Compartir por


Conjuntos de reglas de la directiva de Azure Firewall

La directiva de firewall es un recurso de nivel superior que contiene configuración operativa y de seguridad para Azure Firewall. Puede usar la directiva de firewall para administrar conjuntos de reglas que el Azure Firewall usa para filtrar el tráfico. La directiva de firewall organiza, clasifica por orden de prioridad y procesa los conjuntos de reglas en función de una jerarquía con los siguientes componentes: grupos de colección de reglas, colecciones de reglas y reglas.

Jerarquía de conjuntos de reglas de Azure Policy

Grupos de colección de reglas

Un grupo de colección de reglas se usa para agrupar colecciones de reglas. Son la primera unidad que procesa el firewall y siguen un orden de prioridad basado en los valores. Hay tres grupos de colección de reglas predeterminados y sus valores de prioridad están preestablecidos por diseño. Se procesan en el orden siguiente:

Nombre de grupo de colección de reglas Priority
Grupo de colección de reglas DNAT (traducción de direcciones de red de destino) predeterminado 100
Grupo de colecciones de reglas de red predeterminado 200
Grupo de colección de reglas de aplicación predeterminado 300

Aunque no puede eliminar los grupos de colección de reglas predeterminados ni modificar sus valores de prioridad, puede manipular su orden de procesamiento de una manera diferente. Si necesita definir un orden de prioridad diferente del diseño predeterminado, puede crear grupos de colección de reglas personalizados con los valores de prioridad deseados. En este escenario, no se usan los grupos de colección de reglas predeterminados, solo los que se crean para personalizar la lógica de procesamiento.

Los grupos de colección de reglas contienen una o varias colecciones de reglas, que pueden ser de tipo DNAT, red o aplicación. Por ejemplo, puede agrupar reglas que pertenecen a las mismas cargas de trabajo o a una virtual en un grupo de recopilación de reglas.

Para ver los límites de tamaño del grupo de recopilación de reglas, consulte Suscripción de Azure y límites de servicio, cuotas y restricciones.

Colecciones de reglas

Una colección de reglas pertenece a un grupo de colección de reglas y contiene una o varias reglas. Son la segunda unidad procesada por el firewall y siguen un orden de prioridad basado en valores. Las colecciones de reglas deben tener una acción definida (permitir o denegar) y un valor de prioridad. La acción definida se aplica a todas las reglas de la colección de reglas. El valor de prioridad determina el orden en que se procesan las colecciones de reglas.

Hay tres tipos de colecciones de reglas:

  • DNAT
  • Red
  • Application

Los tipos de reglas deben coincidir con su categoría de colección de reglas primaria. Por ejemplo, una regla DNAT solo puede formar parte de una colección de reglas DNAT.

Reglas

Una regla pertenece a una colección de reglas y especifica qué tráfico se permite o se deniega en la red. Son la tercera unidad que procesa el firewall y no siguen un orden de prioridad basado en los valores. La lógica de procesamiento de las reglas sigue un enfoque descendente. El firewall usa reglas definidas para evaluar todo el tráfico que pasa por el firewall para determinar si coincide con una condición de permitir o denegar. Si no hay ninguna regla que permita el tráfico, el tráfico se deniega de manera predeterminada.

Nuestra recopilación de reglas de infraestructura integrada procesa el tráfico de las reglas de aplicación antes de denegarla de forma predeterminada.

Entrada frente a salida

Una regla de firewall de entrada protege la red de las amenazas que se originan fuera de la red (tráfico procedente de Internet) e intentan infiltrarse en la red.

Una regla de firewall de salida protege del tráfico malintencionado que se origina internamente (procedente de una dirección IP privada dentro de Azure) y viaja hacia fuera. Normalmente, este es el tráfico desde los recursos de Azure que se redirige por el firewall antes de llegar a un destino.

Tipos de regla

Existen tres tipos de reglas:

  • DNAT
  • Red
  • Application

Reglas DNAT

Las reglas DNAT permiten o deniegan el tráfico entrante a través de una o varias direcciones IP públicas del firewall. Puede usar una regla DNAT cuando desee que una IP pública se traduzca en una IP privada. Las IP públicas de Azure Firewall se pueden usar para escuchar el tráfico entrante de Internet, filtrar el tráfico y traducir este tráfico en recursos internos de Azure.

Reglas de red

Las reglas de red permiten o deniegan el tráfico entrante, saliente y este-oeste de la capa de red (L3) y la capa de transporte (L4).
Puede usar una regla de red cuando desee filtrar el tráfico en función de las direcciones IP, los puertos y cualquier protocolo.

Reglas de aplicación

Las reglas de aplicación permiten o deniegan el tráfico saliente y este-oeste de la capa de aplicación (L7). Puede usar una regla de aplicación cuando quiera filtrar el tráfico en función de nombres de dominio completos (FQDN), URL y protocolos HTTP o HTTPS.

Pasos siguientes