Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat mengonfigurasi Azure Firewall dengan aturan NAT, aturan jaringan, dan aturan aplikasi dengan menggunakan aturan klasik atau Kebijakan Firewall. Secara default, Azure Firewall menolak semua lalu lintas hingga Anda mengonfigurasi aturan secara manual untuk mengizinkan lalu lintas. Aturan bersifat mengakhiri, sehingga pemrosesan aturan berhenti jika ada kecocokan.
Pemrosesan aturan dengan menggunakan aturan klasik
Firewall memproses kumpulan aturan dalam urutan prioritas menurut jenis aturan, dari angka yang lebih rendah ke angka yang lebih tinggi (100 hingga 65.000). Nama kumpulan aturan hanya boleh berisi huruf, angka, garis bawah, titik, atau tanda hubung. Nama harus dimulai dengan huruf atau angka dan diakhiri dengan huruf, angka, atau garis bawah. Panjang nama maksimal adalah 80 karakter.
Awalnya, berikan jarak nomor prioritas kumpulan aturan Anda dalam kenaikan 100 (100, 200, 300, dan sebagainya) sehingga Anda memiliki ruang untuk menambahkan lebih banyak kumpulan aturan jika diperlukan.
Pemrosesan aturan dengan menggunakan Kebijakan Firewall
Dengan menggunakan Kebijakan Firewall, Anda mengatur aturan di dalam kumpulan aturan dan grup kumpulan aturan. Grup kumpulan aturan berisi nol atau lebih kumpulan aturan. Kumpulan aturan adalah jenis NAT, Jaringan, atau Aplikasi. Anda dapat menentukan beberapa jenis kumpulan aturan dalam satu grup aturan. Anda dapat menentukan nol atau lebih aturan dalam kumpulan aturan. Aturan dalam kumpulan aturan harus berjenis yang sama (NAT, Jaringan, atau Aplikasi).
Sistem memproses aturan berdasarkan prioritas grup kumpulan aturan dan prioritas pengumpulan aturan. Prioritas adalah angka antara 100 (prioritas tertinggi) hingga 65.000 (prioritas terendah). Sistem memproses grup kumpulan aturan prioritas tertinggi terlebih dahulu. Di dalam grup kumpulan aturan, sistem memproses kumpulan aturan dengan prioritas tertinggi (angka terendah) terlebih dahulu.
Jika Anda mewarisi Kebijakan Firewall dari kebijakan induk, grup pengumpulan aturan dalam kebijakan induk selalu diutamakan terlepas dari prioritas kebijakan anak.
Catatan
Sistem selalu memproses aturan aplikasi setelah aturan jaringan, dan memproses aturan jaringan setelah aturan DNAT terlepas dari grup pengumpulan aturan atau prioritas pengumpulan aturan dan pewarisan kebijakan.
Untuk meringkas:
- Kebijakan induk selalu diutamakan daripada kebijakan anak.
- Sistem memproses grup kumpulan aturan dalam urutan prioritas.
- Sistem memproses kumpulan aturan dalam urutan prioritas.
- Sistem memproses aturan DNAT, lalu aturan jaringan, lalu aturan aplikasi.
Berikut adalah contoh kebijakan dengan empat grup kumpulan aturan. BaseRCG1 dan BaseRCG2 diwarisi dari kebijakan induk; ChildRCG1 dan ChildRCG2 termasuk dalam kebijakan anak.
Petunjuk / Saran
Singkatan yang digunakan dalam tabel ini: RCG = grup kumpulan aturan, RC = kumpulan aturan. Angka prioritas berkisar antara 100 (prioritas tertinggi) hingga 65.000 (prioritas terendah).
