Zestawy reguł usługi Azure Firewall Policy
Zasady zapory to zasób najwyższego poziomu zawierający ustawienia zabezpieczeń i operacyjne usługi Azure Firewall. Za pomocą zasad zapory można zarządzać zestawami reguł używanymi przez usługę Azure Firewall do filtrowania ruchu. Zasady zapory porządkują, ustalają priorytety i przetwarzają zestawy reguł na podstawie hierarchii z następującymi składnikami: grup kolekcji reguł, kolekcji reguł i reguł.
Grupy kolekcji reguł
Grupa kolekcji reguł służy do grupowania kolekcji reguł. Są one pierwszą jednostką, którą przetwarza zapora, i są one zgodne z kolejnością priorytetu na podstawie wartości. Istnieją trzy domyślne grupy kolekcji reguł, a ich wartości priorytetu są wstępnie ustawione zgodnie z projektem. Są one przetwarzane w następującej kolejności:
| Nazwa grupy kolekcji reguł | Priorytet |
|---|---|
| Domyślna grupa kolekcji reguł DNAT (docelowe tłumaczenie adresów sieciowych) | 100 |
| Domyślna grupa kolekcji reguł sieciowych | 200 |
| Domyślna grupa kolekcji reguł aplikacji | 300 |
Mimo że nie można usunąć domyślnych grup kolekcji reguł ani zmodyfikować ich wartości priorytetów, można manipulować ich kolejnością przetwarzania w inny sposób. Jeśli musisz zdefiniować kolejność priorytetu inną niż domyślny projekt, możesz utworzyć niestandardowe grupy kolekcji reguł z żądanymi wartościami priorytetu. W tym scenariuszu nie używasz w ogóle domyślnych grup kolekcji reguł i używasz tylko tych, które tworzysz, aby dostosować logikę przetwarzania.
Grupy kolekcji reguł zawierają jedną lub wiele kolekcji reguł, które mogą być typu DNAT, sieci lub aplikacji. Można na przykład grupować reguły należące do tych samych obciążeń lub wirtualne w grupie kolekcji reguł.
Aby uzyskać informacje o limitach rozmiaru grup kolekcji reguł, zobacz Limity, przydziały i ograniczenia subskrypcji i usługi platformy Azure.
Kolekcje reguł
Kolekcja reguł należy do grupy kolekcji reguł i zawiera jedną lub wiele reguł. Są one drugą jednostką przetworzoną przez zaporę i są zgodne z kolejnością priorytetu na podstawie wartości. Kolekcje reguł muszą mieć zdefiniowaną akcję (zezwalanie lub odrzucanie) i wartość priorytetu. Zdefiniowana akcja ma zastosowanie do wszystkich reguł w kolekcji reguł. Wartość priorytetu określa kolejność przetwarzania kolekcji reguł.
Istnieją trzy typy kolekcji reguł:
- DNAT
- Sieć
- Aplikacja
Typy reguł muszą być zgodne z ich nadrzędną kategorią kolekcji reguł. Na przykład reguła DNAT może być częścią kolekcji reguł DNAT.
Reguły
Reguła należy do kolekcji reguł i określa, który ruch jest dozwolony lub blokowany w sieci. Są one trzecią jednostką, którą przetwarza zapora i nie są zgodne z kolejnością priorytetu na podstawie wartości. Logika przetwarzania reguł jest zgodna z podejściem od góry do dołu. Zapora używa zdefiniowanych reguł, aby ocenić cały ruch przechodzący przez zaporę w celu określenia, czy pasuje do warunku zezwalania, czy odmowy. Jeśli nie ma reguły zezwalanej na ruch, ruch jest domyślnie blokowany.
Nasza wbudowana kolekcja reguł infrastruktury przetwarza ruch dla reguł aplikacji przed ich domyślnym odmową.
Ruch przychodzący a wychodzący
Reguła zapory dla ruchu przychodzącego chroni sieć przed zagrożeniami pochodzącymi z spoza sieci (ruch pochodzący z Internetu) i próbuje infiltrować sieć wewnętrznie.
Reguła zapory ruchu wychodzącego chroni przed nikczemnym ruchem pochodzącym wewnętrznie (ruchem pochodzącym z prywatnego adresu IP na platformie Azure) i przemieszcza się na zewnątrz. Zazwyczaj jest to ruch z zasobów platformy Azure przekierowywanych za pośrednictwem zapory przed dotarciem do miejsca docelowego.
Typy reguł
Możliwe typy reguł to:
- DNAT
- Sieć
- Aplikacja
Reguły DNAT
Reguły DNAT zezwalają na ruch przychodzący lub odmawiają go za pośrednictwem co najmniej jednego publicznego adresu IP zapory. Możesz użyć reguły DNAT, jeśli chcesz, aby publiczny adres IP został przetłumaczony na prywatny adres IP. Publiczne adresy IP usługi Azure Firewall mogą służyć do nasłuchiwania ruchu przychodzącego z Internetu, filtrowania ruchu i tłumaczenia tego ruchu na zasoby wewnętrzne na platformie Azure.
Reguły sieci
Reguły sieci zezwalają na ruch przychodzący, wychodzący i wschodnio-zachodni na podstawie warstwy sieciowej (L3) i warstwy transportu (L4).
Regułę sieci można użyć, jeśli chcesz filtrować ruch na podstawie adresów IP, portów i wszystkich protokołów.
Reguły aplikacji
Reguły aplikacji zezwalają na ruch wychodzący i wschodnio-zachodni na podstawie warstwy aplikacji (L7). Regułę aplikacji można użyć, jeśli chcesz filtrować ruch na podstawie w pełni kwalifikowanych nazw domen (FQDN), adresów URL i protokołów HTTP/HTTPS.
Następne kroki
- Dowiedz się więcej o przetwarzaniu reguł usługi Azure Firewall: Konfigurowanie reguł usługi Azure Firewall.