Sady pravidel služby Azure Firewall Policy
Zásady brány firewall jsou prostředek nejvyšší úrovně, který obsahuje nastavení zabezpečení a provozu pro službu Azure Firewall. Zásady brány firewall můžete použít ke správě sad pravidel, které Azure Firewall používá k filtrování provozu. Zásady brány firewall uspořádají, upřednostňují a zpracovávají sady pravidel na základě hierarchie s následujícími komponentami: skupiny kolekcí pravidel, kolekce pravidel a pravidla.
Skupiny kolekcí pravidel
Skupina kolekcí pravidel se používá k seskupení kolekcí pravidel. Jedná se o první jednotku, kterou zpracovává brána firewall, a řídí se pořadím priority na základě hodnot. Existují tři výchozí skupiny kolekcí pravidel a jejich hodnoty priority jsou podle návrhu přednastavené. Zpracovávají se v následujícím pořadí:
| Název skupiny kolekcí pravidel | Priorita |
|---|---|
| Výchozí skupina kolekcí pravidel DNAT (Destination Network Address Translation) | 100 |
| Výchozí skupina kolekce pravidel sítě | 200 |
| Výchozí skupina kolekcí pravidel aplikace | 300 |
I když nemůžete odstranit výchozí skupiny kolekcí pravidel ani upravit jejich hodnoty priority, můžete s jejich pořadím zpracování manipulovat jiným způsobem. Pokud potřebujete definovat pořadí priority, které se liší od výchozího návrhu, můžete vytvořit vlastní skupiny kolekcí pravidel s požadovanými hodnotami priority. V tomto scénáři nepoužíváte vůbec výchozí skupiny kolekcí pravidel a k přizpůsobení logiky zpracování použijete jenom ty, které vytvoříte.
Skupiny kolekcí pravidel obsahují jednu nebo více kolekcí pravidel, které mohou být typu DNAT, sítě nebo aplikace. Můžete například seskupit pravidla patřící do stejných úloh nebo virtuální ve skupině kolekcí pravidel.
Informace o omezeních velikosti skupin kolekcí pravidel najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.
Kolekce pravidel
Kolekce pravidel patří do skupiny kolekcí pravidel a obsahuje jedno nebo více pravidel. Jsou druhou jednotkou zpracovávanou bránou firewall a řídí se pořadím priority na základě hodnot. Kolekce pravidel musí mít definovanou akci (povolit nebo odepřít) a hodnotu priority. Definovaná akce se vztahuje na všechna pravidla v kolekci pravidel. Hodnota priority určuje pořadí zpracování kolekcí pravidel.
Existují tři typy kolekcí pravidel:
- DNAT
- Síť
- Aplikace
Typy pravidel musí odpovídat kategorii nadřazené kolekce pravidel. Například pravidlo DNAT může být součástí kolekce pravidel DNAT.
Pravidla
Pravidlo patří do kolekce pravidel a určuje, který provoz je ve vaší síti povolený nebo zakázaný. Jedná se o třetí jednotku, kterou zpracovává brána firewall a neřídí pořadí priority na základě hodnot. Logika zpracování pravidel se řídí přístupem shora dolů. Brána firewall pomocí definovaných pravidel vyhodnocuje veškerý provoz procházející bránou firewall a zjišťuje, jestli odpovídá podmínce povolení nebo zamítnutí. Pokud neexistuje žádné pravidlo, které povoluje provoz, provoz se ve výchozím nastavení zamítá.
Předdefinovaná kolekce pravidel infrastruktury zpracovává provoz pro pravidla aplikace, než je ve výchozím nastavení zamítá.
Příchozí a odchozí
Příchozí pravidlo brány firewall chrání vaši síť před hrozbami pocházejícími mimo vaši síť (provoz pocházející z internetu) a snaží se infiltrovat vaši síť dovnitř.
Odchozí pravidlo brány firewall chrání před nefarbným provozem, který pochází interně (provoz pocházející z privátní IP adresy v Rámci Azure) a cestuje ven. Obvykle se jedná o provoz z prostředků Azure, které se přesměrovávají přes bránu firewall před dosažením cíle.
Typy pravidel
Existují tři typy pravidel:
- DNAT
- Síť
- Aplikace
Pravidla DNAT
Pravidla DNAT povolují nebo zakazují příchozí provoz prostřednictvím jedné nebo více veřejných IP adres brány firewall. Pravidlo DNAT můžete použít, pokud chcete, aby se veřejná IP adresa přeložila na privátní IP adresu. Veřejné IP adresy služby Azure Firewall je možné použít k naslouchání příchozímu provozu z internetu, filtrování provozu a překlad tohoto provozu do interních prostředků v Azure.
Pravidla sítě
Pravidla sítě povolují nebo zakazují příchozí, odchozí a východní provoz založený na síťové vrstvě (L3) a přenosové vrstvě (L4).
Pravidlo sítě můžete použít, když chcete filtrovat provoz na základě IP adres, libovolných portů a protokolů.
Pravidla aplikace
Pravidla aplikací povolují nebo zamítnou odchozí a západní provoz na základě aplikační vrstvy (L7). Pravidlo aplikace můžete použít, pokud chcete filtrovat provoz na základě plně kvalifikovaných názvů domén (FQDN), adres URL a protokolů HTTP/HTTPS.
Další kroky
- Další informace o zpracování pravidel služby Azure Firewall: Konfigurace pravidel služby Azure Firewall