Az Azure Firewall Manager működése
Ebben a leckében a Firewall Manager működését és a használatával elvégezhető feladatokat tárgyaljuk. Azt is megvizsgáljuk, hogyan működnek a tűzfalszabályzatok. Ahogy korábban már említettem, a szabályzat a Firewall Manager alapvető építőeleme. Szabályzatokat hozhat létre, és társíthatja őket az Azure Firewall-példányokhoz biztonságos virtuális központokban vagy központi virtuális hálózatokban.
Az alábbi diagram egy tipikus konfigurációt jelenít meg. Ez magában foglal egy globális rendszergazdát, aki a legfelső szinten hoz létre és társít házirendeket. Ezek a szabályzatok egy biztonságos virtuális központtal és két központi virtuális hálózattal vannak társítva. A helyi rendszergazdák szabályzatokat is konfigurálhatnak és társíthatnak az egyik központi virtuális hálózattal.
Az Azure Firewall-szabályzatok olyan szabályokból és beállításokból állnak, amelyek a védett erőforrások forgalmát szabályozzák. Ebben a leckében a következő tudnivalókat ismerheti meg:
- Azure Firewall-szabályzatok, szabályok és fenyegetésintelligencia-beállítások.
- Szabályfeldolgozás.
- A Firewall Managerrel elvégezhető feladatok.
Mik az Azure Firewall szabályzatszabályai?
Az alábbi táblázat az Azure Firewall szabályzatszabály-gyűjteményeit és beállításait ismerteti.
Szabálygyűjtemény vagy beállítás | Leírás |
---|---|
Fenyegetésfelderítési Gépház | Lehetővé teszi az Azure Firewall-szabályzatok fenyegetésfelderítésen alapuló szűrését, amely potenciálisan rosszindulatú forgalomra figyelmeztet. Azt is lehetővé teszi, hogy megtagadja a forgalmat az IP-címekről és a tartományokba, amelyekről ismert, hogy rosszindulatúak. |
NAT-szabálygyűjtemény | Lehetővé teszi az Azure Firewall célhálózati címfordítási (DNAT) szabályainak konfigurálását. Ezek a szabályok lefordítják és szűrik az Azure-alhálózatokra irányuló bejövő internetes forgalmat. |
Hálózati szabálygyűjtemény | Kezeli a tűzfalon áthaladó nem HTTP/S forgalmat. |
Alkalmazásszabály-gyűjtemény | A tűzfalon áthaladó HTTP/S forgalmat kezeli. |
Először el kell döntenie, hogy mely szabályokat kell kezelnie a forgalom kezeléséhez. Ezután a Firewall Manager használatával hozhatja létre és konfigurálhatja ezeket a szabályokat tartalmazó Azure Firewall-szabályzatokat az alábbi ábrán látható módon.
Szabályok feldolgozása
A NAT-szabály valójában egy útválasztási szabály, amely az Azure-erőforrások nyilvános ip-címéről a magánhálózati IP-címekre irányítja a forgalmat. Amikor egy tűzfal feldolgozza egy szabályzat definiált szabályait, a hálózati és alkalmazásszabályok határozzák meg, hogy engedélyezett-e a forgalom. Az alábbi folyamat bemutatja, hogyan dolgozzák fel ezeket a szabályokat a forgalommal szemben:
A fenyegetésfelderítési szabályok a NAT, a hálózati vagy az alkalmazásszabályok előtt kerülnek feldolgozásra. A szabályok létrehozásakor két viselkedés egyikét konfigurálhatja:
- Riasztás a szabály aktiválásakor (alapértelmezett mód).
- Riasztás és megtagadás a szabály aktiválásakor.
A NAT-szabályok feldolgozása ezután történik, és meghatározza a virtuális hálózatok megadott erőforrásaihoz való bejövő kapcsolatot.
Feljegyzés
Ha talál egyezést, egy implicit megfelelő hálózati szabályt ad hozzá a lefordított forgalom engedélyezéséhez.
- A rendszer a következő lépésben alkalmazza a hálózati szabályokat. Ha egy hálózati szabály megegyezik a forgalommal, a rendszer ezt a szabályt alkalmazza. Nincs más szabály be van jelölve.
- Ha nincs egyező hálózati szabály, és a forgalom HTTP/S, alkalmazásszabályok lesznek alkalmazva.
- Ha egyetlen alkalmazásszabály sem egyezik, a forgalom az infrastruktúraszabály-gyűjteményhez lesz hasonlítva.
- Ha továbbra sem egyezik a forgalommal, a rendszer implicit módon megtagadja a forgalmat.
Feljegyzés
Az infrastruktúraszabály-gyűjtemények az alapértelmezés szerint engedélyezett teljes tartományneveket (FQDN-eket) határozzák meg. Ezek a teljes tartománynevek az Azure-ra vonatkoznak.
A Firewall Manager használata
A Firewall Manager a következőket teszi lehetővé:
- A biztonságos virtuális központokban és a központi virtuális hálózatokban több Azure Firewall-példányra kiterjedő forgalomszűrés szabályainak meghatározása.
- Azure Firewall-szabályzat társítása új vagy meglévő virtuális hálózatokkal. Ez a társítás konzisztens tűzfalszabályzatokat kényszerít ki több központi virtuális hálózaton.
- Azure Firewall-szabályzat vagy biztonsági partnerszolgáltató társítása új vagy meglévő virtuális központokkal. Ez a társítás konzisztens biztonsági és útválasztási szabályzatokat kényszerít több központra.
- Webalkalmazási tűzfalszabályzat társítása alkalmazáskézbesítési platformhoz (Azure Front Door vagy Azure-alkalmazás Gateway).
- Társítsa a virtuális hálózatokat egy DDoS védelmi tervvel.
Az alábbi ábrán egy rendszergazda egy tűzfalszabályzattal rendelkező tűzfalat helyez üzembe egy meglévő virtuális hálózathoz.