AZ-700

核心服务

• Azure Virtual NetworkAWS 文档 ↗

  软件定义网络，以子网、地址空间规划、全球 VNet 对等互连、服务终结点、NSG 和 UDR 作为其基础构建块。

  为什么会出现在考试中： 领域 1 (设计和实施核心网络基础设施) 的每个场景都以 VNet 拓扑开始——包括 CIDR 大小调整、中心辐射型与网格对等互连，以及子网委派选择。

• Azure Virtual WANAWS 文档 ↗

  托管的全球 WAN，在一个内置路由意图和任意对任意连接的单个虚拟中心下统一 VNet、VPN、ExpressRoute 和 SD-WAN 分支附件。

  为什么会出现在考试中： 领域 4 (混合网络) 将 Virtual WAN 列为大规模多区域中心辐射型网络中取代手动拼接中心的标准答案。

• Azure VPN GatewayAWS 文档 ↗

  托管的站点到站点和点到站点 IPsec VPN 终止服务，支持 BGP、主动-主动冗余、基于路由和基于策略的隧道，以及 SKU 分层吞吐量。

  为什么会出现在考试中： 领域 4 考查根据带宽/SLA 选择 VPN Gateway 与 ExpressRoute，配置 BGP ASN，以及混合骨干网的主动-主动故障转移模式。

• Azure ExpressRouteAWS 文档 ↗

  专用私有线路连接到 Azure，支持私有和 Microsoft 对等互连、BGP、通过 Microsoft 骨干网进行站点到站点路由的 ExpressRoute Global Reach，以及实现低于 10 毫秒延迟的 FastPath。

  为什么会出现在考试中： 领域 4 混合设计问题侧重于 ExpressRoute 对等互连类型、线路 SKU (Local/Standard/Premium)、Global Reach 和 BGP 路径操作。

• Azure Route ServerAWS 文档 ↗

  托管的 BGP 路由反射器，通过 BGP 在 Azure VNet 和 NVA (网络虚拟设备) 之间交换路由，从而无需手动维护 UDR。

  为什么会出现在考试中： 领域 2 (设计和实施路由) 将 Route Server 列为当 SDWAN 设备或 NVA 需要将 BGP 路由注入 Azure 路由架构时的解决方案。

• Azure Network WatcherAWS 文档 ↗

  网络诊断工具集：Connection Monitor、IP Flow Verify、NSG Diagnostics、Packet Capture、VNet Flow Logs，以及有效路由/有效安全规则内省。

  为什么会出现在考试中： 领域 3 (保护和监控网络) 围绕 Network Watcher 展开——使用 Connection Monitor 进行路径测试，Flow Logs 用于流量可见性，NSG diagnostics 用于规则调试。

• Azure DNS + Private DNS ZonesAWS 文档 ↗

  权威公共 DNS 托管以及具有 VNet 链接、自动注册功能的 Private DNS Zones，并提供 DNS Private Resolver 用于入站/出站混合名称解析。

  为什么会出现在考试中： 领域 4 和领域 5 考查混合 DNS 模式——包括条件转发器、Private Resolver 终结点，以及跨中心辐射型网络的 Private DNS 自动注册。

• Azure Load Balancer + Application Gateway + Front DoorAWS 文档 ↗

  三层负载均衡：Standard Load Balancer (L4，区域性)、Application Gateway (带 WAF 的 L7，区域性) 和 Front Door (带 WAF 的 L7，全球任播边缘)。

  为什么会出现在考试中： 领域 1 将区域 L4 (Load Balancer) 与区域 L7 (Application Gateway) 以及全球 L7 (Front Door) 区分开来，这是考试场景中反复出现的干扰模式。

专用服务

• Azure Firewall + Firewall ManagerAWS 文档 ↗

  托管的状态防火墙即服务，支持 FQDN 过滤、TLS 检查 (Premium)、IDPS，以及用于跨中心和 VNet 集中化策略层次结构的 Firewall Manager。

  为什么会出现在考试中： 领域 3 东西向和出站检查场景将 Azure Firewall 列为自托管 NVA 的托管替代方案，并使用 Firewall Manager 管理多中心策略。

• Azure DDoS ProtectionAWS 文档 ↗

  始终开启的网络层和 IP 层 DDoS 缓解服务，具有流量分析、攻击分析、快速响应机制，并为自动扩缩目标提供成本保护。

  为什么会出现在考试中： 领域 3 关于面向 Internet 终结点的容量和协议攻击缓解问题，将 DDoS Protection Network/IP SKU 列为解决方案。

• Azure Web Application FirewallAWS 文档 ↗

  部署在 Application Gateway、Front Door 或 Azure CDN 上的 L7 WAF，具有托管规则集 (OWASP CRS、Microsoft 机器人管理器)、自定义规则和速率限制功能。

  为什么会出现在考试中： 领域 3 应用程序层保护场景考查 WAF 部署位置选择——Front Door (全球边缘) 与 App Gateway (区域性)——以及托管规则调优。

• Azure NAT GatewayAWS 文档 ↗

  托管的仅出站 SNAT 服务，最多支持 16 个公共 IP、每个 IP 64k 个 SNAT 端口，并按子网进行连接——取代了不可预测的默认出站或基于 LB 的 SNAT。

