Azure Firewall-Diensttags

Ein Diensttag steht für eine Gruppe von IP-Adressen und hat die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern. Sie können weder ein eigenes Diensttag erstellen noch angeben, welche IP-Adressen in einem Tag enthalten sind. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.

Azure Firewall-Diensttags können im Zielfeld für Netzwerkregeln verwendet werden. Sie können sie anstelle bestimmter IP-Adressen verwenden.

Unterstützte Diensttags

Azure Firewall unterstützt die folgenden Diensttags, die in Azure Firewall-Netzwerkregeln verwendet werden können:

• Tags für verschiedene Microsoft- und Azure-Dienste, die unter Diensttags für virtuelle Netzwerke aufgeführt sind.
• Tags für die erforderlichen IP-Adressen von Office365-Diensten, aufgeteilt nach Office365-Produkt und -Kategorie. Sie müssen die TCP/UDP-Ports in Ihren Regeln definieren. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schützen von Office 365.

Konfiguration

Azure Firewall unterstützt die Konfiguration von Diensttags über PowerShell, die Azure CLI oder das Azure-Portal.

Konfigurieren über Azure PowerShell

In diesem Beispiel nehmen wir eine Änderung an einer Azure Firewall mithilfe klassischer Regeln vor. Wir müssen zunächst Kontext zu unserer zuvor erstellten Azure Firewall-Instanz abrufen.

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

Als Nächstes müssen Sie eine neue Regel erstellen. Für das Ziel können Sie wie bereits erwähnt den Textwert des Diensttags angeben, das Sie nutzen möchten.

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

Anschließend müssen Sie die Variable, die die Azure Firewall-Definition enthält, mit den neu erstellten Netzwerkregeln aktualisieren.

$azFirewall.NetworkRuleCollections.add($ruleCollection)

Zuletzt müssen wir für die Änderungen an den Netzwerkregeln in der ausgeführten Azure Firewall-Instanz ein Commit durchführen.

Set-AzFirewall -AzureFirewall $azfirewall

Nächste Schritte

Weitere Informationen zu Azure Firewall-Regeln finden Sie unter Logik für die Azure Firewall-Regelverarbeitung.