Azure 防火牆管理員的運作方式
在此單元中,我們會討論防火牆管理員的運作方式,以及您可以用其完成的工作。 我們也會檢查防火牆原則規則的運作方式。 如先前所述,原則是防火牆管理員的基本建置組塊。 您可以建立原則,並將其與安全虛擬中樞或中樞虛擬網路中的 Azure 防火牆執行個體建立關聯。
下圖顯示一般設定。 其包含建立和關聯最上層原則的企業管理員。 這些原則會與安全虛擬中樞和兩個中樞虛擬網路相關聯。 本機管理員也可以設定原則,並將原則與其中一個中樞虛擬網路建立關聯。
Azure 防火牆原則包含可控制受保護資源中的流量規則和設定。 在本單元中,您將了解:
- Azure 防火牆原則、規則和威脅情報設定。
- 規則處理中。
- 您可以使用防火牆管理員執行的工作。
什麼是 Azure 防火牆原則規則?
下表說明 Azure 防火牆原則規則集合及設定。
| 規則集合或設定 | 描述 |
|---|---|
| 威脅情報設定 | 根據威脅情報啟用 Azure 防火牆原則篩選,以警示您潛在的惡意流量。 也可讓您拒絕已知為惡意的 IP 位址和網域的往返流量。 |
| NAT 規則集合 | 可讓您設定 Azure 防火牆目的地網路位址轉譯 (DNAT) 規則。 這些規則會將輸入網際網路流量轉譯及篩選至您的 Azure 子網路。 |
| 網路規則集合 | 管理流經防火牆的非 HTTP/S 流量。 |
| 應用程式規則集合 | 管理流經防火牆的 HTTP/S 流量。 |
首先,您必須決定管理流量所需的規則。 然後,您可以使用防火牆管理員來建立和設定包含這些規則的 Azure 防火牆原則,如下圖所示。
![Azure 入口網站防火牆原則內 [威脅情報] 刀鋒視窗的螢幕擷取畫面。](media/threat-intelligence.png#lightbox)
規則的處理方式
事實上,NAT 規則是一種路由規則,可將 Azure 資源中的流量從公用導向私人 IP 位址。 當防火牆處理原則定義的規則時,就是網路和應用程式規則決定是否允許流量。 下列程序說明如何針對流量處理這些規則:
威脅情報規則會在 NAT、網路或應用程式規則之前進行處理。 當您建立這些規則時,可以設定下列兩種行為之一:
- 觸發規則時發出警示 (預設模式)。
- 觸發規則時發出警示和拒絕。
NAT 規則會在下一步處理,並判斷您的虛擬網路中指定資源的輸入連線能力。
注意
找到相符項目時,會間接新增對應的網路規則來允許經過轉譯的流量。
- 接下來會套用網路規則。 如果網路規則符合流量,則會套用該規則。 不會檢查其他規則。
- 如果沒有符合的網路規則,且流量為 HTTP/S,則會套用應用程式規則。
- 如果沒有符合的應用程式規則,則會將流量與基礎結構規則集合進行比較。
- 如果沒有符合的流量,就會隱含拒絕流量。
注意
基礎結構規則集合會定義預設允許的完整網域名稱 (FQDN)。 這些 FQDN 是 Azure 專用的。
使用防火牆管理員
防火牆管理員可讓您:
- 在安全虛擬中樞及中樞虛擬網路中,為多個 Azure 防火牆執行個體之間的流量篩選條件定義規則。
- 將 Azure 防火牆原則與新的或現有的虛擬網路建立關聯。 此關聯會強制執行多個中樞虛擬網路之間一致的防火牆原則。
- 將 Azure 防火牆原則或安全性合作夥伴提供者與新的或現有的虛擬中樞建立關聯。 此關聯會在多個中樞之間強制執行一致的安全性和路由原則。
- 將 Web 應用程式防火牆原則與應用程式傳遞平台 (Azure Front Door 或 Azure 應用程式閘道) 建立關聯。
- 將您的虛擬網路與 DDos 保護計劃建立關聯。
在下圖中,管理員會使用現有虛擬網路的防火牆原則來部署防火牆。
![防火牆管理員中 [虛擬網路] 刀鋒視窗的螢幕擷取畫面。系統管理員選取了現有的虛擬網路。](media/deploy-firewall.png#lightbox)