你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
显式代理目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
默认情况下,Azure 防火墙在透明代理模式下运行。 在此模式下,使用用户定义的路由(UDR)配置将流量发送到防火墙。 防火墙会以在线方式拦截流量并将其传递到目标。
在出站路径上设置显式代理时,可以在发送应用程序(例如 Web 浏览器)上配置代理设置,并将 Azure 防火墙配置为代理。 因此,来自发送应用程序的流量将发送到防火墙的专用 IP 地址,因此无需使用 UDR 即可直接从防火墙传出。
使用显式代理模式(HTTP/S 支持),可以在浏览器中定义代理设置,以指向防火墙专用 IP 地址。 可以在浏览器或应用程序上手动配置 IP 地址,也可以配置代理自动配置 (PAC) 文件。 将 PAC 文件上传到防火墙后,防火墙可以托管该文件,以便为代理请求提供服务。
配置
启用该功能后,门户上会显示以下屏幕:
注意
HTTP 和 HTTPS 端口不能相同。
接下来,若要允许流量通过防火墙,请在防火墙策略中创建 应用程序 规则以允许此流量。
重要
必须使用应用程序规则。 网络规则不起作用。
- 选择“ 启用代理自动配置 ”以使用代理自动配置(PAC)文件。
首先,将 PAC 文件上传到你创建的存储容器。 然后,在 “启用显式代理 ”窗格中,配置共享访问签名 (SAS) URL。 配置为 PAC 提供服务的端口,然后选择页面底部的“应用”。
SAS URL 必须具有 READ 权限,以便防火墙可以下载文件。 如果对 PAC 文件进行更改,则需要生成新的 SAS URL 并在防火墙 “启用显式代理 ”页上对其进行配置。
管理和符合性
若要确保跨 Azure 防火墙部署的显式代理设置配置一致,请使用 Azure Policy 定义。 以下策略可用于管理显式代理配置:
- 强制实施防火墙策略的显式代理配置:确保所有 Azure 防火墙策略都启用了显式代理配置。
- 使用显式代理时启用 PAC 文件配置:审核启用显式代理时,也会正确配置 PAC(代理自动配置)文件。
有关这些策略以及如何实现这些策略的详细信息,请参阅 使用 Azure Policy 来帮助保护 Azure 防火墙部署。
后续步骤
- 若要详细了解显式代理,请参阅 “揭秘显式代理:使用 Azure 防火墙增强安全性”。
- 若要了解如何部署 Azure 防火墙,请参阅 使用 Azure PowerShell 部署和配置 Azure 防火墙。