Gambaran umum kebijakan Azure Firewall Manager
Kebijakan Firewall merupakan metode yang disarankan untuk mengonfigurasi Azure Firewall Anda. Ini adalah sumber daya global yang dapat digunakan di beberapa instans Azure Firewall di Secured Virtual Hubs dan Hub Virtual Networks. Kebijakan bekerja di lintas wilayah dan langganan.
Pembuatan kebijakan dan asosiasi
Kebijakan dapat dibuat dan dikelola dengan berbagai cara, termasuk portal Microsoft Azure, REST API, templat, Azure PowerShell, dan CLI.
Anda juga dapat memigrasikan aturan Klasik yang ada dari Azure Firewall menggunakan portal atau Azure PowerShell untuk membuat kebijakan. Selengkapnya, lihat Cara memigrasi konfigurasi Azure Firewall ke kebijakan Azure Firewall.
Kebijakan dapat dikaitkan dengan satu atau beberapa hub virtual atau VNet. {i>Firewall
Aturan dan kebijakan klasik
Azure Firewall mendukung aturan dan kebijakan Klasik, tetapi kebijakan adalah konfigurasi yang direkomendasikan. Tabel berikut membandingkan kebijakan dan aturan klasik:
Subjek | Kebijakan | Aturan klasik |
---|---|---|
Berisi | NAT, Jaringan, Aturan aplikasi, pengaturan proxy DNS dan DNS khusus, Grup IP, dan pengaturan Intelijen Ancaman (termasuk daftar yang diizinkan), IDPS, Inspeksi TLS, Kategori Web, Pemfilteran URL | Aturan NAT, Jaringan, dan Aplikasi, pengaturan proxy DNS dan DNS khusus, Grup IP, dan pengaturan Intelijen Ancaman (termasuk daftar yang diizinkan) |
Melindungi | Hub virtual dan Microsoft Azure Virtual Network | Hanya Microsoft Azure Virtual Network |
Pengalaman portal | Manajemen pusat menggunakan Azure Firewall Manager | Pengalaman {i>firewall |
Dukungan beberapa {i>firewall | Azure Policy Firewall merupakan sumber daya terpisah yang dapat digunakan di seluruh {i>firewall | Mengekspor dan mengimpor aturan secara manual, atau menggunakan solusi manajemen pihak ketiga |
Harga | Ditagih berdasarkan asosiasi {i>firewallHarga. | Gratis |
Mekanisme penyebaran yang didukung | Portal, REST API, templat, Azure PowerShell, dan CLI | Portal, REST API, templat, Azure PowerShell, dan CLI. |
Kebijakan Dasar, Standar, dan Premium
Azure Firewall mendukung kebijakan Dasar, Standar, dan Premium. Tabel berikut ini meringkas perbedaan antara kebijakan ini:
Jenis kebijakan | Dukungan fitur | Dukungan SKU firewall |
---|---|---|
Kebijakan dasar | Aturan NAT, Aturan aplikasi Grup IP Inteligensi Ancaman (pemberitahuan) |
Dasar |
Kebijakan standar | Aturan NAT, Aturan jaringan, Aturan aplikasi DNS khusus, proxy DNS Grup IP Kategori Web Inteligensi Ancaman |
Standar atau Premium |
Kebijakan premium | Semua dukungan fitur Standar, ditambah: Inspeksi TLS Kategori Web Penyaringan URL IDPS |
Premium |
Kebijakan hierarkis
Kebijakan baru dapat dibuat dari awal atau diwarisi dari kebijakan yang ada. Pewarisan memungkinkan Azure DevOps membuat kebijakan {i>firewall
Kebijakan yang dibuat dengan kebijakan induk tidak kosong mewarisi semua koleksi aturan dari kebijakan induk. Kebijakan induk dan kebijakan anak harus berada di wilayah yang sama. Kebijakan firewall dapat dikaitkan dengan firewall di seluruh wilayah terlepas dari tempat firewall disimpan.
Kumpulan aturan jaringan yang diwariskan dari kebijakan induk selalu diprioritaskan daripada kumpulan aturan jaringan yang didefinisikan sebagai bagian dari kebijakan baru. Logika yang sama juga berlaku untuk koleksi aturan aplikasi. Namun, koleksi aturan jaringan selalu diproses sebelum mengoleksi aturan aplikasi terlepas dari warisan.
Mode Inteligensi Ancaman juga diwariskan dari kebijakan induk. Anda dapat mengatur mode inteligensi ancaman ke nilai yang berbeda untuk mengambil alih perilaku ini, tetapi Anda tidak dapat mematikannya. Anda hanya dapat mengambil alih dengan nilai yang lebih ketat. Misalnya, jika kebijakan induk Anda diatur kePeringatan saja, Anda dapat mengonfigurasi kebijakan lokal ini untukMemperingatkan dan menolak.
Seperti mode Intelijen Ancaman, daftar Intelijen Ancaman diwarisi dari kebijakan induk. Kebijakan anak dapat menambahkan lebih banyak alamat IP ke daftar yang diizinkan.
Koleksi aturan NAT tidak diwariskan karena spesifik untuk {i>firewall
Dengan pewarisan, setiap perubahan pada kebijakan induk secara otomatis diterapkan ke kebijakan anak {i>firewall
Ketersediaan tinggi bawaan
Ketersediaan tinggi dibangun, jadi tidak ada yang perlu Anda konfigurasi. Anda dapat membuat objek Azure Firewall Policy di wilayah mana pun dan menautkannya secara global ke beberapa instans Azure Firewall di bawah penyewa Azure AD yang sama. Jika wilayah tempat Anda membuat Kebijakan tidak berfungsi dan memiliki wilayah berpasangan, metadata objek ARM(Azure Resource Manager) secara otomatis gagal ke wilayah sekunder. Selama failover, atau jika wilayah tunggal tanpa pasangan tetap dalam keadaan gagal, Anda tidak dapat mengubah objek Azure Firewall Policy. Namun, instans Azure Firewall yang ditautkan ke Kebijakan Firewall terus beroperasi. Untuk informasi selengkapnya, lihat Replikasi lintas wilayah di Azure: Kelangsungan bisnis dan pemulihan bencana.
Harga
Tagihan kebijakan berdasarkan asosiasi firewall. Kebijakan dengan asosiasi firewall nol atau satu tidak dikenakan biaya. Tagihan kebijakan dengan beberapa asosiasi firewall memiliki tarif tetap. Untuk informasi selengkapnya, lihat Harga Azure Firewall Manager.
Langkah berikutnya
- Pelajari cara menyebarkan Azure Firewall - Tutorial: Mengamankan jaringan cloud Anda dengan Azure Firewall Manager menggunakan portal Azure
- Pelajari selengkapnya tentang keamanan jaringan Azure