Memilih solusi pemfilteran yang sesuai
Sejumlah solusi pemfilteran lalu lintas tersedia untuk membantu Contoso mengelola lalu lintas jaringan mereka. Penting bagi staf TI untuk memahami mana yang harus digunakan, dan kapan.
Opsi pemfilteran yang tersedia
Anda dapat menggunakan opsi pemfilteran berikut:
- Aturan NAT
- Aturan jaringan
- Aturan aplikasi
Nota
Microsoft Azure Firewall memproses kumpulan aturan sesuai dengan jenis aturan dalam urutan prioritas angka yang lebih rendah ke angka yang lebih tinggi dari 100 hingga 65.000. Jika Anda mengaktifkan pemfilteran berbasis inteligensi ancaman, aturan tersebut memiliki prioritas tertinggi dan selalu diproses terlebih dahulu.
Tabel berikut ini menjelaskan cara Azure Firewall mengelola berbagai aturan yang dikonfigurasi untuk memfilter lalu lintas masuk dan keluar.
| Arah | Jenis aturan | Deskripsi |
|---|---|---|
| Konektivitas eksternal | Aturan jaringan dan aturan aplikasi | Jika Anda mengonfigurasi aturan jaringan dan aturan aplikasi, aturan jaringan diterapkan dalam urutan prioritas sebelum aturan aplikasi. Aturannya menghentikan; Jika kecocokan ditemukan dalam aturan jaringan, tidak ada aturan lain yang diproses. Jika tidak ada kecocokan aturan jaringan, dan jika protokol HTTP, HTTPS, atau MSSQL, paket dievaluasi oleh aturan aplikasi dalam urutan prioritas. Jika masih tidak ada kecocokan yang ditemukan, paket dievaluasi berdasarkan kumpulan aturan infrastruktur. Jika masih belum ada kecocokan, paket ditolak secara default. |
| Konektivitas masuk | Aturan terjemahan alamat jaringan (NAT) | Anda dapat mengaktifkan konektivitas internet masuk dengan mengonfigurasi Terjemahan Alamat Jaringan Tujuan (DNAT). Aturan NAT diterapkan dalam prioritas sebelum aturan jaringan. Jika kecocokan ditemukan, aturan jaringan yang sesuai secara implisit yang memungkinkan lalu lintas yang diterjemahkan ditambahkan. Anda dapat mengambil alih perilaku ini dengan menambahkan koleksi aturan jaringan secara eksplisit dengan aturan tolak yang cocok dengan lalu lintas yang diterjemahkan. |
Petunjuk / Saran
Aturan aplikasi tidak diterapkan untuk koneksi masuk. Jadi, jika ingin memfilter lalu lintas HTTP atau HTTPS masuk, Anda harus menggunakan Web Application Firewall.
Contoh
Pertimbangkan contoh berikut.
Contoh 1
Departemen TI Contoso ingin mengaktifkan akses ke Microsoft.com dari browser web pengguna. Anda mengonfigurasi pemfilteran yang diperlukan menggunakan aturan jaringan dan aturan aplikasi.
Membuat aturan jaringan
Anda membuat aturan jaringan dengan properti dalam tabel berikut ini.
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| Izinkan akses web | Protokol Kendali Transmisi (TCP) | alamat IP | * | alamat IP | * | 80, 443 | Izinkan |
Koneksi ke Microsoft.com diizinkan karena ada aturan jaringan yang cocok.
Mengatasi aturan aplikasi yang bertentangan
Namun, Anda juga menemukan keberadaan aturan aplikasi yang ada yang menolak akses ke Microsoft.com, seperti yang ditunjukkan dalam tabel berikut.
| Nama | Jenis sumber | Sumber | Protokol:port | Target FQDN | Tindakan |
|---|---|---|---|---|---|
| Deny-Microsoft | alamat IP | * | http:80,https:443 | Microsoft.com |
Menyangkal |
Hasil
Terlepas dari adanya aturan aplikasi yang menolak akses, koneksi ke Microsoft.com diizinkan karena paket cocok dengan aturan jaringan Allow-web. Pemrosesan aturan berhenti pada titik ini.
Contoh 2
Tim keamanan TI Contoso khawatir tentang mengaktifkan lalu lintas Secure Shell (SSH) ke dan dari komputer virtual. Anda menyelidiki, dan menemukan dua aturan. Yang pertama mengizinkan lalu lintas SSH, yang kedua menolak lalu lintas tersebut.
Kumpulan aturan jaringan 1
- Nama: Izinkan pengumpulan
- Prioritas: 200
- Tindakan: Izinkan
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| Allow-SSH | PKT | alamat IP | * | alamat IP | * | 22 | Izinkan |
Kumpulan aturan jaringan 2
- Nama: Penolakan Koleksi
- Prioritas: 100
- Tindakan: Tolak
| Nama | Protokol | Jenis sumber | Sumber | Jenis tujuan | Alamat tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| Deny-SSH | PKT | alamat IP | * | alamat IP | * | 22 | Menyangkal |
Hasil
Hasil akhirnya adalah bahwa lalu lintas SSH ditolak karena prioritas yang lebih tinggi kumpulan aturan Tolak jaringan memblokirnya.