Struktur kebijakan:
| Tingkat | Nama | Tipe | Prioritas | Aturan | Policy |
|---|---|---|---|---|---|
| Kelompok | BaseRCG1 | Grup koleksi aturan | 200 | 8 | Parent |
| Koleksi | DNATRC1 | DNAT | 600 | 7 | Parent |
| Koleksi | DNATRC3 | DNAT | 610 | 3 | Parent |
| Koleksi | NetworkRC1 | Jaringan | delapan ratus | 1 | Parent |
| Kelompok | BaseRCG2 | Grup koleksi aturan | 300 | 3 | Parent |
| Koleksi | AppRC2 | Application | 1.200 | 2 | Parent |
| Koleksi | NetworkRC2 | Jaringan | 1300 | 1 | Parent |
| Kelompok | ChildRCG1 | Grup koleksi aturan | 300 | 5 | Anak |
| Koleksi | ChNetRC1 | Jaringan | tujuh ratus | 3 | Anak |
| Koleksi | ChAppRC1 | Application | 900 | 2 | Anak |
| Kelompok | ChildRCG2 | Grup koleksi aturan | 650 | 9 | Anak |
| Koleksi | ChNetRC2 | Jaringan | 1100 | 2 | Anak |
| Koleksi | ChAppRC2 | Application | 2000 | 7 | Anak |
| Koleksi | ChDNATRC3 | DNAT | 3000 | 2 | Anak |
Firewall melakukan iterasi melalui semua grup kumpulan aturan tiga kali — sekali per jenis aturan secara berurutan: DNAT, lalu Jaringan, lalu Aplikasi. Dalam setiap pass, grup diproses dalam urutan prioritas, lalu kumpulan aturan dalam setiap grup dalam urutan prioritas. Tabel berikut ini memperlihatkan urutan pemrosesan lengkap untuk contoh ini:
Urutan pemrosesan:
| Step | Kumpulan aturan | Tipe | RCG Induk |
|---|---|---|---|
| 1 | DNATRC1 | DNAT | BaseRCG1 (200) |
| 2 | DNATRC3 | DNAT | BaseRCG1 (200) |
| 3 | ChDNATRC3 | DNAT | ChildRCG2 (650) |
| 4 | NetworkRC1 | Jaringan | BaseRCG1 (200) |
| 5 | NetworkRC2 | Jaringan | BaseRCG2 (300) |
| 6 | ChNetRC1 | Jaringan | ChildRCG1 (300) |
| 7 | ChNetRC2 | Jaringan | ChildRCG2 (650) |
| 8 | AppRC2 | Application | BaseRCG2 (300) |
| 9 | ChAppRC1 | Application | ChildRCG1 (300) |
| 10 | ChAppRC2 | Application | ChildRCG2 (650) |
Untuk informasi selengkapnya tentang kumpulan aturan Kebijakan Firewall, lihat kumpulan aturan Kebijakan Azure Firewall.
Inteligensi ancaman
Jika Anda mengaktifkan pemfilteran berbasis inteligensi ancaman, aturan tersebut memiliki prioritas tertinggi. Azure Firewall selalu memprosesnya terlebih dahulu, sebelum aturan jaringan dan aplikasi. Pemfilteran berbasis inteligensi ancaman dapat memblokir lalu lintas sebelum Azure Firewall memproses aturan yang dikonfigurasi. Untuk informasi selengkapnya, lihat Pemfilteran berbasis inteligensi ancaman Azure Firewall.
Sistem Deteksi dan Pencegahan Intrusi (IDPS)
Saat Anda mengonfigurasi IDPS dalam mode Pemberitahuan , mesin IDPS berfungsi secara paralel dengan logika pemrosesan aturan. Ini menghasilkan pemberitahuan tentang tanda tangan yang cocok untuk alur masuk dan keluar. Untuk kecocokan tanda tangan IDPS, Azure Firewall mencatat pemberitahuan di log firewall. Namun, karena mesin IDPS berfungsi secara paralel dengan mesin pemrosesan aturan, lalu lintas yang ditolak atau diizinkan oleh aturan aplikasi atau jaringan mungkin masih menghasilkan entri log lain.
Saat Anda mengonfigurasi IDPS dalam mode Pemberitahuan dan Tolak, mesin IDPS berfungsi secara langsung dan diaktifkan setelah mesin pemrosesan aturan. Jadi kedua mesin menghasilkan peringatan dan mungkin memblokir aliran yang cocok.
Sesi menjatuhkan bahwa IDPS melakukan blokir aliran secara diam-diam. Jadi tidak ada RST yang dikirim pada level TCP. Karena IDPS selalu memeriksa lalu lintas setelah aturan jaringan atau aplikasi dicocokkan (Izinkan atau Tolak) dan ditandai dalam log, pesan Drop lain mungkin dicatat ketika IDPS memutuskan untuk menolak sesi karena kecocokan tanda tangan.
Saat Anda mengaktifkan inspeksi TLS, Azure Firewall memeriksa lalu lintas yang tidak terenkripsi dan terenkripsi.
