Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kebijakan Firewall merupakan metode yang disarankan untuk mengonfigurasi Azure Firewall Anda. Ini adalah sumber daya global yang dapat digunakan di beberapa instans Azure Firewall di Secured Virtual Hubs dan Hub Virtual Networks. Kebijakan bekerja di lintas wilayah dan langganan.
Pembuatan kebijakan dan asosiasi
Kebijakan dapat dibuat dan dikelola dengan beberapa cara, termasuk portal Azure, REST API, templat, Azure PowerShell, CLI, dan Terraform.
Anda juga dapat memigrasikan aturan Klasik yang ada dari Azure Firewall menggunakan portal atau Azure PowerShell untuk membuat kebijakan. Selengkapnya, lihat Cara memigrasi konfigurasi Azure Firewall ke kebijakan Azure Firewall.
Kebijakan dapat dikaitkan dengan satu atau beberapa firewall yang diterapkan di Virtual WAN (menciptakan Hub Virtual Aman) atau Jaringan Virtual (menciptakan Hub Jaringan Virtual). Firewall dapat berada di wilayah atau langganan apa pun yang ditautkan ke akun Anda.
Aturan dan kebijakan klasik
Azure Firewall mendukung aturan dan kebijakan Klasik, tetapi kebijakan adalah konfigurasi yang direkomendasikan. Tabel berikut membandingkan kebijakan dan aturan klasik:
| Subject | Policy | Aturan Tradisional |
|---|---|---|
| Contains | NAT, Jaringan, Aturan aplikasi, pengaturan proxy DNS dan DNS khusus, Grup IP, dan pengaturan Intelijen Ancaman (termasuk daftar yang diizinkan), IDPS, Inspeksi TLS, Kategori Web, Pemfilteran URL | Aturan NAT, Jaringan, dan Aplikasi, pengaturan proxy DNS dan DNS khusus, Grup IP, dan pengaturan Intelijen Ancaman (termasuk daftar yang diizinkan) |
| Protects | Virtual Hub (VWAN) dan Virtual Jaringan | Hanya Microsoft Azure Virtual Network |
| Pengalaman portal | Manajemen pusat menggunakan Azure Firewall Manager | Pengalaman {i>firewall |
| Dukungan beberapa {i>firewall | Azure Policy Firewall merupakan sumber daya terpisah yang dapat digunakan di seluruh {i>firewall | Mengekspor dan mengimpor aturan secara manual, atau menggunakan solusi manajemen pihak ketiga |
| Pricing | Ditagih berdasarkan asosiasi {i>firewall |
Free |
| Mekanisme penyebaran yang didukung | Portal, REST API, templat, Azure PowerShell, dan CLI | Portal, REST API, templat, Azure PowerShell, dan CLI. |
Kebijakan Dasar, Standar, dan Premium
Azure Firewall mendukung kebijakan Dasar, Standar, dan Premium. Tabel berikut ini meringkas perbedaan antara kebijakan ini:
| Jenis kebijakan | Dukungan fitur | Dukungan SKU firewall |
|---|---|---|
| Kebijakan dasar | Aturan NAT, Aturan jaringan, Aturan aplikasi Grup IP Inteligensi Ancaman (pemberitahuan) |
Basic |
| Kebijakan standar | Aturan NAT, Aturan jaringan, Aturan aplikasi DNS khusus, proxy DNS Grup IP Kategori Web Inteligensi Ancaman |
Standar atau Premium |
| Kebijakan premium | Semua dukungan fitur Standar, ditambah: Inspeksi TLS Kategori Web Pemfilteran URL IDPS |
Premium |
Kebijakan hierarkis
Kebijakan firewall baru dapat dibuat dari awal atau diwarisi dari kebijakan yang ada. Pewarisan memungkinkan DevOps untuk menentukan kebijakan firewall lokal di atas kebijakan dasar yang diamanatkan organisasi.
Ketika kebijakan baru dibuat dengan kebijakan induk yang tidak kosong, kebijakan tersebut mewarisi semua kumpulan aturan dari induk. Kebijakan induk dan turunan harus berada di wilayah yang sama. Namun, kebijakan firewall, terlepas dari tempatnya disimpan, dapat dikaitkan dengan firewall di wilayah mana pun.
Pewarisan aturan
Kumpulan aturan jaringan yang diwariskan dari kebijakan induk selalu diprioritaskan daripada kumpulan aturan jaringan yang didefinisikan sebagai bagian dari kebijakan baru. Logika yang sama juga berlaku untuk koleksi aturan aplikasi. Terlepas dari pewarisan, kumpulan aturan jaringan diproses sebelum pengumpulan aturan aplikasi.
Kumpulan aturan NAT tidak diwariskan, karena khusus untuk firewall individual. Jika Anda ingin menggunakan aturan NAT, Anda harus menentukannya dalam kebijakan anak.
Mode Inteligensi Ancaman dan pewarisan daftar izin
Mode Inteligensi Ancaman juga diwariskan dari kebijakan induk. Meskipun Anda dapat mengambil alih pengaturan ini dalam kebijakan anak, pengaturan tersebut harus dengan mode yang lebih ketat - Anda tidak dapat menonaktifkannya. Misalnya, jika kebijakan induk Anda diatur ke Pemberitahuan saja, kebijakan anak dapat diatur ke Pemberitahuan dan tolak, tetapi tidak ke mode yang kurang ketat.
Demikian pula, daftar izin Inteligensi Ancaman diwariskan dari kebijakan induk, dan kebijakan turunan dapat menambahkan alamat IP tambahan ke daftar ini.
Dengan pewarisan, setiap perubahan pada kebijakan induk secara otomatis diterapkan ke kebijakan anak {i>firewall
Ketersediaan tinggi bawaan
Ketersediaan tinggi dibangun, jadi tidak ada yang perlu Anda konfigurasi. Anda dapat membuat objek Azure Firewall Policy di wilayah mana pun dan menautkannya secara global ke beberapa instans Azure Firewall di bawah penyewa ID Entra yang sama. Jika wilayah tempat Anda membuat Kebijakan tidak berfungsi dan memiliki wilayah berpasangan, metadata objek ARM(Azure Resource Manager) secara otomatis gagal ke wilayah sekunder. Selama failover, atau jika wilayah tunggal tanpa pasangan tetap dalam keadaan gagal, Anda tidak dapat mengubah objek Azure Firewall Policy. Namun, instans Azure Firewall yang ditautkan ke Kebijakan Firewall terus beroperasi. Untuk informasi selengkapnya, lihat Replikasi lintas wilayah di Azure: Kelangsungan bisnis dan pemulihan bencana.
Pricing
Tagihan kebijakan berdasarkan asosiasi firewall. Kebijakan dengan asosiasi firewall nol atau satu tidak dikenakan biaya. Tagihan kebijakan dengan beberapa asosiasi firewall memiliki tarif tetap. Untuk informasi selengkapnya, lihat Harga Azure Firewall Manager.
Langkah selanjutnya
- Pelajari cara menyebarkan Azure Firewall - Tutorial: Mengamankan jaringan cloud Anda dengan Azure Firewall Manager menggunakan portal Azure
- Pelajari selengkapnya tentang keamanan jaringan Azure