Tagi usługi Azure Firewall
Tag usługi reprezentuje grupę prefiksów adresów IP, aby zminimalizować złożoność tworzenia reguły zabezpieczeń. Nie można utworzyć własnego tagu usługi ani określić, które adresy IP znajdują się w tagu. Firma Microsoft zarządza prefiksami adresów obejmującymi ten tag i automatycznie aktualizuje tag usługi, gdy zmienią się adresy.
Tagi usługi Azure Firewall mogą być używane w polu docelowym reguł sieciowych. Można ich używać zamiast określonych adresów IP.
Obsługiwane tagi usługi
Usługa Azure Firewall obsługuje następujące tagi usługi do użycia w regułach sieci usługi Azure Firewall:
- Tagi dla różnych usług firmy Microsoft i platformy Azure wymienionych w obszarze Tagi usługi sieci wirtualnej.
- Tagi wymaganych adresów IP usług Office365 podzielone według produktów i kategorii usługi Office365. Należy zdefiniować porty TCP/UDP w regułach. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony usługi Office 365.
Konfigurowanie
Usługa Azure Firewall obsługuje konfigurację tagów usługi za pośrednictwem programu PowerShell, interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal.
Konfigurowanie za pośrednictwem programu Azure PowerShell
W tym przykładzie wprowadzamy zmianę w usłudze Azure Firewall przy użyciu reguł klasycznych. Najpierw musimy uzyskać kontekst do utworzonego wcześniej wystąpienia usługi Azure Firewall.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Następnie musimy utworzyć nową regułę. W polu Miejsce docelowe możesz określić wartość tekstową tagu usługi, którego chcesz użyć, jak wspomniano wcześniej.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Następnie musimy zaktualizować zmienną zawierającą definicję usługi Azure Firewall przy użyciu nowo utworzonych reguł sieciowych.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Na koniec musimy zatwierdzić zmiany reguły sieciowej w uruchomionym wystąpieniu usługi Azure Firewall.
Set-AzFirewall -AzureFirewall $azfirewall
Następne kroki
Aby dowiedzieć się więcej na temat reguł usługi Azure Firewall, zobacz Logika przetwarzania reguł usługi Azure Firewall.