Bagikan melalui


Seperangkat aturan Kebijakan Azure Firewall

Kebijakan Firewall adalah sumber daya tingkat atas yang berisi pengaturan keamanan dan operasional untuk Azure Firewall. Anda dapat menggunakan Kebijakan Firewall untuk mengelola seperangkat aturan yang digunakan Azure Firewall untuk memfilter lalu lintas. Kebijakan firewall mengatur, memprioritaskan, dan memproses set aturan berdasarkan hierarki dengan komponen berikut: kelompok kumpulan aturan, kumpulan aturan, dan aturan.

Hierarki seperangkat aturan Azure Policy

Grup kumpulan aturan

Kelompok kumpulan aturan digunakan untuk mengelompokkan koleksi aturan. Mereka adalah unit pertama yang diproses firewall, dan mengikuti urutan prioritas berdasarkan nilai. Ada tiga kelompok pengumpulan aturan default, dan nilai prioritasnya diatur berdasarkan desain. Kelompok tersebut diproses dalam urutan berikut:

Nama grup kumpulan aturan Prioritas
Grup kumpulan aturan DNAT (Destination Network Address Translation) default 100
Grup kumpulan aturan Jaringan Default 200
Grup kumpulan aturan Aplikasi Default 300

Meskipun tidak dapat menghapus grup kumpulan aturan default atau memodifikasi nilai prioritasnya, Anda dapat memanipulasi urutan pemrosesannya dengan cara yang berbeda. Jika perlu menentukan urutan prioritas yang berbeda dari desain default, Anda dapat membuat grup kumpulan aturan khusus dengan nilai prioritas yang diinginkan. Dalam skenario ini, Anda tidak menggunakan grup kumpulan aturan default sama sekali dan hanya menggunakan yang dibuat untuk menyesuaikan logika pemrosesan.

Kelompok pengumpulan aturan berisi satu atau beberapa koleksi aturan, yang bisa berupa DNAT tipe, jaringan, atau aplikasi. Misalnya, Anda dapat mengelompokkan aturan milik beban kerja yang sama atau virtual dalam grup kumpulan aturan.

Untuk batas ukuran grup kumpulan aturan, lihat Batas, kuota, dan batasan langganan dan layanan Azure.

Kumpulan aturan

Kumpulan aturan milik kelompok pengumpulan aturan, dan berisi satu atau beberapa aturan. Kumpulan aturan adalah unit kedua yang diproses oleh firewall dan mengikuti urutan prioritas berdasarkan nilai. Kumpulan aturan harus memiliki tindakan yang ditentukan (memungkinkan atau menolak) dan nilai prioritas. Tindakan yang ditetapkan berlaku untuk semua aturan dalam kumpulan aturan. Nilai prioritas menentukan urutan kumpulan aturan diproses.

Terdapat tiga jenis pengumpulan aturan:

  • DNAT
  • Jaringan
  • Aplikasi

Jenis aturan harus cocok dengan kategori kumpulan aturan induknya. Misalnya, aturan DNAT hanya dapat menjadi bagian dari kumpulan aturan DNAT.

Aturan

Aturan milik kumpulan aturan, dan menentukan lalu lintas mana yang diizinkan atau ditolak di jaringan Anda. Mereka adalah unit ketiga yang diproses firewall dan tidak mengikuti urutan prioritas berdasarkan nilai. Logika pemrosesan untuk aturan mengikuti pendekatan atas-bawah. Firewall menggunakan aturan yang ditentukan untuk mengevaluasi semua lalu lintas yang melewati firewall untuk menentukan apakah cocok dengan kondisi izinkan atau tolak. Jika tidak ada aturan yang memungkinkan lalu lintas, maka lalu lintas ditolak secara default.

Pengumpulan aturan infrastruktur bawaan kami memproses lalu lintas untuk aturan aplikasi sebelum menolaknya secara default.

Masuk vs. keluar

Aturan firewall masuk melindungi jaringan Anda dari ancaman yang berasal dari luar jaringan Anda (lalu lintas yang bersumber dari Internet) dan mencoba menyusup ke jaringan Anda secara inward.

Aturan firewall keluar melindungi dari lalu lintas jahat yang berasal dari internal (lalu lintas yang bersumber dari alamat IP privat dalam Azure) dan melakukan perjalanan keluar. Ini biasanya lalu lintas dari dalam sumber daya Azure yang dialihkan melalui Firewall sebelum mencapai tujuan.

Jenis aturan

Ada tiga jenis aturan:

  • DNAT
  • Jaringan
  • Aplikasi

Aturan DNAT

Aturan DNAT memungkinkan atau menolak lalu lintas masuk melalui satu atau beberapa alamat IP publik firewall. Anda dapat menggunakan aturan DNAT saat ingin alamat IP publik diterjemahkan ke dalam alamat IP pribadi. Alamat IP publik Azure Firewall dapat digunakan untuk mendengarkan lalu lintas masuk dari Internet, menyaring lalu lintas, dan menerjemahkan lalu lintas ini ke sumber daya internal di Azure.

Aturan jaringan

Aturan jaringan memungkinkan atau menolak lalu lintas masuk, keluar, dan timur-barat berdasarkan lapisan jaringan (L3) dan lapisan transportasi (L4).
Anda dapat menggunakan aturan jaringan saat ingin memfilter lalu lintas berdasarkan alamat IP, port apa pun, dan protokol apa pun.

Aturan aplikasi

Aturan aplikasi memungkinkan atau menolak lalu lintas keluar dan timur-barat berdasarkan lapisan aplikasi (L7). Anda dapat menggunakan aturan aplikasi saat ingin memfilter lalu lintas berdasarkan nama domain yang sepenuhnya memenuhi syarat (FQDN), URL, dan protokol HTTP/HTTPS.

Langkah berikutnya