你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
显式代理目前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
默认情况下,Azure 防火墙在透明代理模式下运行。 在此模式下,会使用用户定义的路由 (UDR) 配置将流量发送到防火墙。 防火墙会拦截该内联流量并将其传递到目标。
在出站路径上设置显式代理后,可以在将 Azure 防火墙配置为代理的发送应用程序(例如 Web 浏览器)上配置代理设置。 因此,来自发送应用程序的流量会进入防火墙的专用 IP 地址,并直接从防火墙传出,而无需使用 UDR。
使用显式代理模式(支持 HTTP/S),可以在浏览器中定义指向防火墙专用 IP 地址的代理设置。 可以在浏览器或应用程序上手动配置 IP 地址,也可以配置代理自动配置 (PAC) 文件。 将 PAC 文件上传到防火墙后,防火墙可以托管该文件,以便为代理请求提供服务。
配置
启用该功能后,门户上会显示以下屏幕:
注意
HTTP 和 HTTPS 端口不能相同。
接下来,若要允许流量通过防火墙,请在防火墙策略中创建应用程序规则以允许此流量。
重要
必须使用应用程序规则。 网络规则不起作用。
若要使用代理自动配置 (PAC) 文件,请选择“启用代理自动配置”。
首先,将 PAC 文件上传到你创建的存储容器。 然后,在“启用显式代理”页上,配置共享访问签名 (SAS) URL。 配置为 PAC 提供服务的端口,然后选择页面底部的“应用”。
SAS URL 必须具有“读取”权限,以便防火墙能够下载文件。 如果对 PAC 文件进行了更改,则需要在防火墙的“启用显式代理”页上生成并配置新的 SAS URL。
管理和符合性
若要确保跨 Azure 防火墙部署的显式代理设置配置一致,可以使用 Azure Policy 定义。 以下策略可用于管理显式代理配置:
- 强制实施防火墙策略的显式代理配置:确保所有 Azure 防火墙策略都启用了显式代理配置。
- 使用显式代理时启用 PAC 文件配置:审核启用显式代理时,也会正确配置 PAC(代理自动配置)文件。
有关这些策略以及如何实现这些策略的详细信息,请参阅 使用 Azure Policy 来帮助保护 Azure 防火墙部署。
后续步骤
- 若要详细了解显式代理,请参阅 Demystifying Explicit proxy: Enhancing Security with Azure Firewall(揭秘显式代理:使用 Azure 防火墙增强安全性)。
- 若要了解如何部署 Azure 防火墙,请参阅使用 Azure PowerShell 部署和配置 Azure 防火墙。