Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Firewall konfigurálásához ajánlott tűzfalszabályzat. Ez egy globális erőforrás, amely több Azure Firewall-példányon is használható a biztonságos virtuális központokban és a központi virtuális hálózatokban. A szabályzatok régiók és előfizetések között működnek.
Szabályzat létrehozása és társítás
A szabályzatok többféle módon hozhatók létre és kezelhetők, például az Azure Portalon, a REST API-ban, a sablonokban, az Azure PowerShellben, a parancssori felületen és a Terraformban.
A meglévő klasszikus szabályokat az Azure Firewallról is migrálhatja a portál vagy az Azure PowerShell használatával szabályzatok létrehozásához. További információ: Azure Firewall-konfigurációk migrálása az Azure Firewall-szabályzatba.
A szabályzatok társíthatók egy vagy több, a Virtual WAN-ban (biztonságos virtuális központ létrehozása) vagy virtuális hálózaton (központi virtuális hálózat létrehozása) üzembe helyezett tűzfalakkal. A tűzfalak a fiókhoz társított bármely régióban vagy előfizetésben lehetnek.
Klasszikus szabályok és szabályzatok
Az Azure Firewall a klasszikus szabályokat és szabályzatokat is támogatja, de a szabályzatok az ajánlott konfigurációk. Az alábbi táblázat a szabályzatokat és a klasszikus szabályokat hasonlítja össze:
| Subject | Policy | Klasszikus szabályok |
|---|---|---|
| Contains | NAT, hálózat, alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát), IDPS, TLS-ellenőrzés, webkategóriák, URL-szűrés | NAT-, hálózati és alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát) |
| Protects | Virtual Hubs (VWAN) és virtuális hálózatok | Csak virtuális hálózatok |
| Portál-élmény | Központi felügyelet a Firewall Managerrel | Önálló tűzfalélmény |
| Több tűzfal támogatása | A tűzfalszabályzat egy különálló erőforrás, amely tűzfalakon keresztül használható | Szabályok manuális exportálása és importálása, vagy külső felügyeleti megoldások használata |
| Pricing | Számlázás tűzfaltársítás alapján. Lásd: Díjszabás. | Ingyenes |
| Támogatott üzembehelyezési mechanizmusok | Portál, REST API, sablonok, Azure PowerShell és PARANCSSOR | Portál, REST API, sablonok, PowerShell és parancssori felület. |
Alapszintű, standard és prémium szintű szabályzatok
Az Azure Firewall támogatja az alapszintű, a standard és a prémium szintű szabályzatokat. Az alábbi táblázat összefoglalja a szabályzatok közötti különbséget:
| Szabályzat típusa | Funkciók támogatása | Tűzfal termékváltozatának támogatása |
|---|---|---|
| Alapszintű szabályzat | NAT-szabályok, hálózati szabályok, alkalmazásszabályok IP-csoportok Fenyegetésfelderítés (riasztások) |
Alapszintű |
| Standard szabályzat | NAT-szabályok, hálózati szabályok, alkalmazásszabályok Egyéni DNS, DNS-proxy IP-csoportok Webes kategóriák Fenyegetésfelderítés |
Standard vagy Premium |
| Prémium szintű szabályzat | Minden standard funkció támogatása, valamint: TLS-vizsgálat Webes kategóriák URL-szűrés IDPS |
prémium |
Hierarchikus szabályzatok
Az új tűzfalszabályzatok létrehozhatóak az alapoktól, vagy örökölhetők a meglévő szabályzatokból. Az öröklés lehetővé teszi, hogy a DevOps helyi tűzfalszabályzatokat határozzon meg a szervezet által előírt alapszabályzatokon felül.
Nem üres szülőszabályzattal rendelkező új szabályzat létrehozásakor az összes szabálygyűjteményt a szülőtől örökli. A szülő- és gyermekszabályzatnak ugyanabban a régióban kell lennie. A tűzfalszabályzatok azonban, függetlenül attól, hogy hol vannak tárolva, bármely régió tűzfalaihoz társíthatók.
Szabályöröklés
A szülőházirendtől örökölt hálózati szabálygyűjtemények mindig elsőbbséget kapnak az új szabályzat részeként definiált hálózati szabálygyűjteményekkel szemben. Ugyanez a logika az alkalmazásszabály-gyűjteményekre is vonatkozik. Az örökléstől függetlenül a rendszer az alkalmazásszabály-gyűjtemények előtt dolgozza fel a hálózati szabálygyűjteményeket.
A NAT-szabálygyűjtemények nem öröklődnek, mivel az egyes tűzfalakra vonatkoznak. Ha NAT-szabályokat szeretne használni, meg kell határoznia őket a gyermekszabályzatban.
Fenyegetéselemzési mód és engedélyezési lista öröklése
A fenyegetésfelderítési mód a szülőszabályzattól is öröklődik. Bár a gyermekszabályzatban felülbírálhatja ezt a beállítást, szigorúbb módban kell lennie – nem tilthatja le. Ha például a szülőházirend csak Riasztás értékre van állítva, a gyermekházirend beállítható Riasztás és elutasítás értékre, de kevésbé szigorú módra nem.
Hasonlóképpen, a fenyegetésfelderítési engedélyezési lista öröklődik a szülőszabályzattól, és a gyermekszabályzat további IP-címeket is hozzáfűzhet ehhez a listához.
Öröklés esetén a rendszer automatikusan alkalmazza a szülőházirend módosításait a társított tűzfal gyermekszabályzataira.
Beépített magas rendelkezésre állás
A magas rendelkezésre állás be van építve, ezért nincs szükség konfigurálásra. Bármely régióban létrehozhat egy Azure Firewall Policy-objektumot, és globálisan összekapcsolhatja több Azure Firewall-példánylal ugyanazon Entra-azonosító bérlő alatt. Ha a szabályzatot létrehozó régió leáll, és van egy párosított régiója, az ARM(Azure Resource Manager) objektum metaadatai automatikusan átmennek a másodlagos régióba. A feladatátvétel során, vagy ha a pár nélküli egyrégió sikertelen állapotban marad, nem módosíthatja az Azure Firewall Policy objektumot. A tűzfalszabályzathoz csatolt Azure Firewall-példányok azonban továbbra is működnek. További információ: Régiók közötti replikáció az Azure-ban: Üzletmenet-folytonosság és vészhelyreállítás.
Pricing
A szabályzatok számlázása tűzfaltársításokon alapul. A nulla vagy egy tűzfaltársítással rendelkező szabályzatok ingyenesek. A több tűzfaltársítással rendelkező szabályzatok számlázása rögzített díjjal történik. További információkért tekintse meg az Azure Firewall Manager díjszabását.
Következő lépések
- Útmutató az Azure Firewall üzembe helyezéséhez – Oktatóanyag: A felhőhálózat védelme az Azure Firewall Managerrel az Azure Portal használatával
- További információ az Azure hálózati biztonságáról