Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Firewall nat-szabályokkal, hálózati szabályokkal és alkalmazásszabályokkal konfigurálható klasszikus szabályokkal vagy tűzfalszabályzatokkal. Az Azure Firewall alapértelmezés szerint az összes forgalmat letiltja, amíg manuálisan nem konfigurálja a forgalmat engedélyező szabályokat. A szabályok megszűnnek, ezért a szabályfeldolgozás egyezéskor leáll.
Szabályfeldolgozás klasszikus szabályokkal
A tűzfal szabálytípus szerint dolgozza fel a szabálygyűjteményeket prioritási sorrendben, az alacsonyabb számoktól a magasabb számokig (100 és 65 000 között). A szabálygyűjtemény neve csak betűket, számokat, aláhúzásjeleket, pontokat vagy kötőjeleket tartalmazhat. Betűvel vagy számmal kell kezdődnie, és betűvel, számmal vagy aláhúzásjellel kell végződnie. A név hossza legfeljebb 80 karakter lehet.
Kezdetben 100 lépésben (100, 200, 300 stb.) helyezze el a szabálygyűjtemény prioritási számát, hogy szükség esetén további szabálygyűjteményeket is felvehet.
Szabályfeldolgozás tűzfalszabályzat használatával
A tűzfalszabályzat használatával szabálygyűjteményeken és szabálygyűjteménycsoportokon belül rendszerezheti a szabályokat. A szabálygyűjtemény-csoportok nulla vagy több szabálygyűjteményt tartalmaznak. A szabálygyűjtemények nat, hálózat vagy alkalmazások típusúak. Egyetlen szabálycsoporton belül több szabálygyűjtemény-típust is meghatározhat. Egy szabálygyűjteményben nulla vagy több szabály definiálható. A szabálygyűjtemény szabályainak azonos típusúnak kell lenniük (NAT, Hálózat vagy Alkalmazás).
A rendszer a szabálygyűjteménycsoport prioritása és a szabálygyűjtemény prioritása alapján dolgozza fel a szabályokat. A prioritás bármely 100 (legmagasabb prioritás) és 65 000 (legalacsonyabb prioritás) közötti szám. A rendszer először a legmagasabb prioritású szabálycsoportokat dolgozza fel. Egy szabálygyűjteményi csoportban a rendszer először a legmagasabb prioritású (legalacsonyabb számú) szabálygyűjteményeket dolgozza fel.
Ha szülőszabályzatból örököl tűzfalszabályzatot, a szülőházirend szabálygyűjteményi csoportjai mindig elsőbbséget élveznek a gyermekházirend prioritásától függetlenül.
Megjegyzés
A rendszer mindig a hálózati szabályok után dolgozza fel az alkalmazásszabályokat, és a DNST-szabályok után dolgozza fel a hálózati szabályokat, függetlenül a szabálygyűjteményi csoporttól vagy a szabálygyűjtemény prioritásától és a szabályzatörökléstől.
Összegezve:
- A szülőházirend mindig elsőbbséget élvez a gyermekszabályzattal szemben.
- A rendszer prioritási sorrendben dolgozza fel a szabálygyűjtemény-csoportokat.
- A rendszer prioritási sorrendben dolgozza fel a szabálygyűjteményeket.
- A rendszer feldolgozza a DNST-szabályokat, majd a hálózati szabályokat, majd az alkalmazásszabályokat.
Íme egy példaszabályzat négy szabálygyűjteményi csoporttal. A BaseRCG1 és a BaseRCG2 szülőszabályzatból öröklődik; A ChildRCG1 és a ChildRCG2 a gyermekszabályzathoz tartozik.
Jótanács
Az alábbi táblázatokban használt rövidítések: RCG = szabálygyűjteményi csoport, RC = szabálygyűjtemény. A prioritási számok 100(legmagasabb prioritás) és 65 000 (legalacsonyabb prioritás) között mozognak.
