Freigeben über


Azure Firewall-Richtlinien-Regelsätze

Die Firewall-Richtlinie ist eine Ressource der obersten Ebene, die Sicherheits- und Betriebseinstellungen für Azure Firewall enthält. Sie können Firewall-Richtlinien verwenden, um Regelsätze zu verwalten, die die Azure Firewall zum Filtern des Datenverkehrs verwendet. Die Firewall-Richtlinie organisiert, priorisiert und verarbeitet die Regelsätze basierend auf einer Hierarchie mit den folgenden Komponenten: Regelsammlungsgruppen, Regelsammlungen und Regeln.

Azure Policy Regelsatz-Hierarchie

Regelsammelgruppen

Eine Regelsammlungsgruppe wird zur Gruppierung von Regelsammlungen verwendet. Sie sind die erste Einheit, die die Firewall verarbeitet, und sie folgen einer Prioritätsreihenfolge, die auf Werten basiert. Es gibt drei Standard-Regelsammlungsgruppen, deren Prioritätswerte von vornherein festgelegt sind. Sie werden in der folgenden Reihenfolge bearbeitet:

Name der Regelsammelgruppe Priorität
Standard-DNAT-Regelsammelgruppe (Destination Network Address Translation) 100
Standard-Sammelgruppe für Netzwerkregeln 200
Standard-Anwendungsregel-Sammelgruppe 300

Auch wenn Sie die Standard-Regelsammlungsgruppen nicht löschen oder ihre Prioritätswerte ändern können, können Sie ihre Verarbeitungsreihenfolge auf andere Weise beeinflussen. Wenn Sie eine andere Prioritätsreihenfolge als die Standardreihenfolge festlegen möchten, können Sie benutzerdefinierte Regelsammlungsgruppen mit den von Ihnen gewünschten Prioritätswerten erstellen. In diesem Szenario verwenden Sie die Standard-Regelsammlungsgruppen überhaupt nicht und verwenden nur die von Ihnen erstellten Gruppen, um die Verarbeitungslogik anzupassen.

Regelsammlungsgruppen enthalten eine oder mehrere Regelsammlungen, die vom Typ DNAT, Netzwerk oder Anwendung sein können. Zum Beispiel können Sie Regeln, die zu denselben Workloads oder einem virtuellen Netzwerk gehören, in einer Regelsammlungsgruppe gruppieren.

Informationen zu den Größenbeschränkungen für Regelsammlungsgruppen finden Sie unter Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.

Regelsammlungen

Eine Regelsammlung gehört zu einer Regelsammlungsgruppe und enthält eine oder mehrere Regeln. Sie sind die zweite Einheit, die von der Firewall verarbeitet wird, und sie folgen einer Prioritätsreihenfolge, die auf Werten basiert. Regelsammlungen müssen eine definierte Aktion (zulassen oder verweigern) und einen Prioritätswert haben. Die definierte Aktion gilt für alle Regeln innerhalb der Regelsammlung. Der Prioritätswert bestimmt die Reihenfolge, in der die Regelsammlungen verarbeitet werden.

Es gibt drei Arten von Regelsammlungen:

  • DNAT
  • Netzwerk
  • Anwendung

Regeltypen müssen mit ihrer übergeordneten Regelsammlungskategorie übereinstimmen. Ein Beispiel: Eine DNAT-Regel kann nur Teil einer DNAT-Regelsammlung sein.

Regeln

Eine Regel gehört zu einer Regelsammlung und legt fest, welcher Datenverkehr in Ihrem Netzwerk zugelassen oder abgelehnt wird. Sie sind die dritte Einheit, die die Firewall verarbeitet, und sie folgen keiner Prioritätsreihenfolge auf der Grundlage von Werten. Die Verarbeitungslogik für Regeln folgt einem Top-Down-Ansatz. Die Firewall verwendet definierte Regeln, um den gesamten Datenverkehr durch die Firewall zu bewerten und zu bestimmen, ob er einer Zulassungs- oder Ablehnungsbedingung entspricht. Wenn es keine Regel gibt, die den Datenverkehr zulässt, wird der Datenverkehr standardmäßig verweigert.

Unsere eingebaute Infrastrukturregelsammlung verarbeitet Datenverkehr für Anwendungsregeln, bevor er standardmäßig verweigert wird.

Eingehend und Ausgehend

Eine Firewallregel für eingehenden Datenverkehr schützt Ihr Netzwerk vor Bedrohungen, die von außerhalb Ihres Netzwerks ausgehen (Datenverkehr aus dem Internet) und versuchen, Ihr Netzwerk von innen zu infiltrieren.

Eine Firewallregel für ausgehenden Datenverkehr schützt vor schädlichem Datenverkehr, der intern entsteht (Datenverkehr, der von einer privaten IP-Adresse innerhalb von Azure ausgeht) und nach außen übertragen wird. Dies ist in der Regel Datenverkehr aus Azure-Ressourcen, der über die Firewall umgeleitet wird, bevor er ein Ziel erreicht.

Regeltypen

Es gibt drei Arten von Regeln:

  • DNAT
  • Netzwerk
  • Anwendung

DNAT-Regeln

DNAT-Regeln erlauben oder verweigern eingehenden Datenverkehr über eine oder mehrere öffentliche IP-Adressen der Firewall. Sie können eine DNAT-Regel verwenden, wenn Sie möchten, dass eine öffentliche IP-Adresse in eine private IP-Adresse übersetzt wird. Die öffentlichen IP-Adressen der Azure Firewall können verwendet werden, um eingehenden Datenverkehr aus dem Internet abzuhören, den Datenverkehr zu filtern und diesen Datenverkehr auf interne Ressourcen in Azure zu übertragen.

Netzwerkregeln

Netzwerkregeln erlauben oder verweigern eingehenden, ausgehenden und Ost-West-Verkehr auf Basis der Netzwerkschicht (L3) und der Transportschicht (L4).
Sie können eine Netzwerkregel verwenden, wenn Sie den Datenverkehr auf der Grundlage von IP-Adressen, beliebigen Ports und Protokollen filtern möchten.

Anwendungsregeln

Anwendungsregeln erlauben oder verweigern ausgehenden und Ost-West-Verkehr auf der Grundlage der Anwendungsschicht (L7). Sie können eine Anwendungsregel verwenden, wenn Sie den Datenverkehr auf der Grundlage von vollständig qualifizierten Domänennamen (FQDNs), URLs und HTTP/HTTPS-Protokollen filtern möchten.

Nächste Schritte