Jak Azure Firewall Manager funguje

  • 6 min

V této lekci probereme, jak funguje Správce brány firewall a jaké úlohy můžete pomocí něj provést. Také se podíváme, jak fungují pravidla zásad brány firewall. Jak jsme už popsali, zásady jsou základním stavebním blokem správce brány firewall. Vytvoříte zásady a přidružíte je k instancím služby Azure Firewall v zabezpečených virtuálních centrech nebo virtuálních sítích centra.

Následující diagram zobrazuje typickou konfiguraci. Zahrnuje podnikového správce, který vytváří a přidružuje zásady na nejvyšší úrovni. Tyto zásady jsou přidružené k zabezpečenému virtuálnímu centru i ke dvěma virtuálním sítím centra. Místní správce může také nakonfigurovat a přidružit zásady k jedné z virtuálních sítí centra.

Diagram znázorňující typickou konfiguraci Firewall Manageru s podnikovým i místním správcem, který vytváří a přidružuje vlastnosti, jak jsme popsali dříve

Zásady služby Azure Firewall se skládají z pravidel a nastavení, která řídí provoz v chráněných prostředcích. V této lekci se seznámíte s následujícími informacemi:

  • Zásady, pravidla a nastavení analýzy hrozeb v Azure Firewallu
  • Zpracování pravidel.
  • Úlohy, které můžete provádět pomocí Správce brány firewall

Co jsou pravidla zásad služby Azure Firewall?

Následující tabulka popisuje kolekce a nastavení pravidel zásad služby Azure Firewall.

Kolekce pravidel nebo nastavení Popis
Nastavení analýzy hrozeb Umožňuje filtrování zásad služby Azure Firewall na základě analýzy hrozeb a upozorní vás na potenciálně škodlivý provoz. Umožňuje také odepřít provoz z IP adres a domén, které jsou známé jako škodlivé.
Kolekce pravidel překladu adres (NAT) Umožňuje nakonfigurovat pravidla překladu adres (DNAT) služby Azure Firewall. Tato pravidla překládají a filtrují příchozí internetový provoz do vašich podsítí Azure.
Kolekce pravidel sítě Spravuje provoz mimo HTTP/S procházející bránou firewall.
Kolekce pravidel aplikace Spravuje provoz HTTP/S procházející bránou firewall.

Nejprve se musíte rozhodnout, která pravidla potřebujete ke správě provozu. Pak pomocí Správce brány firewall vytvoříte a nakonfigurujete zásady služby Azure Firewall obsahující tato pravidla, jak znázorňuje následující obrázek.

Snímek obrazovky s oknem Analýza hrozeb na webu Azure Portal v rámci zásad brány firewall

Způsob zpracování pravidel

Ve skutečnosti je pravidlo překladu adres (NAT) pravidlo směrování, které směruje provoz z veřejných na privátní IP adresy ve vašich prostředcích Azure. Když brána firewall zpracuje definovaná pravidla zásad, jedná se o pravidla sítě a aplikace, která určují, jestli je provoz povolený. Následující proces popisuje, jak se tato pravidla zpracovávají proti provozu:

  1. Pravidla analýzy hrozeb se zpracovávají před pravidly překladu adres (NAT), sítě nebo aplikace. Při vytváření těchto pravidel můžete nakonfigurovat jedno ze dvou chování:

    • Upozornění při aktivaci pravidla (výchozí režim)
    • Upozornění a zamítnutí při aktivaci pravidla

  2. Další zpracování pravidel překladu adres (NAT) a určení příchozího připojení k zadaným prostředkům ve virtuálních sítích.

Poznámka:

Pokud se najde shoda, přidá se implicitní odpovídající pravidlo sítě, které povolí přeložený provoz.

  1. Pravidla sítě se použijí dále. Pokud síťové pravidlo odpovídá provozu, použije se toto pravidlo. Nekontrolují se žádná další pravidla.
  2. Pokud se neshodují žádná pravidla sítě a provoz je HTTP/S, použijí se pravidla aplikace.
  3. Pokud žádné pravidlo aplikace neodpovídá, porovná se provoz s kolekcí pravidel infrastruktury.
  4. Pokud se provoz stále neshoduje, provoz se implicitně odmítne.

Poznámka:

Kolekce pravidel infrastruktury definují plně kvalifikované názvy domén (FQDN), které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro Azure.

Použití Správce brány firewall

Správce brány firewall umožňuje:

  • Definujte pravidla pro filtrování provozu napříč několika instancemi služby Azure Firewall v zabezpečených virtuálních centrech a virtuálních sítích centra.
  • Přidružte zásady služby Azure Firewall k novým nebo existujícím virtuálním sítím. Toto přidružení vynucuje konzistentní zásady brány firewall napříč několika virtuálními sítěmi centra.
  • Přidružte zásady služby Azure Firewall nebo poskytovatele partnera zabezpečení k novým nebo existujícím virtuálním rozbočovačům. Toto přidružení vynucuje konzistentní zásady zabezpečení a směrování napříč několika rozbočovači.
  • Přidružte zásady firewallu webových aplikací k platformě pro doručování aplikací (Azure Front Door nebo Aplikace Azure lication Gateway).
  • Přidružte virtuální sítě k plánu ochrany před útoky DDoS.

Na následujícím obrázku správce nasazuje bránu firewall se zásadami brány firewall pro existující virtuální síť.

Snímek obrazovky okna Virtuální sítě ve Správci brány firewall Správce vybral existující virtuální síť.