Så här fungerar Azure Firewall Manager

  • 6 minuter

I den här lektionen går vi igenom hur Firewall Manager fungerar och vilka uppgifter du kan utföra med hjälp av den. Vi undersöker också hur brandväggsprincipregler fungerar. Som tidigare beskrivits är en princip den grundläggande byggstenen i Firewall Manager. Du skapar principer och associerar dem med Azure Firewall-instanser i skyddade virtuella hubbar eller virtuella navnätverk.

Följande diagram visar en typisk konfiguration. Den innehåller en företagsadministratör som skapar och associerar principer på den översta nivån. Dessa principer är associerade med både en säker virtuell hubb och två virtuella hubbnätverk. En lokal administratör kan också konfigurera och associera principer med ett av de virtuella hubbnätverken.

Diagram som visar en typisk Firewall Manager-konfiguration, med både en företagsadministratör och lokal administratör som skapar och associerar egenskaper enligt beskrivningen ovan.

Azure Firewall-principer består av regler och inställningar som styr trafik i skyddade resurser. I den här lektionen lär du dig mer om:

  • Azure Firewall-principer, regler och hotinformationsinställningar.
  • Regelbearbetning.
  • Uppgifter som du kan utföra med Firewall Manager.

Vad är Principregler för Azure Firewall?

I följande tabell beskrivs samlingar och inställningar för Principregler för Azure Firewall.

Regelsamling eller -inställning beskrivning
Inställningar för hotinformation Aktiverar Azure Firewall-principfiltrering baserat på hotinformation och varnar dig för potentiellt skadlig trafik. Du kan också neka trafik från och till IP-adresser och domäner som är kända för att vara skadliga.
NAT-regelsamling Gör att du kan konfigurera DNAT-regler (Destination Network Address Translation) för Azure Firewall. Dessa regler översätter och filtrerar inkommande Internettrafik till dina Azure-undernät.
Nätverksregelsamling Hanterar icke-HTTP/S-trafik som flödar genom brandväggen.
Insamling av programregler Hanterar HTTP/S-trafik som flödar genom brandväggen.

Först måste du bestämma vilka regler du behöver för att hantera din trafik. Sedan använder du Firewall Manager för att skapa och konfigurera Azure Firewall-principer som innehåller dessa regler, som följande bild visar.

Skärmbild av bladet Hotinformation i Azure Portal i en brandväggsprincip.

Hur regler bearbetas

I verkligheten är en NAT-regel en routningsregel som dirigerar trafik från offentliga till privata IP-adresser i dina Azure-resurser. När en brandvägg bearbetar en princips definierade regler är det nätverks- och programreglerna som avgör om trafiken tillåts. I följande process beskrivs hur dessa regler bearbetas mot trafik:

  1. Hotinformationsregler bearbetas före NAT, nätverk eller programregler. När du upprättar dessa regler kan du konfigurera något av två beteenden:

    • Avisering när regeln utlöses (standardläge).
    • Avisering och neka när regeln utlöses.

  2. NAT-regler bearbetas härnäst och fastställer inkommande anslutning till angivna resurser i dina virtuella nätverk.

Kommentar

Om en matchning hittas läggs en implicit motsvarande nätverksregel till för att tillåta den översatta trafiken.

  1. Nätverksregler tillämpas härnäst. Om en nätverksregel matchar trafiken tillämpas den regeln. Inga andra regler kontrolleras.
  2. Om inga nätverksregler matchar och trafiken är HTTP/S tillämpas programregler.
  3. Om ingen programregel matchar jämförs trafiken med infrastrukturregelsamlingen.
  4. Om det fortfarande inte finns någon matchning för trafiken nekas trafiken implicit.

Kommentar

Infrastrukturregelsamlingar definierar fullständigt kvalificerade domännamn (FQDN) som tillåts som standard. Dessa FQDN:er är specifika för Azure.

Använda Firewall Manager

Med Firewall Manager kan du:

  • Definiera regler för trafikfiltrering över flera Azure Firewall-instanser i skyddade virtuella hubbar och virtuella navnätverk.
  • Associera en Azure Firewall-princip med nya eller befintliga virtuella nätverk. Den här associationen tillämpar konsekventa brandväggsprinciper i flera virtuella hubbnätverk.
  • Associera en Azure Firewall-princip eller en säkerhetspartnerprovider med nya eller befintliga virtuella hubbar. Den här associationen tillämpar konsekventa säkerhets- och routningsprinciper över flera hubbar.
  • Associera en brandväggsprincip för webbaserade program till en programleveransplattform (Azure Front Door eller Azure Application Gateway).
  • Associera dina virtuella nätverk med en DDoS-skyddsplan.

I följande bild distribuerar en administratör en brandvägg med en brandväggsprincip för ett befintligt virtuellt nätverk.

Skärmbild av bladet Virtuella nätverk i Firewall Manager. Administratören valde ett befintligt virtuellt nätverk.