How difficult is the AZ-700 exam?

AZ-700 is an Associate-level certification focused on Azure networking. The exam requires comprehensive understanding and hands-on experience with Azure network services, including virtual networks, VPN, ExpressRoute, load balancing, and network security. We recommend 2-3 months of preparation.

What is the difference between AZ-700 and the networking section of AZ-104?

AZ-104 covers all aspects of Azure administration, with networking as just one part. AZ-700 focuses exclusively on networking in much greater depth, covering advanced services like ExpressRoute, Front Door, Traffic Manager, and more.

Which services are heavily tested on the AZ-700 exam?

High-frequency services include: VNet and VNet Peering, VPN Gateway, ExpressRoute, Azure Firewall, Application Gateway/WAF, Load Balancer, Front Door, Private Endpoint/Private Link, and Network Watcher.

Should network engineers take the AZ-700 exam?

If you are or aspire to be an Azure network engineer, AZ-700 is the most directly relevant certification. It validates your ability to design and manage enterprise-level networking on Azure and is the most valuable Azure certification for the networking track.

Azure助理级🌐 网络

Microsoft Certified: Azure Network Engineer Associate (AZ-700)

验证您在设计、实施和管理 Azure 网络解决方案方面的专业能力。Microsoft Azure 核心网络工程师认证。

Start Practice Browse Learning Path

$165

Exam Fee

Questions

120m

Exam Duration

700/1000

Passing Score

Bottom line · It depends

Azure 网络方向最对口的专精证 — 如果你在 Azure shop 做网络/混合云，这证含金量很硬；但非 Azure 环境基本用不上。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

All certification exam prep included
Course discounts up to 50%
AI tools & Chrome extensions
Priority 1-on-1 coaching

View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Microsoft Certified: Azure Network Engineer Associate（考试代号 AZ-700）是微软 Azure 认证体系里网络方向唯一的 Associate 级别专精证。它不是 AZ-104 那种"广度运维"证，而是把 Azure 网络这一个垂直领域挖到足够深 — 从 VNet 地址规划、UDR 路由劫持、BGP 宣告、ExpressRoute Private Peering、Azure Firewall Premium 的 TLS 检查和 IDPS，一直到 Private Link Service 跨租户发布，全部都会考。

考试结构：40-60 道题、100 分钟（加上同意条款实际约 120 分钟）、$165 USD、通过分数 700/1000。题型包括单选、多选、拖放、热点和案例分析。考纲 5 个领域：核心网络基础设施（20-25%）、连接服务 VPN/ExpressRoute/vWAN（20-25%）、应用交付 App Gateway/Front Door/LB（20-25%）、Private Access 私有访问（15-20%）、网络安全与监控（15-20%）。

这张证的定位比较尴尬也比较特别。尴尬在于：它不像 AZ-104 那样"企业 IT 都能用"，非 Azure 技术栈的公司基本不会认；特别在于：一旦你进入 Azure 为主的企业（尤其是银行、保险、政府、制造业这种深度用 Azure + ExpressRoute 的 hub-spoke 架构），AZ-700 是招聘 Azure Network Engineer 岗位时 HR 筛简历的硬指标之一，因为这个方向的人才池本来就小。

AZ-700 和 AZ-104 的网络部分有本质区别。AZ-104 网络只占 15-20%，考的是"会配 NSG、会拉 VNet Peering、知道 VPN Gateway 是什么"这种运维级别的东西；AZ-700 则要求你能在白板上画出一个多区域 hub-spoke + vWAN 的混合云架构，能解释为什么选 ExpressRoute FastPath 而不是普通 Private Peering，能在 UDR 和 BGP 冲突时判断实际流量走哪条路。这是工程师 vs 架构师的差别。

和 AZ-104 一样，AZ-700 也是每年免费续期。微软会在证书到期前 6 个月开放 Renewal Assessment，在线、不限时、可查文档，通过即可续 1 年。相比 Cisco CCNP（每 3 年重考一次 $300+）或 AWS ANS-C01（3 年 $300），这个续证成本优势非常明显。

You will work with

Virtual NetworkVNet PeeringExpressRouteVPN GatewayAzure FirewallApplication GatewayLoad BalancerFront DoorPrivate EndpointNetwork WatcherAzure DNSTraffic Manager

After preparation

获得 Microsoft 官方 Azure Network Engineer Associate 认证
掌握 Azure 核心网络架构设计和实施
能够配置和管理混合网络连接方案
熟练部署应用交付和负载均衡服务