Dukungan lalu lintas pengembalian implisit (TCP/UDP berstatus)
Anda dapat mengonfigurasi aturan firewall untuk mengizinkan lalu lintas hanya dalam satu arah. Misalnya, Azure Firewall dapat mengizinkan koneksi yang Anda mulai dari jaringan lokal ke jaringan virtual Azure, sambil mengharuskan koneksi baru yang Anda mulai dari jaringan virtual Azure ke lokal diblokir. Untuk menerapkan kebijakan ini, tambahkan aturan Tolak eksplisit untuk lalu lintas dari jaringan virtual Azure ke jaringan lokal .
Azure Firewall mendukung konfigurasi ini. Azure Firewall bersifat stateful, sehingga memungkinkan lalu lintas kembali untuk koneksi TCP atau UDP yang sudah terjalin (misalnya, paket SYN-ACK/ACK untuk koneksi yang Anda mulai dari lingkungan lokal) bahkan ketika aturan Tolak eksplisit ada untuk arah sebaliknya. Aturan Tolak eksplisit terus memblokir koneksi baru yang Anda mulai dari jaringan virtual Azure ke lokal.
Konektivitas keluar jaringan
Aturan jaringan dan aturan aplikasi
Jika Anda mengonfigurasi aturan jaringan dan aturan aplikasi, Azure Firewall menerapkan aturan jaringan dalam urutan prioritas sebelum aturan aplikasi. Aturan-aturan tersebut berakhir. Jadi, jika Azure Firewall menemukan kecocokan dalam aturan jaringan, azure Firewall tidak memproses aturan lain. Jika Anda mengonfigurasi IDPS, Azure Firewall menjalankannya pada semua lalu lintas yang dilalui. Saat IDPS menemukan kecocokan tanda tangan, IDPS dapat menghasilkan pemberitahuan atau memblokir lalu lintas yang mencurigakan, tergantung pada mode IDPS.
Aturan aplikasi mengevaluasi paket dalam urutan prioritas jika tidak ada kecocokan aturan jaringan dan jika protokolnya adalah HTTP, HTTPS, atau MSSQL.
Untuk HTTP, Azure Firewall mencari kecocokan aturan aplikasi menurut header Host. Untuk HTTPS, Azure Firewall mencari kecocokan aturan aplikasi menurut SNI saja.
Dalam kedua kasus HTTPS yang diperiksa oleh HTTP dan TLS, firewall mengabaikan alamat IP tujuan paket dan menggunakan alamat IP yang diselesaikan DNS dari header Host. Jika ada ketidakcocokan port antara port TCP aktual dan port di header host, firewall akan menghilangkan lalu lintas. Azure DNS atau DNS kustom yang Anda konfigurasikan di firewall melakukan resolusi DNS.
Catatan
Azure Firewall selalu mengisi protokol HTTP dan HTTPS dengan header XFF (X-Forwarded-For) yang diatur ke alamat IP sumber asli (dengan inspeksi TLS).
Ketika aturan aplikasi berisi inspeksi TLS, mesin aturan firewall memproses SNI, Header host, dan juga URL agar sesuai dengan aturan.
Jika Azure Firewall tidak menemukan kecocokan dalam aturan aplikasi, Azure Firewall mengevaluasi paket terhadap kumpulan aturan infrastruktur. Jika Azure Firewall masih tidak menemukan kecocokan, azure Firewall menolak paket secara default.
Pengumpulan aturan infrastruktur
Azure Firewall menyertakan kumpulan aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Pengumpulan aturan infrastruktur diproses setelah aturan aplikasi dan sebelum aturan tolak-semua akhir.
Kumpulan aturan infrastruktur bawaan mencakup layanan berikut:
- Akses komputasi ke Penyimpanan Repositori Gambar Platform (PIR)
- Akses penyimpanan status disk yang terkelola
- Diagnostik dan Pengelogan Azure (MDS)
Mengesampingkan kumpulan aturan infrastruktur
Anda dapat menggantikan kumpulan aturan infrastruktur bawaan dengan membuat kumpulan aturan aplikasi "menolak semua" yang diproses terakhir. Proses ini selalu dilakukan sebelum pengumpulan aturan infrastruktur. Apa pun yang tidak ada dalam kumpulan aturan infrastruktur ditolak secara default.
