Azure Firewall Draft + Deployment (Vorschau)

Organisationen müssen ihre Azure-Firewallrichtlinie häufig aus verschiedenen Gründen aktualisieren, z. B. das Onboarding neuer Anwendungen oder Workloads, das Behandeln von Sicherheitsrisiken, das Durchführen von Wartungen oder das Optimieren von Richtlinien durch Zusammenführen oder Entfernen nicht verwendeter Regeln. Diese Updates können mehrere Mitwirkende umfassen, und jede Änderung kann mehrere Minuten dauern, bis sie bereitgestellt werden.

Von Bedeutung

Azure Firewall Draft + Deployment befindet sich derzeit in DER VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Mit Azure Firewall Policy Draft + Deployment können Sie diesen Prozess mithilfe eines zweistufigen Ansatzes optimieren:

• Entwurf: Nehmen Sie mehrere Änderungen gemeinsam vor, die in einem temporären Richtlinienentwurf gespeichert wurden, der aus Ihrer aktuellen angewendeten Richtlinie geklont wurde. Diese Änderungen wirken sich nicht auf die Liverichtlinie aus.

• Bereitstellung: Wenden Sie alle Änderungen gleichzeitig an, indem Sie den Entwurf bereitstellen und die aktuelle angewendete Richtlinie durch die aktualisierte Version ersetzen.

Unterstützte Szenarien und Einschränkungen

Das Feature "Entwurf" und "Bereitstellung" wurde für bestimmte Anwendungsfälle entwickelt und weist bestimmte Einschränkungen auf:

Unterstützte Szenarien

• Dieses Feature ist exklusiv für Azure-Firewallrichtlinien verfügbar. Es unterstützt keine Firewalls, die mit klassischen Regeln konfiguriert sind.

Einschränkungen

• Ein Entwurf wird als Klon der aktuell angewendeten Richtlinie erstellt. Alle Änderungen, die nach der Erstellung des Entwurfs an der angewendeten Richtlinie vorgenommen wurden, werden nicht in den Entwurf übernommen, es sei denn, sie werden manuell aktualisiert.
• Durch die Bereitstellung eines Entwurfs wird die gesamte angewendete Richtlinie ersetzt. Änderungen, die an der angewendeten Richtlinie vorgenommen wurden, nachdem der Entwurf erstellt wurde, werden nicht beibehalten, es sei denn, sie werden auch dem Entwurf hinzugefügt.
• Das Erstellen einer neuen Regelsammlungsgruppe (Rule Collection Group, RCG) wird nicht direkt in einem Richtlinienentwurf unterstützt.
• Für eine Richtlinie kann jeweils nur ein Entwurf vorhanden sein.

Voraussetzungen

• Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen, um zu beginnen.
• Um dieses Feature mit der Azure CLI zu verwenden, stellen Sie sicher, dass die Azure Firewall-Erweiterung installiert und auf Version 1.2.3 oder höher aktualisiert wurde.

Hinweis

Wenn Sie dieses Feature über die Azure PowerShell- oder Azure REST-API verwenden, müssen Sie zuerst die aktuelle Richtlinie herunterladen und einen darauf basierenden Entwurf manuell erstellen. Im Gegensatz dazu generiert die Verwendung des Azure-Portals oder der CLI automatisch einen Entwurf aus der vorhandenen Richtlinie.

Entwurf + Bereitstellung verwenden

Azure Firewall Draft + Deployment ermöglicht es Ihnen, Massenupdates für Ihre Firewallrichtlinie vorzunehmen, bevor Sie sie auf die Produktion anwenden.

Portal

1. Navigieren Sie im Azure-Portal zu Ihrer vorhandenen Firewallrichtlinie, oder erstellen Sie eine neue.

2. Wählen Sie auf der Seite "Azure Firewall-Richtlinie " im Abschnitt "Verwaltung " die Option "Entwurf und Bereitstellung" und dann " Neuen Entwurf erstellen" aus. Dadurch wird ein Entwurf erstellt, der eine genaue Kopie Ihrer aktuellen angewendeten Richtlinie ist.

3. Nehmen Sie auf der Entwurfsseite Änderungen oder Ergänzungen zu Ihren Regeln oder Einstellungen vor. Diese Seiten sind identisch mit denen in der bereitgestellten Richtlinie. Die Änderungen werden nur wirksam, wenn Sie den Entwurf bereitstellen.

   

4. Um die Änderungen zu überprüfen, kehren Sie zum Bildschirm "Bereitstellen " zurück, um die aktualisierten Regeln oder Einstellungen zu überprüfen. Um die Änderungen anzuwenden, wählen Sie "Entwurf bereitstellen" aus. Nach der Bereitstellung ersetzt der Entwurf die aktuelle Richtlinie und wird zur neuesten Version. Der Entwurf wird nach der Bereitstellung gelöscht.

