Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Službu Azure Firewall můžete nakonfigurovat s pravidly překladu adres (NAT), síťovými pravidly a pravidly aplikace pomocí klasických pravidel nebo zásad brány firewall. Azure Firewall ve výchozím nastavení zakazuje veškerý provoz, dokud ručně nenakonfigurujete pravidla pro povolení provozu. Pravidla jsou konečná, takže zpracování pravidel se zastaví při shodě.
Zpracování pravidel pomocí klasických pravidel
Brána firewall zpracovává kolekce pravidel v prioritním pořadí dle typu pravidla, od nižších k vyšším číslům (100 až 65 000). Název kolekce pravidel může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky. Musí začínat písmenem nebo číslem a končit písmenem, číslem nebo podtržítkem. Maximální délka názvu je 80 znaků.
Na začátek nastavte priority kolekcí pravidel v krocích po 100 (100, 200, 300 atd.), abyste si v případě potřeby ponechali prostor pro přidání dalších kolekcí pravidel.
Zpracování pravidel pomocí politiky brány firewall
Pomocí politiky brány firewall uspořádáte pravidla do kolekcí pravidel a skupin těchto kolekcí. Skupiny kolekcí pravidel obsahují nula nebo více kolekcí pravidel. Kolekce pravidel jsou typu NAT, Network nebo Applications. V rámci jedné skupiny pravidel můžete definovat více typů kolekcí pravidel. V kolekci pravidel můžete definovat nula nebo více pravidel. Pravidla v kolekci pravidel musí být stejného typu (NAT, Network nebo Application).
Systém zpracovává pravidla na základě priority skupiny kolekcí pravidel a priority kolekce pravidel. Priorita je libovolné číslo mezi 100 (nejvyšší prioritou) až 65 000 (nejnižší priorita). Systém nejprve zpracuje skupiny kolekcí pravidel s nejvyšší prioritou. Systém zpracovává kolekce pravidel ve skupině kolekcí pravidel s nejvyšší prioritou (nejnižším číslem).
Pokud zdědíte zásadu brány firewall z nadřazené zásady, budou mít skupiny kolekcí pravidel v nadřazené zásadě vždy přednost bez ohledu na prioritu podřízené zásady.
Poznámka:
Systém vždy zpracovává pravidla aplikace po pravidlech sítě a zpracovává pravidla sítě po pravidlech DNAT bez ohledu na skupinu kolekcí pravidel, prioritu kolekce pravidel a dědičnost zásad.
Shrnutí:
- Nadřazená politika má vždy přednost před podřízenou politikou.
- Systém zpracovává skupiny kolekcí pravidel v pořadí priority.
- Systém zpracovává kolekce pravidel v pořadí priority.
- Systém zpracovává pravidla DNAT, pak pravidla sítě a pak pravidla aplikace.
Tady je příklad politiky se čtyřmi skupinami kolekcí pravidel. BaseRCG1 a BaseRCG2 jsou zděděné z nadřazené zásady; ChildRCG1 a ChildRCG2 patří do podřízené zásady.
Návod
Zkratky používané v těchto tabulkách: RCG = skupina kolekcí pravidel, RC = kolekce pravidel. Prioritní čísla jsou v rozsahu od 100 (nejvyšší priorita) do 65 000 (nejnižší priorita).
Struktura zásad:
| Úroveň | Název | Typ | Priorita | Pravidla | Policy |
|---|---|---|---|---|---|
| Skupina | BaseRCG1 | Skupina kolekcí pravidel | 200 | 8 | Rodič |
| Collection | DNATRC1 | DNAT | 600 | 7 | Rodič |
| Collection | DNATRC3 | DNAT | 610 | 3 | Rodič |
| Collection | NetworkRC1 | Síť | 800 | 1 | Rodič |
| Skupina | BaseRCG2 | Skupina kolekcí pravidel | 300 | 3 | Rodič |
| Collection | AppRC2 | Přihláška | 1 200 | 2 | Rodič |
| Collection | NetworkRC2 | Síť | 1 300 | 1 | Rodič |
| Skupina | ChildRCG1 | Skupina kolekcí pravidel | 300 | 5 | Dítě |
| Collection | ChNetRC1 | Síť | 700 | 3 | Dítě |
| Collection | ChAppRC1 | Přihláška | 900 | 2 | Dítě |
| Skupina | ChildRCG2 | Skupina kolekcí pravidel | 650 | 9 | Dítě |
| Collection | ChNetRC2 | Síť | 1100 | 2 | Dítě |
| Collection | ChAppRC2 | Přihláška | 2000 | 7 | Dítě |
| Collection | ChDNATRC3 | DNAT | 3000 | 2 | Dítě |
Firewall prochází všechny skupiny sbírek pravidel třikrát – jednou pro každý typ pravidla ve sledu: DNAT, pak Síť, a poté Aplikace. V rámci každého průchodu zpracovává skupiny v pořadí priority a pak kolekce pravidel v rámci každé skupiny v pořadí priority. Následující tabulka ukazuje úplnou sekvenci zpracování pro tento příklad:
Pořadí zpracování:
| Krok | Kolekce pravidel | Typ | Nadřazený prvek RCG |
|---|---|---|---|
| 1 | DNATRC1 | DNAT | BaseRCG1 (200) |
| 2 | DNATRC3 | DNAT | BaseRCG1 (200) |
| 3 | ChDNATRC3 | DNAT | ChildRCG2 (650) |
| 4 | NetworkRC1 | Síť | BaseRCG1 (200) |
| 5 | NetworkRC2 | Síť | BaseRCG2 (300) |
| 6 | ChNetRC1 | Síť | ChildRCG1 (300) |
| 7 | ChNetRC2 | Síť | ChildRCG2 (650) |
| 8 | AppRC2 | Přihláška | BaseRCG2 (300) |
| 9 | ChAppRC1 | Přihláška | ChildRCG1 (300) |
| 10 | ChAppRC2 | Přihláška | ChildRCG2 (650) |
Další informace o sadách pravidel pro bránu Azure Firewall najdete v pravidlech Azure Firewall Policy.
Analýza hrozeb
Pokud povolíte filtrování na základě analýzy hrozeb, mají tato pravidla nejvyšší prioritu. Azure Firewall je nejprve zpracuje před pravidly sítě a aplikací. Filtrování na základě analýzy hrozeb může blokovat provoz před tím, než Azure Firewall zpracuje všechna nakonfigurovaná pravidla. Další informace najdete v tématu Filtrování na základě analýzy hrozeb na základě služby Azure Firewall.
Systém detekce a prevence průniku (IDPS)
Když nakonfigurujete IDPS v režimu upozornění , modul IDPS funguje paralelně s logikou zpracování pravidel. Generuje upozornění na odpovídající podpisy pro příchozí i odchozí toky. V případě shody podpisu IDPS zaznamená Služba Azure Firewall upozornění v protokolech brány firewall. Vzhledem k tomu, že modul IDPS funguje paralelně s modulem pro zpracování pravidel, provoz, který aplikace nebo pravidla sítě odepře nebo povolí, může i nadále generovat další položku protokolu.
Když nakonfigurujete IDPS v režimu varování a zamítnutí, modul IDPS pracuje v režimu in-line a aktivuje se po modulu pro zpracování pravidel. Oba moduly proto generují výstrahy a můžou blokovat odpovídající toky.
IDPS provádí blokování toku prostřednictvím tichého zahazování relací. Proto se na úrovni PROTOKOLU TCP neposílají žádné protokoly RST. Vzhledem k tomu, že IDPS vždy kontroluje provoz poté, co je spárováno síťové nebo aplikační pravidlo (Povolit nebo Odepřít) a je zaznamenáno do protokolů, může být zaznamenána další zpráva Drop, když IDPS rozhodne odepřít relaci kvůli shodě podpisu.
Když povolíte kontrolu protokolu TLS, Azure Firewall kontroluje nešifrovaný i šifrovaný provoz.
