Azure Firewall Policy-szabálykészletek
A tűzfalszabályzat egy legfelső szintű erőforrás, amely az Azure Firewall biztonsági és üzemeltetési beállításait tartalmazza. Tűzfalszabályzat használatával kezelheti az Azure Firewall által a forgalom szűréséhez használt szabálykészleteket. A tűzfalszabályzat egy hierarchia alapján rendszerezi, rangsorolja és dolgozza fel a szabálykészleteket a következő összetevőkkel: szabálygyűjtemény-csoportok, szabálygyűjtemények és szabályok.
Szabálygyűjtemény-csoportok
A szabálygyűjtemények csoportosítására szabálygyűjtemények szolgálnak. Az Azure Firewall elsőként dolgozza fel őket, és értékeken alapuló prioritási sorrendet követnek. Három alapértelmezett szabálygyűjtemény-csoport létezik, és a prioritási értékeket a tervezés határozza meg. A feldolgozásuk a következő sorrendben történik:
| Szabálygyűjteménycsoport neve | Prioritás |
|---|---|
| Alapértelmezett DNST (célhálózati címfordítás) szabálycsoport | 100 |
| Alapértelmezett hálózati szabálycsoport | 200 |
| Alapértelmezett alkalmazásszabály-gyűjteménycsoport | 300 |
Annak ellenére, hogy nem törölheti az alapértelmezett szabálygyűjtemény-csoportokat, és nem módosíthatja a prioritási értékeket, a feldolgozási sorrendet más módon is módosíthatja. Ha az alapértelmezett kialakítástól eltérő prioritási sorrendet kell meghatároznia, egyéni szabálycsoportokat hozhat létre a kívánt prioritási értékekkel. Ebben a forgatókönyvben egyáltalán nem használja az alapértelmezett szabálygyűjtemény-csoportokat, és csak a létrehozott csoportokat használja a feldolgozási logika testreszabásához.
A szabálygyűjtemény-csoportok egy vagy több szabálygyűjteményt tartalmaznak, amelyek lehetnek DNST, hálózat vagy alkalmazás típusúak. Csoportosíthatja például az ugyanahhoz a számítási feladathoz tartozó szabályokat, vagy egy szabálygyűjteményi csoport virtuális hálózatát.
A szabálygyűjteménycsoport méretkorlátjaiért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.
Szabálygyűjtemények
A szabálygyűjtemények egy szabálygyűjteményi csoporthoz tartoznak, és egy vagy több szabályt tartalmaznak. Ezek a tűzfal által feldolgozott második egység, és értékeken alapuló prioritási sorrendet követnek. A szabálygyűjteményeknek meghatározott műveletekkel (engedélyezéssel vagy elutasítással) és prioritási értékkel kell rendelkezniük. A definiált művelet a szabálygyűjtemény összes szabályára vonatkozik. A prioritási érték határozza meg a szabálygyűjtemények feldolgozásának sorrendjét.
A szabálygyűjteményeknek három típusa van:
- Célhálózati címfordítás (DNAT)
- Network
- Application
A szabálytípusoknak meg kell egyezniük a szülőszabály-gyűjtemény kategóriájával. Egy DNST-szabály például csak egy DNST-szabálygyűjtemény része lehet.
Szabályok
A szabály egy szabálygyűjteményhez tartozik, és meghatározza, hogy a hálózat mely forgalmat engedélyezi vagy tiltsa le. Ezek a tűzfal által feldolgozandó harmadik egység, és nem követik az értékeken alapuló prioritási sorrendet. A szabályok feldolgozási logikája felülről lefelé irányuló megközelítést követ. A tűzfalon áthaladó összes forgalmat a megadott szabályok értékelik ki egy engedélyezési vagy megtagadási egyezéshez. Ha nincs olyan szabály, amely engedélyezi a forgalmat, akkor a rendszer alapértelmezés szerint megtagadja a forgalmat.
Alkalmazásszabályok esetén a forgalmat a beépített infrastruktúraszabály-gyűjtemény dolgozza fel, mielőtt alapértelmezés szerint megtagadja azt.
Bejövő és kimenő
A bejövő tűzfalszabály védi a hálózatot a hálózaton kívülről érkező fenyegetésektől (az internetről származó forgalomtól), és befelé próbál beszivárogni a hálózatba.
A kimenő tűzfalszabály védelmet nyújt a belsőleg (az Azure-on belüli privát IP-címről származó) és kifelé irányuló nefarkos forgalom ellen. Ez általában az Azure-erőforrásokból érkező forgalom átirányítása a tűzfalon keresztül, mielőtt elér egy célhelyet.
Szabálytípusok
Három szabálytípus áll rendelkezésre:
- Célhálózati címfordítás (DNAT)
- Network
- Application
DNAT-szabályok
A DNST-szabályok engedélyezik vagy letiltják a bejövő forgalmat a tűzfal nyilvános IP-címén keresztül. DNST-szabályt akkor használhat, ha azt szeretné, hogy egy nyilvános IP-cím magánhálózati IP-címgé legyen lefordítva. Az Azure Firewall nyilvános IP-címeivel figyelheti az internetről érkező bejövő forgalmat, szűrheti a forgalmat, és lefordíthatja ezt a forgalmat az Azure belső erőforrásaira.
Hálózatszabályok
A hálózati szabályok engedélyezik vagy letiltják a bejövő, kimenő és kelet-nyugati forgalmat a hálózati réteg (L3) és a szállítási réteg (L4) alapján.
Hálózati szabályt akkor használhat, ha IP-címek, portok és protokollok alapján szeretné szűrni a forgalmat.
Alkalmazásszabályok
Az alkalmazásszabályok az alkalmazásréteg (L7) alapján engedélyezik vagy tiltják le a kimenő és a kelet-nyugati forgalmat. Alkalmazásszabályt akkor használhat, ha teljes tartománynevek (teljes tartománynevek), URL-címek és HTTP/HTTPS protokollok alapján szeretné szűrni a forgalmat.
Következő lépések
- További információ az Azure Firewall-szabályok feldolgozásáról: Azure Firewall-szabályok konfigurálása.