Conjuntos de reglas de la directiva de Azure Firewall
La directiva de firewall es un recurso de nivel superior que contiene configuración operativa y de seguridad para Azure Firewall. Puede usar la directiva de firewall para administrar conjuntos de reglas que el Azure Firewall usa para filtrar el tráfico. La directiva de firewall organiza, clasifica por orden de prioridad y procesa los conjuntos de reglas en función de una jerarquía con los siguientes componentes: grupos de colección de reglas, colecciones de reglas y reglas.
Grupos de colección de reglas
Un grupo de colección de reglas se usa para agrupar colecciones de reglas. Son la primera unidad que procesa el Azure Firewall y siguen un orden de prioridad basado en valores. Hay tres grupos de colección de reglas predeterminados y sus valores de prioridad están preestablecidos por diseño. Se procesan en el orden siguiente:
| Nombre de grupo de colección de reglas | Priority |
|---|---|
| Grupo de colección de reglas DNAT (traducción de direcciones de red de destino) predeterminado | 100 |
| Grupo de colecciones de reglas de red predeterminado | 200 |
| Grupo de colección de reglas de aplicación predeterminado | 300 |
Aunque no puede eliminar los grupos de colección de reglas predeterminados ni modificar sus valores de prioridad, puede manipular su orden de procesamiento de una manera diferente. Si necesita definir un orden de prioridad diferente del diseño predeterminado, puede crear grupos de colección de reglas personalizados con los valores de prioridad deseados. En este escenario, no se usan los grupos de colección de reglas predeterminados, solo los que se crean para personalizar la lógica de procesamiento.
Los grupos de colección de reglas contienen una o varias colecciones de reglas, que pueden ser de tipo DNAT, red o aplicación. Por ejemplo, puede agrupar las reglas que pertenecen a las mismas cargas de trabajo o a una red virtual en un grupo de colección de reglas.
Para ver los límites de tamaño del grupo de recopilación de reglas, consulte Suscripción de Azure y límites de servicio, cuotas y restricciones.
Colecciones de reglas
Una colección de reglas pertenece a un grupo de colección de reglas y contiene una o varias reglas. Son la segunda unidad procesada por el firewall y siguen un orden de prioridad basado en valores. Las colecciones de reglas deben tener una acción definida (permitir o denegar) y un valor de prioridad. La acción definida se aplica a todas las reglas de la colección de reglas. El valor de prioridad determina el orden en que se procesan las colecciones de reglas.
Hay tres tipos de colecciones de reglas:
- DNAT
- Red
- Application
Los tipos de reglas deben coincidir con su categoría de colección de reglas primaria. Por ejemplo, una regla DNAT solo puede formar parte de una colección de reglas DNAT.
Reglas
Una regla pertenece a una colección de reglas y especifica qué tráfico se permite o se deniega en la red. Son la tercera unidad que procesa el firewall y no siguen un orden de prioridad basado en valores. La lógica de procesamiento de las reglas sigue un enfoque descendente. Todo el tráfico que pasa a través del firewall se evalúa mediante las reglas definidas para una coincidencia de permiso o denegación. Si no hay ninguna regla que permita el tráfico, el tráfico se deniega de manera predeterminada.
En el caso de las reglas de aplicación, la colección de reglas de infraestructura integrada procesa el tráfico antes de que se deniegue de manera predeterminada.
Entrada frente a salida
Una regla de firewall de entrada protege la red de las amenazas que se originan fuera de la red (tráfico procedente de Internet) e intentan infiltrarse en la red.
Una regla de firewall de salida protege del tráfico malintencionado que se origina internamente (procedente de una dirección IP privada dentro de Azure) y viaja hacia fuera. Normalmente, este es el tráfico desde los recursos de Azure que se redirige por el firewall antes de llegar a un destino.
Tipos de regla
Existen tres tipos de reglas:
- DNAT
- Red
- Application
Reglas DNAT
Las reglas DNAT permiten o deniegan el tráfico entrante a través de las IP públicas del firewall. Puede usar una regla DNAT cuando desee que una IP pública se traduzca en una IP privada. Las IP públicas de Azure Firewall se pueden usar para escuchar el tráfico entrante de Internet, filtrar el tráfico y traducir este tráfico en recursos internos de Azure.
Reglas de red
Las reglas de red permiten o deniegan el tráfico entrante, saliente y este-oeste de la capa de red (L3) y la capa de transporte (L4).
Puede usar una regla de red cuando desee filtrar el tráfico en función de las direcciones IP, los puertos y cualquier protocolo.
Reglas de aplicación
Las reglas de aplicación permiten o deniegan el tráfico saliente y este-oeste de la capa de aplicación (L7). Puede usar una regla de aplicación cuando quiera filtrar el tráfico en función de nombres de dominio completos (FQDN), URL y protocolos HTTP o HTTPS.
Pasos siguientes
- Obtenga más información acerca del procesamiento de las reglas de Azure Firewall, consulte el documento Configuración de las reglas de Azure Firewall.