   

5. Wiederholen Sie diesen Vorgang nach Bedarf, um weitere Updates für Ihre Firewallrichtlinie vorzunehmen.

CLI

1. Führen Sie den Az-Anmeldebefehl aus, um sich bei Ihrem Azure-Konto anzumelden:

   az login
   

2. Erstellen Sie einen Entwurf mit dem Befehl az network firewall policy draft create. Mit diesem Befehl wird ein Entwurf der aktuellen angewendeten Richtlinie erstellt. Mit den --policy-name und --resource-group Parametern können Sie den Namen und die Ressourcengruppe Ihrer Firewallrichtlinie angeben.

   az network firewall policy draft create --policy-name fw-policy --resource-group test-rg
   

3. Aktualisieren Sie die Einstellungen im Entwurf mit dem Befehl az network firewall policy draft update. Mit diesem Befehl können Sie den Modus für die Bedrohungserkennung und den IDPS-Modus für den Entwurf ändern. Verwenden Sie den --threat-intel-mode Parameter, um den gewünschten Modus für die Bedrohungserkennung und den --idps-mode Parameter festzulegen, um den IdPS-Modus (Intrusion Detection and Prevention System) zu konfigurieren:

   az network firewall policy draft update --policy-name fw-policy --resource-group test-rg --threat-intel-mode Off --idps-mode Deny
   

4. Entwurfsregeln aktualisieren

   • Erstellen Sie eine neue Regelsammlungsgruppe (RCG) mithilfe des Befehls az network firewall policy rule-collection-group draft create:

     az network firewall policy rule-collection-group draft create --rule-collection-group-name rcg-b --policy-name fw-policy --resource-group test-rg --priority 303
     

   • Hinzufügen einer NAT-Regelauflistung zu einer vorhandenen RCG im Entwurf

     az network firewall policy rule-collection-group draft collection add-nat-collection \
           --name nat_collection_1 \
           --collection-priority 10003 \
           --policy-name fw-policy \
           --resource-group test-rg \
           --rule-collection-group-name rcg-c \
           --action DNAT \
           --rule-name network_rule_21 \
           --description "test" \
           --destination-addresses "202.120.36.15" \
           --source-addresses "202.120.36.13" "202.120.36.14" \
           --translated-address 128.1.1.1 \
           --translated-port 1234 \
           --destination-ports 12000 12001 \
           --ip-protocols TCP UDP
     

5. Zeigen Sie die Details des Entwurfs mit dem Befehl az network firewall policy draft show an.

   az network firewall policy draft show --policy-name fw-policy --resource-group test-rg
   

6. Stellen Sie den Entwurf bereit, um die Änderungen mithilfe des Befehls az network firewall policy deploy anzuwenden:

   az network firewall policy deploy --name fw-policy --resource-group test-rg
   

7. Verwerfen Sie den Entwurf, wenn Sie ihn nicht mehr benötigen, mit dem Befehl az network firewall policy draft delete:

   az network firewall policy draft delete --policy-name fw-policy --resource-group test-rg
   

PowerShell

1. Verwenden Sie das Cmdlet New-AzFirewallPolicyDraft , um einen Entwurf der aktuellen angewendeten Richtlinie zu erstellen. Geben Sie den Richtliniennamen und die Ressourcengruppe an:

   New-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

2. Verwenden Sie das Cmdlet Set-AzFirewallPolicyDraft , um die Einstellungen im Entwurf zu aktualisieren. Sie können beispielsweise den Modus für die Bedrohungserkennung und den IDPS-Modus aktualisieren:

   Set-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg -ThreatIntelWhitelist $threatIntelWhitelist
   

3. Aktualisieren Sie Entwurfsregeln mit den folgenden Cmdlets:

   • Verwenden Sie das Cmdlet New-AzFirewallPolicyRuleCollectionGroupDraft , um eine neue Regelsammlungsgruppe (RCG) im Entwurf zu erstellen. Geben Sie den RCG-Namen, die Ressourcengruppe und den Richtliniennamen an:

   New-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-a -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 200
   

   • Verwenden Sie das Cmdlet Set-AzFirewallPolicyRuleCollectionGroupDraft , um einer vorhandenen RCG im Entwurf eine NAT-Regelsammlung hinzuzufügen:

   $rule1 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTP" -Protocol "Http:80" -SourceAddress "10.0.0.0/24" -TargetFqdn www.example.com
   
   $rule2 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTPS-2" -Protocol "Https:443" -SourceAddress "10.0.0.0/24" -TargetFqdn "www.secureexample.com"  
   
   $ruleCollection = New-AzFirewallPolicyFilterRuleCollection -Name "Allow-Rules" -Priority 100 -Rule $rule1, $rule2 -ActionType Allow   
   
   Set-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-b -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 400 -RuleCollection $ruleCollection
   

4. Verwenden Sie das Cmdlet Get-AzFirewallPolicyDraft , um die Details des Entwurfs anzuzeigen:

   Get-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

5. Verwenden Sie das Cmdlet Deploy-AzFirewallPolicy , um die Änderungen im Entwurf auf die Live-Richtlinie anzuwenden:

   Deploy-AzFirewallPolicy -Name fw-policy -ResourceGroupName test-rg
   

6. Wenn Sie den Entwurf verwerfen möchten, ohne die Änderungen anzuwenden, verwenden Sie das Cmdlet Remove-AzFirewallPolicyDraft :

   Remove-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium