Az Azure Firewall Manager működése

  • 6 perc

Ebben a leckében a Firewall Manager működését és a használatával elvégezhető feladatokat tárgyaljuk. Azt is megvizsgáljuk, hogyan működnek a tűzfalszabályzatok. Ahogy korábban már említettem, a szabályzat a Firewall Manager alapvető építőeleme. Szabályzatokat hozhat létre, és társíthatja őket az Azure Firewall-példányokhoz biztonságos virtuális központokban vagy központi virtuális hálózatokban.

Az alábbi diagram egy tipikus konfigurációt jelenít meg. Ez magában foglal egy globális rendszergazdát, aki a legfelső szinten hoz létre és társít házirendeket. Ezek a szabályzatok egy biztonságos virtuális központtal és két központi virtuális hálózattal vannak társítva. A helyi rendszergazdák szabályzatokat is konfigurálhatnak és társíthatnak az egyik központi virtuális hálózattal.

A typical Firewall Manager configuration, with both a global and local admin who are creating and associating properties as previously described.

Az Azure Firewall-szabályzatok olyan szabályokból és beállításokból állnak, amelyek a védett erőforrások forgalmát szabályozzák. Ebben a leckében a következő tudnivalókat ismerheti meg:

  • Azure Firewall-szabályzatok, szabályok és fenyegetésintelligencia-beállítások.
  • Szabályfeldolgozás.
  • A Firewall Managerrel elvégezhető feladatok.

Mik az Azure Firewall szabályzatszabályai?

Az alábbi táblázat az Azure Firewall szabályzatszabály-gyűjteményeit és beállításait ismerteti.

Szabálygyűjtemény vagy beállítás Leírás
Fenyegetésfelderítési Gépház Lehetővé teszi az Azure Firewall-szabályzatok fenyegetésfelderítésen alapuló szűrését, amely potenciálisan rosszindulatú forgalomra figyelmeztet. Azt is lehetővé teszi, hogy megtagadja a forgalmat az IP-címekről és a tartományokba, amelyekről ismert, hogy rosszindulatúak.
NAT-szabálygyűjtemény Lehetővé teszi az Azure Firewall célhálózati címfordítási (DNAT) szabályainak konfigurálását. Ezek a szabályok lefordítják és szűrik az Azure-alhálózatokra irányuló bejövő internetes forgalmat.
Hálózati szabálygyűjtemény Kezeli a tűzfalon áthaladó nem HTTP/S forgalmat.
Alkalmazásszabály-gyűjtemény A tűzfalon áthaladó HTTP/S forgalmat kezeli.

Először el kell döntenie, hogy mely szabályokat kell kezelnie a forgalom kezeléséhez. Ezután a Firewall Manager használatával hozhatja létre és konfigurálhatja ezeket a szabályokat tartalmazó Azure Firewall-szabályzatokat az alábbi ábrán látható módon.

Screenshot of the Threat Intelligence blade in the Azure portal within a Firewall Policy.

Szabályok feldolgozása

A NAT-szabály valójában egy útválasztási szabály, amely az Azure-erőforrások nyilvános ip-címéről a magánhálózati IP-címekre irányítja a forgalmat. Amikor egy tűzfal feldolgozza egy szabályzat definiált szabályait, a hálózati és alkalmazásszabályok határozzák meg, hogy engedélyezett-e a forgalom. Az alábbi folyamat bemutatja, hogyan dolgozzák fel ezeket a szabályokat a forgalommal szemben:

  1. A fenyegetésfelderítési szabályok a NAT, a hálózati vagy az alkalmazásszabályok előtt kerülnek feldolgozásra. A szabályok létrehozásakor két viselkedés egyikét konfigurálhatja:

    • Riasztás a szabály aktiválásakor (alapértelmezett mód).
    • Riasztás és megtagadás a szabály aktiválásakor.

  2. A NAT-szabályok feldolgozása ezután történik, és meghatározza a virtuális hálózatok megadott erőforrásaihoz való bejövő kapcsolatot.

Feljegyzés

Ha talál egyezést, egy implicit megfelelő hálózati szabályt ad hozzá a lefordított forgalom engedélyezéséhez.

  1. A rendszer a következő lépésben alkalmazza a hálózati szabályokat. Ha egy hálózati szabály megegyezik a forgalommal, a rendszer ezt a szabályt alkalmazza. Nincs más szabály be van jelölve.
  2. Ha nincs egyező hálózati szabály, és a forgalom HTTP/S, alkalmazásszabályok lesznek alkalmazva.
  3. Ha egyetlen alkalmazásszabály sem egyezik, a forgalom az infrastruktúraszabály-gyűjteményhez lesz hasonlítva.
  4. Ha továbbra sem egyezik a forgalommal, a rendszer implicit módon megtagadja a forgalmat.

Feljegyzés

Az infrastruktúraszabály-gyűjtemények az alapértelmezés szerint engedélyezett teljes tartományneveket (FQDN-eket) határozzák meg. Ezek a teljes tartománynevek az Azure-ra vonatkoznak.

A Firewall Manager használata

A Firewall Manager a következőket teszi lehetővé:

  • A biztonságos virtuális központokban és a központi virtuális hálózatokban több Azure Firewall-példányra kiterjedő forgalomszűrés szabályainak meghatározása.
  • Azure Firewall-szabályzat társítása új vagy meglévő virtuális hálózatokkal. Ez a társítás konzisztens tűzfalszabályzatokat kényszerít ki több központi virtuális hálózaton.
  • Azure Firewall-szabályzat vagy biztonsági partnerszolgáltató társítása új vagy meglévő virtuális központokkal. Ez a társítás konzisztens biztonsági és útválasztási szabályzatokat kényszerít több központra.
  • Webalkalmazási tűzfalszabályzat társítása alkalmazáskézbesítési platformhoz (Azure Front Door vagy Azure-alkalmazás Gateway).
  • Társítsa a virtuális hálózatokat egy DDoS védelmi tervvel.

Az alábbi ábrán egy rendszergazda egy tűzfalszabályzattal rendelkező tűzfalat helyez üzembe egy meglévő virtuális hálózathoz.

Screenshot of the Virtual networks blade in Firewall Manager. The administrator selected an existing virtual network.