企业级平台                 全面满足客户智能需求        无缝的混合云平台                受信任的云

Azure防火墙为非HTTP/S协议（例如 RDP\SSH\FTP协议）提供入站保护，为所有端口和协议提供出站网络级别的保护；如果用户需要为HTTP/S协议提供入站保护，需要使用Web应用程序防火墙 (WAF)。

· 静态数据包筛选防火墙，提供基本的网络级别访问控制（基于IP地址和 TCP 或 UDP 协议）

· 用户可以通过配置网络安全组规则自定义网络流量的筛选条件
· NSG可以与虚拟网络子网关联，同时也可以与子网中具体的网卡相关联，二者可以同时存在（在同时配置时，要避免二者冲突）。

· 在NSG关闭所有单个虚机的对外管理端口

· 方案一采用堡垒机Azure Bastion一个 vNet一个
· 方案二采用安全中心标准版的 JustInTime

· 方案三在需要时自己配置NSG放开端口并指定Client端IP。

· 选择备份用于以后的恢复

· 在备份中有软删除保护，所以就算被删除也可以恢复。

· 对重要Blob启用软删除
· Global Azure可以启用威胁防护功能（安全中心标准版）

· 如果仅是VNet访问的Blob，可启用IP防火墙。

1、AzureAD启用MFA验证，在用户界面中。

2、RBAC使用最小权力原则，对项目用户创建用户把权限定位到此项目Resource Group的Contributor

· 配置WAF在应用网关，WAF解释详见网络篇章，或配置第三方WAF保护
· 对生产SQLDB启用威胁保护。