Szabályzatstruktúra:
| szint | Név | Típus | Prioritás | Szabályok | Policy |
|---|---|---|---|---|---|
| Csoport | BaseRCG1 | Szabálygyűjteményi csoport | 200 | 8 | Szülő |
| Beszedés | DNATRC1 | DNAT | 600 | 7 | Szülő |
| Beszedés | DNATRC3 | DNAT | 610 | 3 | Szülő |
| Beszedés | NetworkRC1 | Network | nyolcszáz | 1 | Szülő |
| Csoport | BaseRCG2 | Szabálygyűjteményi csoport | 300 | 3 | Szülő |
| Beszedés | AppRC2 | Application | Ezerkétszáz | 2 | Szülő |
| Beszedés | NetworkRC2 | Network | 1300 | 1 | Szülő |
| Csoport | ChildRCG1 | Szabálygyűjteményi csoport | 300 | 5 | Gyermek |
| Beszedés | ChNetRC1 | Network | 700 | 3 | Gyermek |
| Beszedés | ChAppRC1 | Application | 900 | 2 | Gyermek |
| Csoport | ChildRCG2 | Szabálygyűjteményi csoport | 650 | 9 | Gyermek |
| Beszedés | ChNetRC2 | Network | 1100 | 2 | Gyermek |
| Beszedés | ChAppRC2 | Application | 2000. | 7 | Gyermek |
| Beszedés | ChDNATRC3 | DNAT | 3000 | 2 | Gyermek |
A tűzfal háromszor halad végig az összes szabálycsoporton – szabálytípusonként egyszer, sorrendben: DNAT, majd Hálózat, majd Alkalmazás. Az egyes pass-okon belül prioritási sorrendben dolgozza fel a csoportokat, majd az egyes csoportokon belüli szabálygyűjteményeket prioritási sorrendben. Az alábbi táblázat a példa teljes feldolgozási sorrendjét mutatja be:
Feldolgozási sorrend:
| Lépés | Szabálygyűjtemény | Típus | Szülő RCG |
|---|---|---|---|
| 1 | DNATRC1 | DNAT | BaseRCG1 (200) |
| 2 | DNATRC3 | DNAT | BaseRCG1 (200) |
| 3 | ChDNATRC3 | DNAT | ChildRCG2 (650) |
| 4 | NetworkRC1 | Network | BaseRCG1 (200) |
| 5 | NetworkRC2 | Network | BaseRCG2 (300) |
| 6 | ChNetRC1 | Network | ChildRCG1 (300) |
| 7 | ChNetRC2 | Network | ChildRCG2 (650) |
| 8 | AppRC2 | Application | BaseRCG2 (300) |
| 9 | ChAppRC1 | Application | ChildRCG1 (300) |
| 10 | ChAppRC2 | Application | ChildRCG2 (650) |
A tűzfalszabály-készletekkel kapcsolatos további információkért tekintse meg az Azure Firewall Policy-szabálykészleteket.
Fenyegetésfelderítés
Ha engedélyezi a fenyegetésintelligencia-alapú szűrést, ezek a szabályok elsőbbséget élveznek. Az Azure Firewall mindig először dolgozza fel őket a hálózati és alkalmazásszabályok előtt. A fenyegetésintelligencia-alapú szűrés blokkolhatja a forgalmat, mielőtt az Azure Firewall bármilyen konfigurált szabályt feldolgoz. További információ: Azure Firewall fenyegetésintelligencia-alapú szűrés.
Betörésérzékelő és Megelőző Rendszer (IDPS)
Ha riasztási módban konfigurálja az IDPS-t, az IDPS-motor párhuzamosan működik a szabályfeldolgozási logikával. Riasztásokat generál mind a bejövő, mind a kimenő adatfolyamokhoz az egyező aláírásokra. Az IDPS-aláírások egyezése esetén az Azure Firewall naplóz egy riasztást a tűzfalnaplókban. Mivel azonban az IDPS-motor párhuzamosan működik a szabályfeldolgozó motorral, az alkalmazás vagy a hálózati szabályok által megtagadott vagy engedélyezett forgalom továbbra is létrehozhat egy másik naplóbejegyzést.
Ha riasztási és megtagadási módban konfigurálja az IDPS-t, az IDPS-motor beágyazottan működik, és a szabályfeldolgozó motor után aktiválódik. Ezért mindkét motor riasztásokat generál, és blokkolhatja az egyező folyamatokat.
Az IDPS által végrehajtott munkamenet-megszakítások csendben megszakítják az adatfolyamot. Ezért a rendszer nem küld RST-t TCP-szinten. Mivel az IDPS mindig a hálózati vagy alkalmazásszabály egyeztetése (Engedélyezés vagy megtagadás) után vizsgálja meg a forgalmat, és naplókban van megjelölve, előfordulhat, hogy egy másik Drop üzenet is naplózva lesz, amikor az IDPS úgy dönt, hogy egy aláírás-egyezés miatt megtagadja a munkamenetet.
A TLS-ellenőrzés engedélyezésekor az Azure Firewall a titkosítatlan és a titkosított forgalmat is ellenőrzi.