Exam details

Exam Code

AZ-700

Provider

Microsoft Azure

Duration

120 minutes

Question Count

50 questions

Passing Score

700/1000

Validity

1 years

Exam Fee

$165 USD

Question Types

Single choice, Multiple select, 案例分析, Drag and drop

Languages

English, 中文(简体), 日本語, 한국어

Official Page

Open AWS page

Who should take it

Good fit

Azure 网络工程师和云网络架构师
网络安全工程师
Azure 管理员希望专精网络领域
企业 IT 网络管理人员
准备向云网络方向转型的网络工程师

Before you start

具备 Azure 管理基础（建议已了解 AZ-104 内容）
了解网络基础概念（TCP/IP, DNS, 路由）
熟悉传统网络设备和拓扑
有 Azure 门户和 CLI 操作经验

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding Azure Network Engineer Associate.

澳洲

$125K-180KAUD

美国

$135K-200KUSD

中国

¥320K-600KCNY

新加坡

$105K-160KSGD

Azure Network EngineerCloud Network EngineerNetwork Architect (Azure)Hybrid Cloud Network EngineerAzure Infrastructure EngineerNetwork Security Engineer云网络工程师混合云网络架构师

为什么 AZ-700 是小众但溢价的证

Azure Network Engineer 不是一个大池子岗位。LinkedIn 2025 Q4 的数据里，全球 Azure Network Engineer 在招岗位大约是 Azure Administrator 的 1/8，但平均薪资高出 20-35%。原因很简单：懂云的多，懂网络的多，两个都深的极少。企业招一个能同时 hold 住 BGP 路由策略 + ExpressRoute 线路谈判 + Azure Firewall Premium TLS 拦截的人，愿意付溢价。

谁在招 AZ-700 持证人

主要是三类公司：

金融/保险/政府：澳洲四大行、CBA/NAB/Westpac/ANZ、Medibank、ATO、澳洲国防部这类机构几乎全部用 Azure + ExpressRoute 做混合云，hub-spoke 架构是标配。他们招 Senior Network Engineer 时 AZ-700 基本是 preferred。
大型跨国企业 in-house IT：Rio Tinto、BHP、Telstra、埃森哲、德勤、安永这种深度用 Microsoft 生态的企业，内部 Azure landing zone 团队需要 AZ-700 持证者。
Microsoft Partner / MSP：微软金牌合作伙伴在投标政府和企业项目时，AZ-700 持证人数直接影响伙伴等级，所以他们会主动 sponsor 员工考。

薪资范围（2026）

澳洲 Sydney/Melbourne/Canberra：Azure Network Engineer 中级 AUD 125-150k，Senior 150-180k，Lead/Architect 级别 180-220k（Canberra 政府项目有安全许可 clearance 加成，能冲到 230k+）。
美国：USD 135-200k，湾区、纽约、西雅图金融/科技公司头部 offer 210k+（Senior Network Engineer - Azure）。
中国：北上深外企和金融科技 RMB 32-60 万，微软、埃森哲、德勤中国的 Azure 网络专精岗是主要招聘方。
新加坡：SGD 105-160k，DBS、UOB、星展的云迁移项目持续招 Azure 网络方向工程师。

最适合考 AZ-700 的人

传统网络工程师转云：你已经考过 CCNA/CCNP，懂 BGP、OSPF、VLAN、子网划分 — AZ-700 对你而言是学 Azure 怎么实现这些概念，学习曲线最低。CCNP + AZ-700 的组合在企业网络岗位非常吃香。
已有 AZ-104 想专精网络方向：你做过一阵 Azure 运维，想从"杂活运维"转到"网络专精"岗位，AZ-700 是最直接的路径。
在 Azure shop 做基础设施：公司已经是 Azure 为主，你正好被分到做 landing zone / hub-spoke / ExpressRoute 落地 — 考这个证正好把工作经验系统化。
安全方向的扩展：如果你做 Network Security，AZ-700 + SC-100 的组合能让你直接对口"Cloud Network Security Architect"岗位。

不适合考的人

公司完全不用 Azure（比如纯 AWS shop 或纯 GCP shop）— 这证的 ROI 接近于零，考 AWS Advanced Networking Specialty 或 GCP Network Engineer 更对口。
只做应用开发、不碰基础设施的软件工程师 — 和你的工作毫无交集。
刚入行的通用云工程师 — 先考 AZ-104 打基础，有 1-2 年实操再来 AZ-700，否则很多概念（BGP 宣告、hub-spoke routing）没有实战体感，硬背很痛苦。
想做架构师的 — 直接冲 AZ-305 Solutions Architect Expert，AZ-700 只在你真的要做网络专精时才有价值。