Catatan
Anda dapat mengonfigurasi aturan jaringan untuk protokol TCP, UDP, ICMP, atau IP apa pun . Setiap protokol IP mencakup semua protokol IP yang didefinisikan dalam dokumen Nomor Protokol Internet Assigned Numbers Authority (IANA). Jika Anda secara eksplisit mengonfigurasi port tujuan, aturan diterjemahkan ke aturan TCP+UDP. Sebelum 9 November 2020 Semua berarti TCP, atau UDP, atau ICMP. Jadi, Anda mungkin telah mengonfigurasi aturan sebelum tanggal tersebut dengan Protocol = Any, dan destination ports = '*'. Jika Anda tidak ingin mengizinkan protokol IP apa pun seperti yang saat ini ditentukan, ubah aturan untuk secara eksplisit mengonfigurasi protokol yang Anda inginkan (TCP, UDP, atau ICMP).
Konektivitas masuk
Aturan DNAT dan aturan jaringan
Anda dapat mengaktifkan konektivitas Internet atau intranet masuk dengan mengonfigurasi Destination Network Address Translation (DNAT) seperti yang dijelaskan dalam Memfilter internet masuk atau lalu lintas intranet dengan Azure Firewall DNAT menggunakan portal Microsoft Azure. Aturan NAT berlaku dalam prioritas sebelum aturan jaringan. Jika Azure Firewall menemukan kecocokan, Azure Firewall menerjemahkan lalu lintas sesuai dengan aturan DNAT dan mengizinkannya. Jadi, lalu lintas tidak tunduk pada pemrosesan lebih lanjut oleh aturan jaringan lainnya. Untuk alasan keamanan, tambahkan sumber Internet tertentu untuk memungkinkan akses DNAT ke jaringan dan hindari menggunakan wildcard.
Azure Firewall tidak menerapkan aturan aplikasi untuk koneksi masuk. Jadi, jika Anda ingin memfilter lalu lintas HTTP/S masuk, gunakan Web Application Firewall (WAF). Untuk informasi selengkapnya, lihat Apa itu Azure Web Application Firewall.
Contoh
Contoh berikut menunjukkan hasil dari beberapa kombinasi aturan ini.
Contoh 1
Koneksi ke google.com diperbolehkan karena aturan jaringan cocok.
Aturan jaringan — Tindakan: Izinkan
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan |
|---|---|---|---|---|---|---|
| Izinkan akses web | PKT | alamat IP | * | alamat IP | * | 80,443 |
Aturan aplikasi — Tindakan: Tolak
| Nama | Jenis sumber | Sumber | Protokol:Port | Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) Target |
|---|---|---|---|---|
| Tolak Google | alamat IP | * | http:80,https:443 | google.com |
Hasil
Sambungan ke google.com diizinkan karena paket tersebut cocok dengan aturan jaringan Izinkan web. Pemrosesan aturan berhenti di sini.
Contoh 2
Lalu lintas SSH ditolak karena kumpulan aturan jaringan Tolak dengan prioritas yang lebih tinggi memblokirnya.
Kumpulan aturan jaringan 1 — Nama: Koleksi-Pengizinkan, Prioritas: 200, Tindakan: Izinkan
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan |
|---|---|---|---|---|---|---|
| Izinkan-SSH | PKT | alamat IP | * | alamat IP | * | 22 |
Kumpulan aturan jaringan 2 — Nama: Deny-collection, Prioritas: 100, Tindakan: Tolak
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan |
|---|---|---|---|---|---|---|
| Deny-SSH | PKT | alamat IP | * | alamat IP | * | 22 |
Hasil
Koneksi SSH ditolak karena kumpulan aturan jaringan prioritas yang lebih tinggi memblokirnya. Pemrosesan aturan berhenti pada titik ini.
Perubahan aturan
Jika Anda mengubah aturan untuk menolak lalu lintas yang diizinkan sebelumnya, Azure Firewall akan menghilangkan sesi yang ada yang relevan.
Perilaku jabat tangan tiga arah
Sebagai layanan berstatus, Azure Firewall menyelesaikan jabat tangan tiga arah TCP untuk lalu lintas yang diizinkan, dari sumber ke tujuan. Misalnya, VNet-A ke VNet-B.
Membuat aturan yang memperbolehkan koneksi dari VNet-A ke VNet-B tidak berarti bahwa koneksi baru dari VNet-B ke VNet-A juga diperbolehkan.
Akibatnya, Anda tidak perlu membuat aturan tolak eksplisit dari VNet-B ke VNet-A.