Megosztás a következőn keresztül:


Az Azure Firewall Manager szabályzatának áttekintése

Az Azure Firewall konfigurálásához ajánlott tűzfalszabályzat. Ez egy globális erőforrás, amely több Azure Firewall-példányon is használható a biztonságos virtuális központokban és a központi virtuális hálózatokban. A szabályzatok régiók és előfizetések között működnek.

Azure Firewall Manager-szabályzat

Szabályzat létrehozása és társítás

A szabályzatok többféle módon hozhatók létre és kezelhetők, például az Azure Portalon, a REST API-ban, a sablonokban, az Azure PowerShellben, a parancssori felületen és a Terraformban.

A meglévő klasszikus szabályokat az Azure Firewallról is migrálhatja a portál vagy az Azure PowerShell használatával szabályzatok létrehozásához. További információ: Azure Firewall-konfigurációk migrálása az Azure Firewall-szabályzatba.

A szabályzatok társíthatók egy vagy több virtuális központhoz vagy virtuális hálózathoz. A tűzfal a fiókjához és bármely régióhoz társított előfizetésben lehet.

Klasszikus szabályok és szabályzatok

Az Azure Firewall támogatja a klasszikus szabályokat és szabályzatokat is, de a szabályzatok az ajánlott konfigurációk. Az alábbi táblázat a szabályzatokat és a klasszikus szabályokat hasonlítja össze:

Tárgy Szabályzat Klasszikus szabályok
Contains NAT, hálózat, alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát), IDPS, TLS-ellenőrzés, webkategóriák, URL-szűrés NAT-, hálózati és alkalmazásszabályok, egyéni DNS- és DNS-proxybeállítások, IP-csoportok és fenyegetésfelderítési beállítások (beleértve az engedélyezési listát)
Védi Virtuális központok és virtuális hálózatok Csak virtuális hálózatok
Portal-felület Központi felügyelet a Firewall Managerrel Önálló tűzfalélmény
Több tűzfal támogatása A tűzfalszabályzat egy különálló erőforrás, amely tűzfalakon keresztül használható Szabályok manuális exportálása és importálása, vagy külső felügyeleti megoldások használata
Díjszabás Számlázás tűzfaltársítás alapján. Lásd a díjszabást. Ingyenes
Támogatott üzembehelyezési mechanizmusok Portál, REST API, sablonok, Azure PowerShell és PARANCSSOR Portál, REST API, sablonok, PowerShell és parancssori felület.

Alapszintű, standard és prémium szintű szabályzatok

Az Azure Firewall támogatja az alapszintű, a standard és a prémium szintű szabályzatokat. Az alábbi táblázat összefoglalja a szabályzatok közötti különbséget:

Házirend típusa Szolgáltatások támogatása Tűzfal termékváltozatának támogatása
Alapszintű szabályzat NAT-szabályok, hálózati szabályok, alkalmazásszabályok
IP-csoportok
Fenyegetésfelderítés (riasztások)
Alap
Standard szabályzat NAT-szabályok, hálózati szabályok, alkalmazásszabályok
Egyéni DNS, DNS-proxy
IP-csoportok
Webkategóriák
Fenyegetések felderítése
Standard vagy Premium
Prémium szintű szabályzat Minden standard funkció támogatása, valamint:

TLS-vizsgálat
Webkategóriák
URL-szűrés
IDPS
Prémium

Hierarchikus szabályzatok

Az új szabályzatok létrehozhatóak az alapoktól, vagy örökölhetők a meglévő szabályzatokból. Az öröklés lehetővé teszi, hogy a DevOps helyi tűzfalszabályzatokat hozzon létre a szervezet által előírt alapszabályzaton felül.

A nem üres szülőszabályzatokkal létrehozott házirendek a szülőházirend összes szabálygyűjteményét öröklik. A szülőházirendnek és a gyermekházirendnek ugyanabban a régióban kell lennie. A tűzfalszabályzatok régiók közötti tűzfalakkal társíthatók, függetlenül attól, hogy hol tárolják őket.

A szülőházirendtől örökölt hálózati szabálygyűjtemények mindig elsőbbséget kapnak az új szabályzat részeként definiált hálózati szabálygyűjteményekkel szemben. Ugyanez a logika az alkalmazásszabály-gyűjteményekre is vonatkozik. A hálózati szabálygyűjtemények azonban mindig feldolgozásra kerülnek az alkalmazásszabály-gyűjtemények előtt, örökléstől függetlenül.

A fenyegetésfelderítési mód a szülőszabályzattól is öröklődik. A fenyegetésintelligencia-módot másik értékre állíthatja, hogy felülbírálja ezt a viselkedést, de nem kapcsolhatja ki. Csak szigorúbb értékkel lehet felülbírálni. Ha például a szülőházirend csak Riasztás értékre van állítva, ezt a helyi házirendet riasztásra és elutasításra konfigurálhatja.

A Fenyegetésintelligencia módhoz hasonlóan a fenyegetésintelligencia-engedélyezési lista is a szülőszabályzattól öröklődik. A gyermekszabályzat további IP-címeket adhat hozzá az engedélyezési listához.

A NAT-szabálygyűjtemények nem öröklődnek, mert egy adott tűzfalra vonatkoznak.

Öröklés esetén a rendszer automatikusan alkalmazza a szülőházirend módosításait a társított tűzfal gyermekszabályzataira.

Beépített magas rendelkezésre állás

A magas rendelkezésre állás be van építve, ezért nincs szükség konfigurálásra. Bármely régióban létrehozhat egy Azure Firewall Policy-objektumot, és globálisan összekapcsolhatja több Azure Firewall-példánysal ugyanabban az Azure AD-bérlőben. Ha a szabályzatot létrehozó régió leáll, és van egy párosított régiója, az ARM(Azure Resource Manager) objektum metaadatai automatikusan átmennek a másodlagos régióba. A feladatátvétel során, vagy ha a pár nélküli egyrégió sikertelen állapotban marad, nem módosíthatja az Azure Firewall Policy objektumot. A tűzfalszabályzathoz csatolt Azure Firewall-példányok azonban továbbra is működnek. További információ: Régiók közötti replikáció az Azure-ban: Üzletmenet-folytonosság és vészhelyreállítás.

Díjszabás

A szabályzatok számlázása tűzfaltársításokon alapul. A nulla vagy egy tűzfaltársítással rendelkező szabályzatok ingyenesek. A több tűzfaltársítással rendelkező szabályzatok számlázása rögzített díjjal történik. További információkért tekintse meg az Azure Firewall Manager díjszabását.

Következő lépések