Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A tűzfalszabályzat egy legfelső szintű erőforrás, amely az Azure Firewall biztonsági és üzemeltetési beállításait tartalmazza. Lehetővé teszi az Azure Firewall által a forgalom szűréséhez használt szabálykészletek kezelését. A tűzfalszabályzat a következő összetevőkkel rendelkező hierarchia alapján rendszerezi, rangsorolja és dolgozza fel a szabálykészleteket: szabálycsoportokat, szabálygyűjteményeket és szabályokat.
Szabálygyűjtemény-csoportok
Szabálygyűjtemények csoportosítása szabálycsoport használatával. Ez az első, a tűzfal által feldolgozott egység, amely értékeken alapuló prioritási sorrendet követ. Három alapértelmezett szabálycsoport létezik előre beállított prioritási értékekkel. A tűzfal a következő sorrendben dolgozza fel őket:
| Szabálygyűjteménycsoport neve | Prioritás |
|---|---|
| Alapértelmezett DNST (célhálózati címfordítás) szabálycsoport | 100 |
| Alapértelmezett hálózati szabálygyűjteménycsoport | 200 |
| Alapértelmezett alkalmazásszabály-gyűjteménycsoport | 300 |
Bár nem törölheti az alapértelmezett szabálygyűjteményi csoportokat, és nem módosíthatja a prioritási értékeket, módosíthatja a feldolgozási sorrendet úgy, hogy egyéni szabálycsoportokat hoz létre a kívánt prioritási értékekkel. Ebben az esetben ne használja az alapértelmezett szabálygyűjtemény-csoportokat. Ehelyett kizárólag a testreszabott elemeket használja a feldolgozási logika meghatározásához.
A szabálygyűjtemény-csoportok egy vagy több szabálygyűjteményt tartalmaznak, amelyek lehetnek DNST, hálózat vagy alkalmazás típusúak. Csoportosíthat például ugyanahhoz a számítási feladathoz vagy egy virtuális hálózathoz tartozó szabályokat egy szabálygyűjteményi csoportban.
A szabálygyűjteménycsoport méretkorlátjaiért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.
Szabálygyűjtemények
A szabálygyűjtemények egy szabálygyűjteményi csoporthoz tartoznak, és egy vagy több szabályt tartalmaznak. Ez a tűzfal által feldolgozott második egység, amely értékeken alapuló prioritási sorrendet követ. Minden szabálygyűjteménynek meghatározott műveletekkel (engedélyezéssel vagy elutasítással) és prioritási értékkel kell rendelkeznie. A művelet a gyűjtemény összes szabályára vonatkozik, és a prioritási érték határozza meg a szabálygyűjtemények feldolgozásának sorrendjét.
A szabálygyűjteményeknek három típusa van:
- DNAT
- Network (Hálózat)
- Alkalmazás
A szabálytípusoknak meg kell egyezniük a szülőszabály-gyűjtemény kategóriájával. Egy DNST-szabály például csak egy DNST-szabálygyűjtemény része lehet.
Szabályok
Egy szabály egy szabálygyűjteményhez tartozik, és meghatározza, hogy a hálózat mely forgalmat engedélyezi vagy tiltsa le. Ez a tűzfal által feldolgozott harmadik egység, amely nem követi az értékeken alapuló prioritási sorrendet. A tűzfal felülről lefelé haladva dolgozza fel a szabályokat, és kiértékeli a meghatározott szabályokhoz viszonyított összes forgalmat annak megállapításához, hogy egy engedélyezési vagy megtagadási feltételnek felel-e meg. Ha egy szabály sem engedélyezi a forgalmat, alapértelmezés szerint elutasítja.
A beépített infrastruktúraszabály-gyűjtemény feldolgozza az alkalmazásszabályok forgalmát, mielőtt alapértelmezés szerint megtagadja azt.
Bejövő és kimenő
A bejövő tűzfalszabály megvédi a hálózatot a külső (internetről származó) fenyegetésektől, amelyek befelé próbálnak beszivárogni.
A kimenő tűzfalszabály védelmet nyújt a belsőleg (az Azure-ban egy privát IP-címről származó forgalomból származó) és a kifelé irányuló rosszindulatú forgalom ellen. Ez a védelem általában azt foglalja magában, hogy az Azure-erőforrásokból érkező forgalmat a tűzfalon keresztül irányítják át, mielőtt elérnék a célhelyet.
Szabálytípusok
Három szabálytípus áll rendelkezésre:
- DNAT
- Network (Hálózat)
- Alkalmazás
DNAT-szabályok
A DNST-szabályok egy vagy több nyilvános tűzfal ip-címén keresztül kezelik a bejövő forgalmat. A DNST-szabály használatával lefordíthat egy nyilvános IP-címet egy privát IP-címre. Az Azure Firewall nyilvános IP-címei figyelhetik az internetről érkező bejövő forgalmat, szűrhetik és lefordíthatják azt belső Azure-erőforrásokra.
Hálózatszabályok
A hálózati szabályok a hálózati réteg (L3) és a szállítási réteg (L4) alapján szabályozzák a bejövő, kimenő és kelet-nyugati forgalmat. Hálózati szabály használatával ip-címek, portok és protokollok alapján szűrheti a forgalmat.
Alkalmazásszabályok
Az alkalmazásszabályok az alkalmazásréteg (L7) alapján kezelik a kimenő és a kelet-nyugati forgalmat. Alkalmazásszabály használatával szűrheti a forgalmat teljes tartománynevek (FQDN-k), URL-címek és HTTP/HTTPS protokollok alapján.
Következő lépések
- Ha többet szeretne megtudni arról, hogy az Azure Firewall hogyan dolgozza fel a szabályokat, olvassa el az Azure Firewall-szabályok konfigurálását ismertető témakört.