Azure Firewall verfügt über NAT-Regeln, Netzwerkregeln und Anwendungsregeln. Die Regeln werden gemäß dem Regeltyp verarbeitet.
Netzwerkregeln und Anwendungsregeln
Zuerst werden die Netzwerkregeln angewendet, und dann die Anwendungsregeln. Die Regeln können zur Beendigung von Vorgängen führen. Wenn sich für eine Netzwerkregel eine Übereinstimmung ergibt, werden die Anwendungsregeln also nicht verarbeitet. Stimmt keine Netzwerkregel überein und wird das Paketprotokoll HTTP/HTTPS verwendet, erfolgt die Auswertung des Pakets durch Anwendungsregeln. Falls sich immer noch keine Übereinstimmung ergibt, wird das Paket von der Regelsammlung der Infrastruktur ausgewertet. Wenn sich auch hierbei keine Übereinstimmung ergibt, wird das Paket standardmäßig abgelehnt.
Ein Beispiel für die Verarbeitungslogik
Ein Beispielszenario: Es gibt drei Regelsammlungsgruppen in einer Azure Firewall-Richtlinie. Jede Regelsammlungsgruppe verfügt über eine Reihe von Anwendungs- und Netzwerkregeln.
Im abgebildeten Diagramm werden die Netzwerkregeln zuerst ausgeführt, gefolgt von den Anwendungsregeln. Der Grund dafür ist die Regelverarbeitungslogik von Azure Firewall, die festlegt, dass die Netzwerkregeln immer eine Ausführungspriorität vor den Anwendungsregeln haben.
NAT-Regeln
Eingehende Internetkonnektivität kann aktiviert werden, indem DNAT (Destination Network Address Translation) konfiguriert wird. Die Vorgehensweise wird unter Filtern von eingehendem Datenverkehr per Azure Firewall-DNAT im Azure-Portal beschrieben. NAT-Regeln werden in der Priorität vor Netzwerkregeln angewendet. Wenn eine Übereinstimmung gefunden wird, wird der Datenverkehr gemäß der DNAT-Regel übersetzt und von der Firewall zugelassen. Der Datenverkehr unterliegt damit keiner weiteren Verarbeitung durch andere Netzwerkregeln. Aus Sicherheitsgründen besteht die empfohlene Vorgehensweise darin, eine bestimmte Internetquelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu gewähren und die Verwendung von Platzhaltern zu vermeiden.
Anwendungsregeln werden nicht für eingehende Verbindungen angewendet. Wenn Sie also eingehenden HTTP/S-Datenverkehr filtern möchten, sollten Sie Web Application Firewall (WAF) verwenden. Weitere Informationen finden Sie unter Was ist die Azure Web Application Firewall?
Geerbte Regeln
Netzwerkregelsammlungen, die von einer übergeordneten Richtlinie geerbt wurden, haben immer Vorrang vor Netzwerkregelsammlungen, die als Teil Ihrer neuen Richtlinie definiert werden. Gleiches gilt auch für Anwendungsregelsammlungen. Allerdings werden Netzwerkregelsammlungen unabhängig von der Vererbung immer vor Anwendungsregelsammlungen verarbeitet.
Ihre Richtlinie erbt standardmäßig den Threat Intelligence-Modus ihrer übergeordneten Richtlinie. Sie können dieses Verhalten außer Kraft setzen, indem Sie den Threat Intelligence-Modus auf der Seite mit Richtlinieneinstellungen auf einen anderen Wert festlegen. Er kann nur mit einem strengeren Wert überschrieben werden. Beispiel: Wenn die übergeordnete Richtlinie auf Nur Warnung festgelegt ist, können Sie diese lokale Richtlinie mit Warnen und ablehnen konfigurieren, aber nicht deaktivieren.
In diesem Modul wird beschrieben, wie Azure Firewall virtuelle Azure-Netzwerkressourcen schützt. Außerdem erfahren Sie mehr über die Features, Regeln, Bereitstellungsoptionen und Verwaltung von Azure Firewall mit Azure Firewall Manager.
Zeigen Sie Ihre Kenntnisse zu Entwurf, Implementierung und Wartung der Azure-Netzwerkinfrastruktur, zum Lastenausgleich für Datenverkehr, zum Netzwerkrouting u. v. m.
