可以与各种 Azure 服务一起使用，如 Azure Storage、Azure SQL Database 和通过 Private Link 共享的自定义服务。它提供了一种安全的方式，从您自己的 VNet 或甚至不同的 Azure 订阅中使用服务。

示例：

考虑一个场景，您有一个 希望从您的 VNet 安全访问的 Azure SQL Database。通常，这可能涉及穿越公共互联网。通过 Private Link，您可以在您的 VNet 中创建一个 私有端点，直接连接到 Azure SQL Database 服务。此端点使数据库看起来像是您自己 VNet 的一部分，可以通过私有 IP 地址访问，从而确保安全和私密的访问。

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure 服务端点

Azure 服务端点扩展了您的虚拟网络私有地址空间和 VNet 的身份，通过直接连接到 Azure 服务。通过启用服务端点，您 VNet 中的资源可以安全地连接到 Azure 服务，如 Azure 存储和 Azure SQL 数据库，使用 Azure 的骨干网络。这确保了从 VNet 到 Azure 服务的流量保持在 Azure 网络内，提供了更安全和可靠的路径。

示例：

例如，Azure 存储帐户默认可以通过公共互联网访问。通过在您的 VNet 内启用Azure 存储的服务端点，您可以确保只有来自您 VNet 的流量可以访问存储帐户。然后可以配置存储帐户防火墙，仅接受来自您 VNet 的流量。

枚举

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

服务端点与私有链接之间的区别

Microsoft 在 docs 中建议使用私有链接：

服务端点：

• 从您的 VNet 到 Azure 服务的流量通过 Microsoft Azure 骨干网络传输，绕过公共互联网。

• 该端点是与 Azure 服务的直接连接，并未为 VNet 内的服务提供私有 IP。

• 除非您配置服务防火墙以阻止此类流量，否则服务本身仍可通过其公共端点从 VNet 外部访问。

• 子网与 Azure 服务之间是一对一的关系。

• 比私有链接便宜。

私有链接：

• 私有链接通过私有端点将 Azure 服务映射到您的 VNet，该私有端点是您 VNet 内具有私有 IP 地址的网络接口。

• 使用此私有 IP 地址访问 Azure 服务，使其看起来像是您网络的一部分。

• 通过私有链接连接的服务只能从您的 VNet 或连接的网络访问；没有公共互联网访问该服务。

• 它为 Azure 服务或您在 Azure 中托管的自有服务提供安全连接，以及与他人共享的服务的连接。

• 它通过您 VNet 中的私有端点提供更细粒度的访问控制，而不是通过服务端点在子网级别提供更广泛的访问控制。

总之，虽然服务端点和私有链接都提供安全的 Azure 服务连接，私有链接通过确保服务以私密方式访问而不暴露于公共互联网，提供了更高水平的隔离和安全性。另一方面，服务端点在一般情况下更易于设置，适用于需要简单、安全访问 Azure 服务而不需要 VNet 中的私有 IP 的场景。

Azure Front Door (AFD) 和 AFD WAF

Azure Front Door 是一个可扩展且安全的入口点，用于 快速交付 您的全球 web 应用程序。它 结合 了全球 负载均衡、站点加速、SSL 卸载和 Web 应用防火墙 (WAF) 功能于一体。Azure Front Door 提供基于 离用户最近的边缘位置 的智能路由，确保最佳性能和可靠性。此外，它还提供基于 URL 的路由、多站点托管、会话亲和性和应用层安全性。

Azure Front Door WAF 旨在 保护 web 应用程序免受基于 web 的攻击，无需修改后端代码。它包括自定义规则和管理规则集，以防范 SQL 注入、跨站脚本和其他常见攻击等威胁。

