Az Azure Firewall Manager szabályzatának áttekintése
Az Azure Firewall konfigurálásához ajánlott tűzfalszabályzat. Ez egy globális erőforrás, amely több Azure Firewall-példányon is használható a biztonságos virtuális központokban és a központi virtuális hálózatokban. A szabályzatok régiók és előfizetések között működnek.
Szabályzat létrehozása és társítás
A szabályzatok többféle módon hozhatók létre és kezelhetők, például az Azure Portalon, a REST API-ban, a sablonokban, az Azure PowerShellben, a parancssori felületen és a Terraformban.
A meglévő klasszikus szabályokat az Azure Firewallról is migrálhatja a portál vagy az Azure PowerShell használatával szabályzatok létrehozásához. További információ: Azure Firewall-konfigurációk migrálása az Azure Firewall-szabályzatba.
A szabályzatok társíthatók egy vagy több virtuális központhoz vagy virtuális hálózathoz. A tűzfal a fiókjához és bármely régióhoz társított előfizetésben lehet.
Klasszikus szabályok és szabályzatok
Az Azure Firewall támogatja a klasszikus szabályokat és szabályzatokat is, de a szabályzatok az ajánlott konfigurációk. Az alábbi táblázat a szabályzatokat és a klasszikus szabályokat hasonlítja össze:
| Tárgy | Szabályzat | Klasszikus szabályok |
|---|---|---|
| Contains | NAT, hálózat, alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát), IDPS, TLS-ellenőrzés, webkategóriák, URL-szűrés | NAT-, hálózati és alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát) |
| Védi | Virtuális központok és virtuális hálózatok | Csak virtuális hálózatok |
| Portal-felület | Központi felügyelet a Firewall Managerrel | Önálló tűzfalélmény |
| Több tűzfal támogatása | A tűzfalszabályzat egy különálló erőforrás, amely tűzfalakon keresztül használható | Szabályok manuális exportálása és importálása, vagy külső felügyeleti megoldások használata |
| Díjszabás | Számlázás tűzfaltársítás alapján. Lásd a díjszabást. | Ingyenes |
| Támogatott üzembehelyezési mechanizmusok | Portál, REST API, sablonok, Azure PowerShell és PARANCSSOR | Portál, REST API, sablonok, PowerShell és parancssori felület. |
Alapszintű, standard és prémium szintű szabályzatok
Az Azure Firewall támogatja az alapszintű, a standard és a prémium szintű szabályzatokat. Az alábbi táblázat összefoglalja a szabályzatok közötti különbséget:
| Házirend típusa | Szolgáltatások támogatása | Tűzfal termékváltozatának támogatása |
|---|---|---|
| Alapszintű szabályzat | NAT-szabályok, hálózati szabályok, alkalmazásszabályok IP-csoportok Fenyegetésfelderítés (riasztások) |
Alap |
| Standard szabályzat | NAT-szabályok, hálózati szabályok, alkalmazásszabályok Egyéni DNS, DNS-proxy IP-csoportok Webkategóriák Fenyegetések felderítése |
Standard vagy Premium |
| Prémium szintű szabályzat | Minden standard funkció támogatása, valamint: TLS-vizsgálat Webkategóriák URL-szűrés IDPS |
Prémium |
Hierarchikus szabályzatok
Az új szabályzatok létrehozhatóak az alapoktól, vagy örökölhetők a meglévő szabályzatokból. Az öröklés lehetővé teszi, hogy a DevOps helyi tűzfalszabályzatokat hozzon létre a szervezet által előírt alapszabályzaton felül.
A nem üres szülőszabályzatokkal létrehozott házirendek a szülőházirend összes szabálygyűjteményét öröklik. A szülőházirendnek és a gyermekházirendnek ugyanabban a régióban kell lennie. A tűzfalszabályzatok régiók közötti tűzfalakkal társíthatók, függetlenül attól, hogy hol tárolják őket.
A szülőházirendtől örökölt hálózati szabálygyűjtemények mindig elsőbbséget kapnak az új szabályzat részeként definiált hálózati szabálygyűjteményekkel szemben. Ugyanez a logika az alkalmazásszabály-gyűjteményekre is vonatkozik. A hálózati szabálygyűjtemények azonban mindig feldolgozásra kerülnek az alkalmazásszabály-gyűjtemények előtt, örökléstől függetlenül.
A fenyegetésfelderítési mód a szülőszabályzattól is öröklődik. A fenyegetésintelligencia-módot másik értékre állíthatja, hogy felülbírálja ezt a viselkedést, de nem kapcsolhatja ki. Csak szigorúbb értékkel lehet felülbírálni. Ha például a szülőházirend csak Riasztás értékre van állítva, ezt a helyi házirendet riasztásra és elutasításra konfigurálhatja.
A Fenyegetésintelligencia módhoz hasonlóan a fenyegetésintelligencia-engedélyezési lista is a szülőszabályzattól öröklődik. A gyermekszabályzat további IP-címeket adhat hozzá az engedélyezési listához.
A NAT-szabálygyűjtemények nem öröklődnek, mert egy adott tűzfalra vonatkoznak.
Öröklés esetén a rendszer automatikusan alkalmazza a szülőházirend módosításait a társított tűzfal gyermekszabályzataira.
Beépített magas rendelkezésre állás
A magas rendelkezésre állás be van építve, ezért nincs szükség konfigurálásra. Bármely régióban létrehozhat egy Azure Firewall Policy-objektumot, és globálisan összekapcsolhatja több Azure Firewall-példánysal ugyanabban az Azure AD-bérlőben. Ha a szabályzatot létrehozó régió leáll, és van egy párosított régiója, az ARM(Azure Resource Manager) objektum metaadatai automatikusan átmennek a másodlagos régióba. A feladatátvétel során, vagy ha a pár nélküli egyrégió sikertelen állapotban marad, nem módosíthatja az Azure Firewall Policy objektumot. A tűzfalszabályzathoz csatolt Azure Firewall-példányok azonban továbbra is működnek. További információ: Régiók közötti replikáció az Azure-ban: Üzletmenet-folytonosság és vészhelyreállítás.
Díjszabás
A szabályzatok számlázása tűzfaltársításokon alapul. A nulla vagy egy tűzfaltársítással rendelkező szabályzatok ingyenesek. A több tűzfaltársítással rendelkező szabályzatok számlázása rögzített díjjal történik. További információkért tekintse meg az Azure Firewall Manager díjszabását.
Következő lépések
- Útmutató az Azure Firewall üzembe helyezéséhez – Oktatóanyag: A felhőhálózat védelme az Azure Firewall Managerrel az Azure Portal használatával
- További információ az Azure hálózati biztonságáról