Study preparation

With hands-on AWS

6-8 weeks

From scratch

10-14 weeks

Daily pace

1.5-2 hours/day

Learning path preview

7 chapters

AZ-700 考试概述与备考指南

45 min

核心网络基础设施

100 min

连接服务

110 min

应用交付服务

100 min

Azure 服务的私有访问

80 min

保护和监控网络

90 min

+ 1 more chapters inside the full path

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

第一阶段：搭建 hub-spoke 实验环境（第 1-2 周）

不要只看视频。第一周必须做的事：注册 Azure 免费账户，手动搭一套最小的 hub-spoke 拓扑 — 1 个 hub VNet + 2 个 spoke VNet + VNet Peering + 一个 Azure Firewall 在 hub + 一台 VM 在每个 spoke。目标是让 spoke1 的 VM 通过 hub 的 firewall 访问 spoke2 的 VM，同时能通过 firewall 出公网。这个实验会强迫你理解 UDR（默认 spoke 到 spoke 走系统路由不经过 firewall，必须手动加 UDR）、NSG、Firewall 规则之间的关系。搞懂这个，AZ-700 的核心基础设施部分就过半了。

第二阶段：深挖 5 大考试域（第 3-6 周）

按域系统过：① 核心基础设施（VNet、UDR、BGP 基础、Azure DNS Private Zone）；② 混合连接（Site-to-Site VPN、ExpressRoute 三种 peering、Global Reach、vWAN vs 传统 hub-spoke 的选型）；③ 应用交付（Application Gateway V2 + WAF 策略、Standard LB vs Gateway LB、Front Door Premium vs Traffic Manager、四层 vs 七层 vs DNS 层负载均衡）；④ Private Access（Private Endpoint + Private DNS Zone 自动集成、Service Endpoint 的区别、Private Link Service 跨租户发布）；⑤ 安全与监控（Azure Firewall 标准版 vs Premium 的 TLS 检查/IDPS、DDoS Protection Standard 的价格坑、Network Watcher 的 Connection Monitor/NSG Flow Logs/Packet Capture）。每个域必须至少做 3 个实验，只看不做考试一定挂。

第三阶段：刷题 + 案例分析（第 7 周）

AZ-700 题目比 AZ-104 更"架构化" — 很多题是给你一个企业场景（混合云、多区域、合规要求），让你选最合适的服务组合。MeasureUp 官方题库和 Tutorials Dojo 是公认最接近真题的。每天刷 30-50 题，错题必须回到微软官方文档对照。重点练"选型题"：VPN vs ExpressRoute、App Gateway vs Front Door vs Traffic Manager、Private Endpoint vs Service Endpoint — 这几个对比是必考点。

第四阶段：模考冲刺（第 8 周）

至少 3 套全真模考稳定 80%+ 再去考。最后一周重点背：ExpressRoute SKU 和带宽对应表、VPN Gateway SKU 对应的吞吐量、App Gateway WAF vs Front Door WAF 的差异、Private DNS Zone 的自动注册规则。考试当天：案例分析题不能回头，先花 5 分钟把所有 tab 看一遍再开始答。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

我做了 8 年传统网络，CCNP 路由交换背景。学 AZ-700 最爽的是 BGP、路由宣告、NAT 这些概念和传统网络几乎一致，只是换到 Azure 的语境。最大的坑是 UDR 和 BGP 宣告路由的优先级 — Azure 里 UDR 会覆盖 BGP 学到的路由，这点和传统路由器反过来，我卡了两天才想通。考试里至少 3 道题就是考这个。

L. Zhang836/1000

CCNP → Azure Network Engineer @ 四大行 · 7 weeks prep

我是先考的 AZ-104，隔了半年再来 AZ-700。感觉完全是两个难度 — AZ-700 的案例分析题特别长，一个 case 给你 8 个 tab 的业务背景，包括合规要求、预算、现有 on-prem 拓扑，然后让你选最合适的 ExpressRoute 方案。建议做 case 题先把所有 tab 过一遍再答，不然前面答的很可能要推翻。

S. Nguyen782/1000

Melbourne Senior Cloud Engineer · 9 weeks prep

Private Endpoint 和 Private DNS Zone 的集成花了我很多时间才搞懂 — 特别是 Hub 里只有一个 Private DNS Zone 的情况下，多个 spoke 怎么通过 VNet Link 共用。这个场景考试考了 4-5 道题。另一个坑是 Azure Firewall Premium 的 TLS 检查需要你自己生成证书链，这个要动手做一次才记得住。