  为什么会出现在考试中： 领域 2 路由问题中关于确定性出站连接、SNAT 端口耗尽修复以及区域冗余出口设计，将 NAT Gateway 列为解决方案。

• Azure Private Link / Private EndpointAWS 文档 ↗

  通过 Private Endpoints (消费者 VNet 中的 NIC) 为 PaaS 服务和客户自有服务提供私有连接，流量在 Microsoft 骨干网上传输——绝不穿越 Internet。

  为什么会出现在考试中： 领域 5 (设计和实施对 Azure 服务的私有访问) 以 Private Link / Private Endpoint 为核心，作为无公共 IP 的 PaaS 标准模式。

• Azure ExpressRoute DirectAWS 文档 ↗

  10 Gbps 或 100 Gbps 端口对，为客户提供直接连接到 Microsoft 骨干网的能力，并支持划分多个线路和 MACsec 加密。

  为什么会出现在考试中： 领域 4 混合设计场景中，如果需要大于 10 Gbps 的聚合带宽、MACsec 或物理端口隔离，则选择 ExpressRoute Direct 而非标准 ExpressRoute。

• Azure Connection MonitorAWS 文档 ↗

  跨 Azure VM、本地代理和 Azure 终结点进行持续可达性和延迟测试，提供拓扑视图、丢包跟踪和 Log Analytics 集成。

  为什么会出现在考试中： 领域 3 关于混合路径延迟、ExpressRoute 路径测试以及故障转移前后验证的监控场景，将 Connection Monitor 列为操作工具。

• Azure Virtual Network ManagerAWS 文档 ↗

  VNet 组、连接配置 (中心辐射型、网格) 和安全管理员规则的集中管理平面，可在多订阅范围内覆盖 NSG。

  为什么会出现在考试中： 领域 1 和领域 3 关于将中心辐射型网络扩展到手动对等互连之外以及通过管理员规则强制执行安全基线的设计问题，都提到了 Virtual Network Manager。

安全与治理

• Network Security Groups + Application Security GroupsAWS 文档 ↗

  通过 NSG 在子网和 NIC 范围进行有状态 L3/L4 过滤，以及 ASG 允许规则引用工作负载组 (例如 "WebTier", "DBTier") 而非静态 IP 范围。

  为什么会出现在考试中： 领域 3 关于默认拒绝姿态、规则优先级/优先权以及用基于 ASG 的规则取代 IP 元组规则的安全问题，是考试中反复出现的考点。

• Microsoft Entra ID + Conditional AccessAWS 文档 ↗

  具有条件访问策略的身份目录，根据用户、设备、位置和风险信号限制 Bastion、P2S VPN 和管理平面访问。

  为什么会出现在考试中： 领域 3 和领域 5 的安全访问场景——Entra 认证的 P2S VPN、带 MFA 的 Bastion 以及管理平面条件访问——都以 Entra + 条件访问为核心。

• Azure Monitor + Log Analytics (network logs)AWS 文档 ↗

  VNet Flow Logs、NSG 诊断、ExpressRoute / VPN Gateway 指标和 Connection Monitor 结果的统一遥测接收器，可通过 KQL 工作簿进行查询。

  为什么会出现在考试中： 领域 3 的监控模式要求 Azure Monitor + Log Analytics 集中化流日志、对阈值违规发出警报，并生成流量分析工作簿。

• Microsoft Defender for Cloud (Network Protection)AWS 文档 ↗

  CSPM + 工作负载保护，提供网络配置错误建议 (开放端口、不受限制的 NSG 规则)、自适应网络强化和即时 VM 访问。

  为什么会出现在考试中： 领域 3 关于持续姿态管理、JIT VM 访问和自适应强化建议的治理问题，将 Defender for Cloud 列为解决方案。

典型职位

• Azure 网络工程师
• 云网络工程师
• 网络架构师（云方向）
• 高级网络工程师（Azure 专注）
• 混合连接工程师
• 云基础设施工程师（网络专业）
• 网络安全工程师（Azure）

薪资范围（美国，估算）

$110k–$150k–$200k USD 每年

此范围涵盖美国地区的中高级云网络工程师；大型企业和微软合作咨询公司的高级网络架构师的总薪酬通常超过 22 万美元。从传统本地网络工程师转型到云领域的工程师，在积累 Azure 专属经验之前，薪资往往趋于较低水平。

来源：levels.fyi 2025 网络/云网络工程师职位, U.S. BLS OEWS May 2024 (15-1241 computer network architects, 15-1244 network and computer systems administrators), Glassdoor 2025。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

AZ-700 的需求稳定，这得益于持续的企业云迁移项目，这些项目需要 ExpressRoute、中心辐射型（hub-spoke）、Virtual WAN 和私有终结点（Private Endpoint）的专业知识。金融服务、医疗保健、政府承包商和微软合作咨询公司的招聘人员将其作为 Azure 网络能力的典型证明。对于偏向云管理的网络工程师，它与 AZ-104 自然搭配；对于偏向网络的架构师，它与 AZ-305 搭配；对于跨网络和安全角色的工程师，它与 AZ-500 搭配。在具有显著混合连接要求的受监管行业中，需求尤为强劲。