Podpora implicitního návratu provozu (stavový TCP/UDP)
Pravidla brány firewall můžete nakonfigurovat tak, aby umožňovala provoz pouze v jednom směru. Azure Firewall může například povolit připojení, která zahájíte z místní sítě do virtuální sítě Azure, a přitom vyžadovat, aby se nová připojení iniciovaná z virtuální sítě Azure do místního prostředí zablokovala. Pokud chcete tuto zásadu vynutit, přidejte explicitní pravidlo zamítnutí pro provoz z virtuální sítě Azure do místní sítě.
Azure Firewall tuto konfiguraci podporuje. Azure Firewall je stavový, takže umožňuje vrátit provoz pro zavedené připojení TCP nebo UDP (například pakety SYN-ACK/ACK pro připojení, které jste zahájili z místního prostředí), i když explicitní pravidlo zamítnutí existuje v opačném směru. Explicitní pravidlo Odepřít nadále blokuje nová připojení, která zahájíte z virtuální sítě Azure do místní infrastruktury.
Odchozí připojení
Pravidla sítě a pravidla aplikací
Pokud konfigurujete pravidla sítě a pravidla aplikací, Azure Firewall použije pravidla sítě v pořadí priority před pravidly aplikace. Pravidla končí. Takže pokud Azure Firewall najde shodu v pravidle sítě, nezpracuje žádná další pravidla. Pokud nakonfigurujete IDPS, Azure Firewall ho spustí na všech průchodech. Když IDPS najde shodu s podpisem, může generovat výstrahy nebo blokovat podezřelý provoz v závislosti na režimu IDPS.
Pravidla aplikace vyhodnocují paket v pořadí priority, pokud se neshoduje žádné pravidlo sítě a jestli je protokol HTTP, HTTPS nebo MSSQL.
V případě protokolu HTTP služba Azure Firewall hledá shodu pravidla aplikace podle hlavičky hostitele. V případě protokolu HTTPS azure Firewall hledá shodu pravidla aplikace pouze podle SNI.
V obou případech inspekce HTTP a TLS pro HTTPS firewall ignoruje cílovou IP adresu paketu a použije IP adresu přeloženou pomocí DNS z hostitelské hlavičky. Pokud je nesoulad mezi skutečným portem TCP a portem v hlavičce hostitele, brána firewall zahodí provoz. Azure DNS nebo vlastní DNS, které nakonfigurujete na bráně firewall, provádí rozlišování DNS.
Poznámka:
Azure Firewall vždy vyplní protokoly HTTP i HTTPS (kontrolou protokolu TLS) hlavičkou XFF (X-Forwarded-For) nastavenou na původní zdrojovou IP adresu.
Pokud pravidlo aplikace obsahuje kontrolu protokolu TLS, modul pravidel brány firewall zpracuje SNI, hlavičku hostitele a také adresu URL odpovídající pravidlu.
Pokud Azure Firewall nenajde shodu v pravidlech aplikace, vyhodnotí paket proti kolekci pravidel infrastruktury. Pokud Azure Firewall stále nenajde shodu, ve výchozím nastavení paket zamítá.
Kolekce pravidel infrastruktury
Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro FQDN infrastruktury, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Kolekce pravidel infrastruktury se zpracuje po pravidlech aplikace a před posledním pravidlem zamítnutí.
Integrovaná kolekce pravidel infrastruktury zahrnuje následující služby:
- Výpočetní přístup k úložišti Platform Image Repository (PIR)
- Přístup k úložišti stavu spravovaných disků
- Diagnostika a protokolování Azure (MDS)
Přepis sady pravidel infrastruktury
Můžete přepsat předdefinovanou kolekci pravidel infrastruktury tím, že vytvoříte kolekci pravidel aplikace, která odmítne vše a je zpracována jako poslední. Vždy zpracovává před kolekcí pravidel infrastruktury. Cokoli, co není v kolekci pravidel infrastruktury, je ve výchozím nastavení odepřeno.