Implicit visszatérő forgalom támogatása (állapotalapú TCP/UDP)
A tűzfalszabályokat úgy konfigurálhatja, hogy csak egy irányban engedélyezze a forgalmat. Az Azure Firewall például engedélyezheti a helyszíni hálózatról egy Azure-belivirtuális hálózatra irányuló kapcsolatokat, miközben megköveteli, hogy az Azure-beli virtuális hálózatról a helyszínire indított új kapcsolatok le legyenek tiltva. A szabályzat kényszerítéséhez adjon hozzá egy explicit megtagadási szabályt az Azure-beli virtuális hálózatról a helyszíni hálózatra irányuló forgalomhoz.
Az Azure Firewall támogatja ezt a konfigurációt. Az Azure Firewall állapotalapú, így lehetővé teszi egy létrehozott TCP- vagy UDP-kapcsolat (például a helyszíni kapcsolat syn-ACK/ACK-csomagjainak) visszaadott forgalmát akkor is, ha egy explicit Megtagadási szabály létezik fordított irányban. Az explicit Deny szabály továbbra is blokkolja az Azure-beli virtuális hálózatról a helyszínire kezdeményezett új kapcsolódásokat.
Kimenő kapcsolat
Hálózati szabályok és alkalmazásszabályok
Ha hálózati szabályokat és alkalmazásszabályokat konfigurál, az Azure Firewall prioritási sorrendben alkalmazza a hálózati szabályokat az alkalmazásszabályok előtt. A szabályok megszűnnek. Így ha az Azure Firewall talál egyezést egy hálózati szabályban, nem dolgoz fel semmilyen más szabályt. Ha az IDPS-t konfigurálja, az Azure Firewall minden bejárt forgalomon futtatja. Amikor az IDPS talál egy aláírás-egyezést, riasztásokat hozhat létre, vagy blokkolhatja a gyanús forgalmat az IDPS módtól függően.
Az alkalmazásszabályok prioritási sorrendben értékelik ki a csomagot, ha nincs hálózati szabályegyeztetés, és ha a protokoll HTTP, HTTPS vagy MSSQL.
HTTP esetén az Azure Firewall a Host fejléc alapján megfelelő alkalmazásszabályt keres. HTTPS esetén az Azure Firewall csak az SNI-nek megfelelő alkalmazásszabályt keres.
A HTTP és TLS által vizsgált HTTPS esetekben a tűzfal figyelmen kívül hagyja a csomag cél IP-címét, és a Host fejlécéből származó, a DNS által feloldott IP-címet használja. Ha a tényleges TCP-port és a host fejlécben lévő port között eltérés van, a tűzfal elveti a forgalmat. Az Azure DNS vagy a tűzfalon konfigurált egyéni DNS végzi el a névfeloldást.
Megjegyzés
Az Azure Firewall mindig kitölti a HTTP- és HTTPS-protokollokat (TLS-ellenőrzéssel) az eredeti forrás IP-címre beállított XFF (X-Forwarded-For) fejlécmel.
Ha egy alkalmazásszabály TLS-ellenőrzést tartalmaz, a tűzfalszabályok motorja feldolgozza az SNI-t, a Host fejlécet és az URL-t a szabálynak való megfeleléshez.
Ha az Azure Firewall nem talál egyezést az alkalmazásszabályokban, kiértékeli a csomagot az infrastruktúraszabály-gyűjtemény alapján. Ha az Azure Firewall továbbra sem talál egyezést, alapértelmezés szerint tagadja a csomagot.
Infrastruktúraszabály-gyűjtemény
Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. Az infrastruktúraszabály-gyűjteményt az alkalmazásszabályok után és a végleges megtagadási szabály előtt dolgozzák fel.
A beépített infrastruktúraszabály-gyűjtemény a következő szolgáltatásokat tartalmazza:
- Számítási hozzáférés a tárolóplatform lemezképtárához (PIR)
- Felügyelt lemezek állapottárolási hozzáférése
- Azure Diagnostics and Logging (MDS)
Az infrastruktúraszabály-gyűjtemény felülírása
Felülbírálhatja a beépített infrastruktúraszabály-gyűjteményt úgy, hogy létrehoz egy mindent elutasító, utoljára feldolgozott alkalmazásszabály-gyűjteményt. Mindig az infrastruktúraszabály-gyűjtemény feldolgozása előtt történik meg. Az infrastruktúraszabály-gyűjteményben nem szereplő elemek alapértelmezés szerint le lesznek tiltva.