示例：

想象一下，您有一个全球分布的应用程序，用户遍布世界各地。您可以使用 Azure Front Door 将用户请求路由到最近的区域数据中心 托管您的应用程序，从而减少延迟，改善用户体验，并 利用 WAF 功能保护其免受 web 攻击。如果某个特定区域发生停机，Azure Front Door 可以自动将流量重新路由到下一个最佳位置，确保高可用性。

枚举

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure 应用程序网关和 Azure 应用程序网关 WAF

Azure 应用程序网关是一个 网络流量负载均衡器，使您能够管理对您的 网络 应用程序的流量。它在应用程序交付控制器 (ADC) 中提供 第 7 层负载均衡、SSL 终止和网络应用程序防火墙 (WAF) 功能。主要功能包括基于 URL 的路由、基于 cookie 的会话亲和性和安全套接字层 (SSL) 卸载，这些对于需要复杂负载均衡能力的应用程序至关重要，例如全球路由和基于路径的路由。

示例：

考虑一个场景，您有一个电子商务网站，其中包括多个子域以实现不同功能，例如用户帐户和支付处理。Azure 应用程序网关可以 根据 URL 路径将流量路由到适当的网络服务器。例如，流量到 example.com/accounts 可以被定向到用户帐户服务，而流量到 example.com/pay 可以被定向到支付处理服务。 并且 使用 WAF 功能保护您的网站免受攻击。

枚举

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering 是 Azure 中的一项网络功能，允许不同的虚拟网络（VNets）直接无缝连接。通过 VNet 对等连接，一个 VNet 中的资源可以使用私有 IP 地址与另一个 VNet 中的资源进行通信，就像它们在同一网络中一样。 VNet 对等连接还可以与本地网络一起使用，通过设置站点到站点的 VPN 或 Azure ExpressRoute。

Azure Hub and Spoke 是一种在 Azure 中用于管理和组织网络流量的网络拓扑。“中心”是一个控制和路由不同“辐条”之间流量的中心点。中心通常包含共享服务，如网络虚拟设备（NVA）、Azure VPN 网关、Azure 防火墙或 Azure Bastion。“辐条”是承载工作负载并通过 VNet 对等连接到中心的 VNets，使它们能够利用中心内的共享服务。该模型促进了清晰的网络布局，通过集中多个 VNet 中的工作负载可以使用的公共服务来减少复杂性。

示例：

想象一个公司有独立的部门，如销售、HR 和开发，每个部门都有自己的 VNet（辐条）。这些 VNets 需要访问共享资源，如中央数据库、防火墙和互联网网关，这些资源都位于另一个 VNet（中心）中。通过使用 Hub and Spoke 模型，每个部门可以通过中心 VNet 安全地连接到共享资源，而不将这些资源暴露于公共互联网或创建具有众多连接的复杂网络结构。

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

在 Azure 中，Site-to-Site VPN 允许您 将本地网络连接到 Azure 虚拟网络 (VNet)，使 Azure 中的资源（如虚拟机）看起来就像在您的本地网络上。此连接是通过 VPN 网关加密两个网络之间的流量 来建立的。

示例：

一家总部位于纽约的企业拥有一个本地数据中心，需要安全地连接到其在 Azure 中的 VNet，该 VNet 托管其虚拟化工作负载。通过设置 Site-to-Site VPN，该公司可以确保本地服务器与 Azure 虚拟机之间的加密连接，使得两个环境中的资源可以像在同一本地网络中一样安全地访问。

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute 是一项服务，提供 您本地基础设施与 Azure 数据中心之间的私有、专用、高速连接。此连接通过连接提供商建立，绕过公共互联网，提供比典型互联网连接更高的可靠性、更快的速度、更低的延迟和更高的安全性。

示例：

一家跨国公司由于数据量大和高吞吐量的需求，需要 与其 Azure 服务之间保持一致和可靠的连接。该公司选择 Azure ExpressRoute 直接将其本地数据中心连接到 Azure，促进大规模数据传输，例如每日备份和实时数据分析，同时增强隐私和速度。

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table