Azure Firewall-Richtlinien-Regelsätze
Die Firewall-Richtlinie ist eine Ressource der obersten Ebene, die Sicherheits- und Betriebseinstellungen für Azure Firewall enthält. Sie können Firewall-Richtlinien verwenden, um Regelsätze zu verwalten, die die Azure Firewall zum Filtern des Datenverkehrs verwendet. Die Firewall-Richtlinie organisiert, priorisiert und verarbeitet die Regelsätze basierend auf einer Hierarchie mit den folgenden Komponenten: Regelsammlungsgruppen, Regelsammlungen und Regeln.
Regelsammelgruppen
Eine Regelsammlungsgruppe wird zur Gruppierung von Regelsammlungen verwendet. Sie sind die erste Einheit, die von der Azure Firewall verarbeitet wird, und sie folgen einer Prioritätsreihenfolge, die auf Werten basiert. Es gibt drei Standard-Regelsammlungsgruppen, deren Prioritätswerte von vornherein festgelegt sind. Sie werden in der folgenden Reihenfolge bearbeitet:
| Name der Regelsammelgruppe | Priorität |
|---|---|
| Standard-DNAT-Regelsammelgruppe (Destination Network Address Translation) | 100 |
| Standard-Sammelgruppe für Netzwerkregeln | 200 |
| Standard-Anwendungsregel-Sammelgruppe | 300 |
Auch wenn Sie die Standard-Regelsammlungsgruppen nicht löschen oder ihre Prioritätswerte ändern können, können Sie ihre Verarbeitungsreihenfolge auf andere Weise beeinflussen. Wenn Sie eine andere Prioritätsreihenfolge als die Standardreihenfolge festlegen möchten, können Sie benutzerdefinierte Regelsammlungsgruppen mit den von Ihnen gewünschten Prioritätswerten erstellen. In diesem Szenario verwenden Sie die Standard-Regelsammlungsgruppen überhaupt nicht und verwenden nur die von Ihnen erstellten Gruppen, um die Verarbeitungslogik anzupassen.
Regelsammlungsgruppen enthalten eine oder mehrere Regelsammlungen, die vom Typ DNAT, Netzwerk oder Anwendung sein können. Zum Beispiel können Sie Regeln, die zu denselben Workloads oder einem VNet gehören, in einer Regelsammlungsgruppe gruppieren.
Informationen zu den Größenbeschränkungen für Regelsammlungsgruppen finden Sie unter Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.
Regelsammlungen
Eine Regelsammlung gehört zu einer Regelsammlungsgruppe und enthält eine oder mehrere Regeln. Sie sind die zweite Einheit, die von der Firewall verarbeitet wird, und sie folgen einer Prioritätsreihenfolge, die auf Werten basiert. Regelsammlungen müssen eine definierte Aktion (zulassen oder verweigern) und einen Prioritätswert haben. Die definierte Aktion gilt für alle Regeln innerhalb der Regelsammlung. Der Prioritätswert bestimmt die Reihenfolge, in der die Regelsammlungen verarbeitet werden.
Es gibt drei Arten von Regelsammlungen:
- DNAT
- Netzwerk
- Anwendung
Regeltypen müssen mit ihrer übergeordneten Regelsammlungskategorie übereinstimmen. Ein Beispiel: Eine DNAT-Regel kann nur Teil einer DNAT-Regelsammlung sein.
Regeln
Eine Regel gehört zu einer Regelsammlung und legt fest, welcher Datenverkehr in Ihrem Netzwerk zugelassen oder abgelehnt wird. Sie sind die dritte Einheit, die von der Firewall verarbeitet wird, und sie folgen keiner Prioritätsreihenfolge auf der Grundlage von Werten. Die Verarbeitungslogik für Regeln folgt einem Top-Down-Ansatz. Der gesamte Datenverkehr, der die Firewall durchläuft, wird anhand der definierten Regeln auf eine Übereinstimmung mit "Zulassen" oder "Verweigern" geprüft. Wenn es keine Regel gibt, die den Datenverkehr zulässt, wird der Datenverkehr standardmäßig verweigert.
Bei Anwendungsregeln wird der Datenverkehr von unserer eingebauten Infrastrukturregelsammlung verarbeitet, bevor er standardmäßig verweigert wird.
Eingehend und Ausgehend
Eine Firewallregel für eingehenden Datenverkehr schützt Ihr Netzwerk vor Bedrohungen, die von außerhalb Ihres Netzwerks ausgehen (Datenverkehr aus dem Internet) und versuchen, Ihr Netzwerk von innen zu infiltrieren.
Eine Firewallregel für ausgehenden Datenverkehr schützt vor schädlichem Datenverkehr, der intern entsteht (Datenverkehr, der von einer privaten IP-Adresse innerhalb von Azure ausgeht) und nach außen übertragen wird. Dies ist in der Regel Datenverkehr aus Azure-Ressourcen, der über die Firewall umgeleitet wird, bevor er ein Ziel erreicht.
Regeltypen
Es gibt drei Arten von Regeln:
- DNAT
- Netzwerk
- Anwendung
DNAT-Regeln
DNAT-Regeln erlauben oder verweigern eingehenden Datenverkehr über die öffentliche(n) IP-Adresse(n) der Firewall. Sie können eine DNAT-Regel verwenden, wenn Sie möchten, dass eine öffentliche IP-Adresse in eine private IP-Adresse übersetzt wird. Die öffentlichen IP-Adressen der Azure Firewall können verwendet werden, um eingehenden Datenverkehr aus dem Internet abzuhören, den Datenverkehr zu filtern und diesen Datenverkehr auf interne Ressourcen in Azure zu übertragen.
Netzwerkregeln
Netzwerkregeln erlauben oder verweigern eingehenden, ausgehenden und Ost-West-Verkehr auf Basis der Netzwerkschicht (L3) und der Transportschicht (L4).
Sie können eine Netzwerkregel verwenden, wenn Sie den Datenverkehr auf der Grundlage von IP-Adressen, beliebigen Ports und Protokollen filtern möchten.
Anwendungsregeln
Anwendungsregeln erlauben oder verweigern ausgehenden und Ost-West-Verkehr auf der Grundlage der Anwendungsschicht (L7). Sie können eine Anwendungsregel verwenden, wenn Sie den Datenverkehr auf der Grundlage von vollständig qualifizierten Domänennamen (FQDNs), URLs und HTTP/HTTPS-Protokollen filtern möchten.
Nächste Schritte
- Erfahren Sie mehr über die Verarbeitung von Azure Firewall-Regeln: Konfigurieren Sie Azure Firewall-Regeln.