Megjegyzés
A TCP, az UDP, az ICMP vagy bármely IP protokoll hálózati szabályait konfigurálhatja. Bármely Az IP-protokoll tartalmazza az Internet Assigned Numbers Authority (IANA) Protokollszámok dokumentumban meghatározott összes IP-protokollt. Ha explicit módon konfigurál egy célportot, a szabály TCP+UDP-szabályra fordítható. 2020. november 9-e előtt a Any kifejezés a TCP, az UDP vagy az ICMP protokollt jelentette. Lehetséges tehát, hogy a dátum előtt konfigurált egy szabályt a következőkkel: Protocol = Any és destination ports = '*'. Ha nem kívánja engedélyezni a jelenleg definiált IP-protokollokat, módosítsa a szabályt a kívánt protokoll(ok) explicit konfigurálásához (TCP, UDP vagy ICMP).
Bejövő kapcsolat
DNAT-szabályok és hálózati szabályok
A bejövő internet- vagy intranetes kapcsolatok engedélyezéséhez konfigurálja a célhálózati címfordítást (DNAT) az Azure Portal használatával a bejövő internetes vagy intranetes forgalom szűrése az Azure Firewall DNST-ével című cikkben leírtak szerint. A NAT-szabályok elsőbbséget élveznek a hálózati szabályok előtt. Ha az Azure Firewall talál egyezést, az lefordítja a forgalmat a DNAT-szabálynak megfelelően, és engedélyezi azt. Így a forgalom nem esik további feldolgozás alá más hálózati szabályok által. Biztonsági okokból adjon hozzá egy adott internetes forrást a DNST hálózathoz való hozzáférésének engedélyezéséhez, és kerülje a helyettesítő karakterek használatát.
Az Azure Firewall nem alkalmaz alkalmazásszabályokat a bejövő kapcsolatokra. Ha tehát a bejövő HTTP/S forgalmat szeretné szűrni, használja a webalkalmazási tűzfalat (WAF). További információ: Mi az Az Azure Web Application Firewall?
Példák
Az alábbi példák néhány szabálykombináció eredményeit mutatják be.
1. példa
A google.com-hoz való kapcsolat azért engedélyezett, mert egy hálózati szabály egyezik.
Hálózati szabály – Művelet: Engedélyezés
| Név | Protokoll | Forrás típusa | Forrás | Cél típusa | Célcím | Célportok |
|---|---|---|---|---|---|---|
| Web-engedélyezés | TCP | IP-cím | * | IP-cím | * | 80 443 |
Alkalmazásszabály – Művelet: Megtagadás
| Név | Forrás típusa | Forrás | Protokoll:Port | Cél FQDN-ek |
|---|---|---|---|---|
| Google-elutasítás | IP-cím | * | http:80,https:443 | google.com |
Eredmény
A google.com való kapcsolat azért engedélyezett, mert a csomag megfelel az Allow-web hálózati szabálynak. Itt leáll a szabályfeldolgozás.
2. példa
A rendszer megtagadja az SSH-forgalmat, mert egy magasabb prioritású megtagadási hálózati szabálygyűjtemény blokkolja azt.
Hálózati szabálygyűjtemény 1 – Név: Engedélyezési gyűjtemény, Prioritás: 200, Művelet: Engedélyezés
| Név | Protokoll | Forrás típusa | Forrás | Cél típusa | Célcím | Célportok |
|---|---|---|---|---|---|---|
| SSH engedélyezése | TCP | IP-cím | * | IP-cím | * | 22 |
2. hálózati szabálygyűjtemény – Név: Elutasítás-gyűjtemény, Prioritás: 100, Művelet: Elutasítás
| Név | Protokoll | Forrás típusa | Forrás | Cél típusa | Célcím | Célportok |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP-cím | * | IP-cím | * | 22 |
Eredmény
A rendszer megtagadja az SSH-kapcsolatokat, mert egy magasabb prioritású hálózati szabálygyűjtemény blokkolja őket. A szabályfeldolgozás ezen a ponton leáll.
Szabálymódosítások
Ha módosít egy szabályt, hogy megtagadja a korábban engedélyezett forgalmat, az Azure Firewall elvet minden releváns meglévő munkamenetet.
Háromirányú kézfogás viselkedése
Állapotalapú szolgáltatásként az Azure Firewall háromirányú TCP-kézfogást hajt végre az engedélyezett forgalomhoz egy forrástól a célig. Például: VNet-A–VNet-B.
A VNet-A és VNet-B közötti engedélyezési szabály létrehozása nem jelenti azt, hogy az újonnan kezdeményezett kapcsolatok VNet-B és VNet-A között engedélyezettek.
Ennek eredményeképpen nem kell explicit megtagadási szabályt létrehoznia a VNet-B és a VNet-A között.