Přehled zásad Azure Firewall Manageru
Zásady brány firewall jsou doporučenou metodou konfigurace brány Azure Firewall. Jedná se o globální prostředek, který je možné použít napříč několika instancemi služby Azure Firewall v zabezpečených virtuálních centrech a virtuálních sítích centra. Zásady fungují napříč oblastmi a předplatnými.
Vytvoření a přidružení zásad
Zásady je možné vytvářet a spravovat několika způsoby, včetně webu Azure Portal, rozhraní REST API, šablon, Azure PowerShellu, rozhraní příkazového řádku a Terraformu.
K vytvoření zásad můžete také migrovat existující klasická pravidla ze služby Azure Firewall pomocí portálu nebo Azure PowerShellu. Další informace najdete v tématu Postup migrace konfigurací služby Azure Firewall do zásad služby Azure Firewall.
Zásady je možné přidružit k jednomu nebo několika virtuálním rozbočovačům nebo virtuálním sítím. Brána firewall může být v libovolném předplatném přidruženém k vašemu účtu a v libovolné oblasti.
Klasická pravidla a zásady
Azure Firewall podporuje klasická pravidla i zásady, ale doporučuje se konfigurace zásad. Následující tabulka porovnává zásady a klasická pravidla:
Předmět | Zásady | Klasická pravidla |
---|---|---|
Contains | NAT, Network, Application rules, custom DNS and DNS proxy settings, IP Groups, and Threat Intelligence settings (včetně seznamu povolených), IDPS, TLS Inspection, Web Categories, URL Filtering | Pravidla překladu adres (NAT), síť a aplikace, vlastní nastavení proxy serveru DNS a DNS, skupiny IP adres a nastavení analýzy hrozeb (včetně seznamu povolených) |
Chrání | Virtuální centra a virtuální sítě | Pouze virtuální sítě |
Prostředí portálu | Centrální správa pomocí Správce brány firewall | Samostatné prostředí brány firewall |
Podpora více bran firewall | Zásady brány firewall jsou samostatný prostředek, který je možné použít napříč branami firewall. | Ruční export a import pravidel nebo použití řešení pro správu třetích stran |
Ceny | Fakturováno na základě přidružení brány firewall. Viz Ceny. | Bezplatný |
Podporované mechanismy nasazení | Portál, rozhraní REST API, šablony, Azure PowerShell a rozhraní příkazového řádku | Portál, rozhraní REST API, šablony, PowerShell a rozhraní příkazového řádku |
Zásady Basic, Standard a Premium
Azure Firewall podporuje zásady Basic, Standard a Premium. Následující tabulka shrnuje rozdíl mezi těmito zásadami:
Typ zásady | Podpora funkcí | Podpora skladové položky brány firewall |
---|---|---|
Základní zásady | Pravidla překladu adres (NAT), síťová pravidla, pravidla aplikací Skupiny IP adres Analýza hrozeb (výstrahy) |
Basic |
Standardní zásady | Pravidla překladu adres (NAT), síťová pravidla, pravidla aplikací Vlastní DNS, proxy server DNS Skupiny IP adres Webové kategorie Analýza hrozeb |
Standard nebo Premium |
Zásady premium | Podpora všech standardních funkcí plus: Kontrola protokolu TLS Webové kategorie Filtrování adres URL IDPS |
Premium |
Hierarchické zásady
Nové zásady je možné vytvořit úplně od začátku nebo zdědit z existujících zásad. Dědičnost umožňuje DevOps vytvářet místní zásady brány firewall nad rámec základních zásad v organizaci.
Zásady vytvořené s neprázdnými nadřazenými zásadami dědí všechny kolekce pravidel z nadřazené zásady. Nadřazené zásady a podřízené zásady musí být ve stejné oblasti. Zásady brány firewall je možné přidružit k branám firewall napříč oblastmi bez ohledu na to, kde jsou uložené.
Kolekce pravidel sítě zděděné z nadřazené zásady se vždy upřednostňují před kolekcemi pravidel sítě definovanými jako součást nové zásady. Stejná logika platí také pro kolekce pravidel aplikace. Kolekce pravidel sítě se ale vždy zpracovávají před kolekcemi pravidel aplikace bez ohledu na dědičnost.
Režim analýzy hrozeb je také zděděný z nadřazené zásady. Režim analýzy hrozeb můžete nastavit na jinou hodnotu, abyste toto chování přepsali, ale nemůžete ho vypnout. Je možné přepsat pouze přísnější hodnotou. Pokud je například vaše nadřazená zásada nastavená jenom na Výstraha, můžete tuto místní zásadu nakonfigurovat tak, aby se zobrazila výstraha a odepřela.
Podobně jako v režimu Analýza hrozeb se seznam povolených hrozeb zdědí z nadřazené zásady. Podřízené zásady můžou do seznamu povolených přidat další IP adresy.
Kolekce pravidel překladu adres (NAT) se nedědí, protože jsou specifické pro danou bránu firewall.
Při dědičnosti se všechny změny nadřazené zásady automaticky použijí u přidružených podřízených zásad brány firewall.
Integrovaná vysoká dostupnost
Vysoká dostupnost je integrovaná, takže není potřeba nic konfigurovat. Objekt služby Azure Firewall Policy můžete vytvořit v libovolné oblasti a globálně ho propojit s několika instancemi služby Azure Firewall ve stejném tenantovi Azure AD. Pokud oblast, ve které zásadu vytvoříte, přestane fungovat a má spárovanou oblast, metadata objektů ARM (Azure Resource Manager) automaticky převezme služby při selhání sekundární oblasti. Během převzetí služeb při selhání nebo pokud jedna oblast bez páru zůstane ve stavu selhání, nemůžete upravit objekt služby Azure Firewall Policy. Instance služby Azure Firewall propojené se zásadami brány firewall však nadále fungují. Další informace najdete v tématu Replikace mezi oblastmi v Azure: Provozní kontinuita a zotavení po havárii.
Ceny
Zásady se účtují na základě přidružení brány firewall. Zásada s nulovým nebo jedním přidružením brány firewall je bezplatná. Zásady s více přidruženími brány firewall se účtují pevným tempem. Další informace najdete v tématu Ceny služby Azure Firewall Manager.
Další kroky
- Zjistěte, jak nasadit Azure Firewall – kurz: Zabezpečení cloudové sítě pomocí Azure Firewall Manageru pomocí webu Azure Portal
- Další informace o zabezpečení sítě Azure