Entwerfen und Implementieren von Azure Firewall
- 7 Minuten
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Die Azure-Firewall verfügt über integrierte hohe Verfügbarkeit und uneingeschränkte Cloudskalierbarkeit. Azure Firewall funktioniert nicht nur für Datenverkehr an und aus dem Internet, sondern auch intern. Die interne Datenverkehrsfilterung umfasst den Datenverkehr zwischen Spoke-Netzwerken und den Hybrid Cloud-Datenverkehr zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Azure-Netzwerk.
Anwendungsfälle von Azure Firewall
Azure Firewall verfügt über drei SKUs: Azure Firewall Basic, Azure Firewall Standard und Azure Firewall Premium. Alle Versionen können Ihnen in diesen Szenarien helfen.
- Sie möchten Ihr Netzwerk vor Angriffen schützen.
- Sie möchten Ihr Netzwerk vor Fehlern durch Benutzer schützen.
- Ihr Unternehmen umfasst E-Commerce oder Kreditkartenzahlungen.
- Sie möchten die Spoke-to-Spoke-Konnektivität konfigurieren.
- Sie möchten den eingehenden und ausgehenden Datenverkehr überwachen.
Was sind Azure Firewall-Regeln?
Eine Azure Firewall verweigert standardmäßig den gesamten Datenverkehr, bis Regeln manuell so konfiguriert werden, dass Datenverkehr zugelassen wird. Regeln werden innerhalb von Regelsammlungen organisiert, die in Regelsammlungsgruppen enthalten sind. Sie können NAT-Regeln, Netzwerkregeln und Anwendungsregeln in Azure Firewall konfigurieren.
| Regeltyp | BESCHREIBUNG |
|---|---|
| NAT | Eingehender Internetdatenverkehr wird basierend auf der öffentlichen IP-Adresse Ihrer Firewall und einer festgelegten Portnummer übersetzt und gefiltert. Um z. B. eine Remotedesktopverbindung mit einem virtuellen Computer zu aktivieren, können Sie eine NAT-Regel verwenden, um die öffentliche IP-Adresse Ihrer Firewall und port 3389 in die private IP-Adresse des virtuellen Computers zu übersetzen. |
| Anwendung | Mit diesem Regeltyp wird Datenverkehr anhand eines FQDN gefiltert. Sie können beispielsweise eine Anwendungsregel verwenden, um ausgehenden Datenverkehr für den Zugriff auf eine Azure SQL-Datenbankinstanz mithilfe des FQDN-server10.database.windows.net zuzulassen. |
| Netzwerk | Der Datenverkehr kann basierend auf einem oder mehreren der folgenden drei Netzwerkparameter gefiltert werden: IP-Adresse, Port und Protokoll. Sie können z. B. eine Netzwerkregel verwenden, um ausgehenden Datenverkehr für den Zugriff auf einen bestimmten DNS-Server an einer bestimmten IP-Adresse mithilfe von Port 53 zuzulassen. |
Azure Firewall wendet Regeln nach Priorität an. Auf Threat Intelligence basierende Regeln verfügen stets über die höchste Priorität und werden daher zuerst verarbeitet. Anschließend werden die Regeln nach Typ angewendet: NAT-Regeln, dann Netzwerkregeln und abschließend Anwendungsregeln. Innerhalb jedes Typs werden die Regeln entsprechend der Prioritätswerte vom niedrigsten zum höchsten Wert verarbeitet, die Sie beim Erstellen der Regel zuweisen.
Tipp
Erfahren Sie mehr über Azure Firewall im Modul "Einführung in Azure Firewall ".