K. Patel758/1000

Azure Firewall / Private Link 专精 · 11 weeks prep

Certification comparison

	Azure Network Engineer Associate	Azure Administrator	Azure Solutions Architect Expert
Provider	Azure	Azure	Azure
Level	助理级	助理级	大师级
Fee	$165	$165	$165
Duration	120 min	120 min	100 min
Question count	50	50	50
Validity	1 yrs	1 yrs	1 yrs

Study tips and common mistakes

💡

**申请 ESL +30 分钟加时**：母语非英语考生免费多 30 分钟，报名时在 Accommodation 里申请。AZ-700 的 case study 阅读量大，多 30 分钟非常关键。

💡

**Case Study 不可回头**：做 case 之前花 5 分钟把所有 tab（业务背景、网络拓扑图、合规要求、预算限制）全部看完再开始答题。中途发现关键信息在最后一个 tab 已经来不及了。

💡

**关键词敏感**：看到 "lowest latency + dedicated bandwidth" → ExpressRoute；看到 "global HTTP load balancing + WAF" → Front Door Premium；看到 "private IP access to PaaS" → Private Endpoint；看到 "inspect TLS traffic" → Azure Firewall Premium；看到 "100+ branch offices auto mesh" → Virtual WAN。

💡

**SKU 和价格题要背硬数据**：VPN Gateway 的 VpnGw1-VpnGw5 对应 650Mbps-10Gbps、ExpressRoute 50Mbps-10Gbps 线路带宽、App Gateway V2 vs Standard 的差异。这些数字考试会给你具体数值让你选对应 SKU。

💡

**拓扑图热点题留够时间**：考试会给一张网络拓扑图让你在上面点对应的服务位置（比如"WAF 应该部署在哪里"），建议每道热点题留 2 分钟。

💡

**考前一晚不要硬刷**：阅读量大的考试更依赖临场专注力。睡足比多记 50 题答案更重要。

⚠️

**UDR 覆盖系统路由的方向搞错** — 在 hub-spoke 架构里，Azure 默认 spoke 之间通过 VNet Peering 直连、不经过 hub firewall。你必须在每个 spoke 的 subnet 上加 UDR（目标 = 对方 spoke 的地址段，下一跳 = firewall 私有 IP），流量才会绕道 firewall。这是必考点，也是实战中最容易配错的地方。

⚠️

**ExpressRoute 和 VPN Gateway 选型混淆** — ExpressRoute 是专线（SLA 99.95%、低延迟、高带宽、按月计费昂贵），VPN Gateway 走公网（SLA 99.9% 或 99.95%、有延迟抖动、便宜）。考试场景常给出"需要稳定 10Gbps + 访问 Microsoft 365 同时直连"→ 答案是 ExpressRoute Premium + Microsoft Peering，不要选 VPN。

⚠️

**NSG / Azure Firewall / Application Gateway 职责混淆** — NSG 是 L3-L4 基础 ACL（放在 subnet 或 NIC 上，无状态检查增强规则）；Azure Firewall 是 L3-L7 托管防火墙（支持 FQDN、应用规则、TLS 检查）；Application Gateway 是 L7 HTTP/S 负载均衡器 + WAF（只处理 HTTP 流量）。考试爱考"用户访问企业 Web 应用需要 WAF 防护"→ App Gateway WAF，不是 Azure Firewall。

⚠️

**Private Link 和 Service Endpoint 混为一谈** — Service Endpoint 是通过 Azure 骨干网访问 PaaS，但资源仍然是公网 IP（只是限定只有特定 VNet 能访问）；Private Endpoint 是把 PaaS 服务映射到 VNet 里一个真正的私有 IP，流量完全不走公网。考合规要求（如金融/政府的数据不能经过公网）一定选 Private Endpoint。

⚠️

**Hub-spoke 和 Virtual WAN 选型不清楚** — 传统 hub-spoke 适合中小规模（几个 region、<50 个 spoke）、你要精细控制路由；Virtual WAN 适合大规模（几十个分支、多 region、需要自动 any-to-any 连接）、你不想手动管理 UDR。考试场景给"全球 100 个分支机构、希望自动化建立全互联"→ vWAN，而不是传统 hub-spoke。

⚠️

**Private DNS Zone 没做 VNet Link** — 配了 Private Endpoint 但忘了把 Private DNS Zone 链接到需要解析的 VNet，结果 VM 还是解析到公网 IP。Azure Portal 默认勾选 "Integrate with private DNS zone" 但只覆盖创建 endpoint 所在的 VNet，其他 VNet 必须手动加 VNet Link。这是生产事故和考试陷阱题的常客。

FAQ

Frequently Asked Questions

If you plan to take Azure Network Engineer Associate, start with real practice.

47+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $29 · 2 free chapters