Poznámka:
Můžete nakonfigurovat síťová pravidla pro protokol TCP, UDP, ICMP nebo jakýkoli protokol IP. Jakýkoli protokol IP zahrnuje všechny IP protokoly definované v dokumentu Internet Assigned Numbers Authority (IANA) o číslování protokolů. Pokud explicitně nakonfigurujete cílový port, pravidlo se přeloží na pravidlo TCP+UDP. Před 9. listopadem 2020 znamenalo některý z protokolů TCP, UDP nebo ICMP. Proto jste možná nakonfigurovali pravidlo před tímto datem pomocí protokolu = Any a cílových portů = *. Pokud nemáte v úmyslu povolit žádný protokol IP, jak je aktuálně definováno, upravte pravidlo tak, aby explicitně nakonfigurovali požadované protokoly (TCP, UDP nebo ICMP).
Příchozí připojení
Pravidla DNAT a pravidla sítě
Příchozí připojení k internetu nebo intranetu můžete povolit konfigurací překladu cílových adres (DNAT), jak je popsáno v tématu Filtrování příchozího internetového nebo intranetového provozu pomocí DNAT služby Azure Firewall pomocí webu Azure Portal. Pravidla překladu adres (NAT) se uplatňují s prioritou před pravidly sítě. Pokud Azure Firewall najde shodu, přeloží provoz podle pravidla DNAT a povolí ho. Provoz tedy není předmětem dalšího zpracování jinými pravidly sítě. Z bezpečnostních důvodů přidejte konkrétní internetový zdroj, který umožňuje přístup DNAT k síti a vyhněte se používání zástupných znaků.
Azure Firewall nepoužívá pravidla aplikace pro příchozí připojení. Pokud tedy chcete filtrovat příchozí provoz HTTP/S, použijte firewall webových aplikací (WAF). Další informace najdete v tématu Co je Azure Web Application Firewall.
Příklady
Následující příklady ukazují výsledky některých z těchto kombinací pravidel.
Příklad 1
Připojení k google.com je povolené, protože odpovídá pravidlu sítě.
Pravidlo sítě – akce: Povolit
| Název | Protokol | Typ zdroje | Zdroj | Typ cíle | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Povolit web | protokol TCP | adresa IP | * | adresa IP | * | 80,443 |
Pravidlo aplikace – akce: Odepřít
| Název | Typ zdroje | Zdroj | Protokol:port | Cílové plně kvalifikované názvy domén |
|---|---|---|---|---|
| Odepřít google | adresa IP | * | http:80,https:443 | google.com |
Výsledek
Připojení k google.com je povoleno, protože paket odpovídá pravidlu sítě Allow-Web . Zpracování pravidel se tady zastaví.
Příklad 2
Provoz SSH je odepřen, protože sada síťových pravidel s vyšší prioritou Odepřít jej blokuje.
Kolekce pravidel sítě 1 – název: Allow-collection, Priority: 200, Action: Allow
| Název | Protokol | Typ zdroje | Zdroj | Typ cíle | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Povolit SSH | protokol TCP | adresa IP | * | adresa IP | * | 22 |
Kolekce pravidel sítě 2 – Název: Odepřít kolekci, Priorita: 100, Akce: Odepřít
| Název | Protokol | Typ zdroje | Zdroj | Typ cíle | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Odepřít SSH | protokol TCP | adresa IP | * | adresa IP | * | 22 |
Výsledek
Připojení SSH jsou odepřena, protože kolekce pravidel sítě s vyšší prioritou je blokuje. Zpracování pravidel se v tuto chvíli zastaví.
Změny pravidel
Pokud změníte pravidlo tak, aby zamítal dříve povolený provoz, Azure Firewall zahodí všechny relevantní existující relace.
Třícestné chování metody handshake
Azure Firewall jako stavová služba dokončí třícestný handshake protokolu TCP pro povolený provoz z výchozího bodu do cíle. Například VNet-A do VNet-B.
Vytvoření pravidla povolení z VNet-A na VNet-B neznamená, že jsou povolená nově iniciovaná připojení z VNet-B do VNet-A.
V důsledku toho nemusíte vytvářet explicitní pravidlo zamítnutí z VNet-B do virtuální sítě A.