Progettare e implementare Firewall di Azure
- 7 minuti
Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che protegge le risorse della rete virtuale di Azure. Firewall di Azure offre disponibilità elevata predefinita e scalabilità cloud senza restrizioni. Il Firewall di Azure funziona non solo per il traffico da e verso Internet, ma anche internamente. Il filtraggio del traffico interno include il traffico da spoke a spoke e il traffico cloud ibrido tra la rete locale e la rete virtuale di Azure.
Quando usare il Firewall di Azure
Firewall di Azure include tre SKU: Firewall di Azure Basic, Firewall di Azure Standard e Firewall di Azure Premium. Tutte le versioni possono essere utili in questi scenari.
- Si vuole proteggere la rete da intrusioni.
- Si vuole proteggere la rete dagli errori degli utenti.
- L'azienda include pagamenti di e-commerce o con carte di credito.
- Si vuole configurare la connettività spoke-to-spoke.
- Si vuole monitorare il traffico in ingresso e in uscita.
Che cosa sono le regole di Firewall di Azure?
Azure Firewall nega tutto il traffico per impostazione predefinita, fino a quando le regole non vengono configurate manualmente per consentire il traffico. Le regole sono organizzate all'interno di Raccolte di regole, che sono contenute in Gruppi di raccolte di regole. In Firewall di Azure è possibile configurare regole NAT, regole di rete e regole delle applicazioni.
| Tipo di regola | Descrizione |
|---|---|
| NAT | Tradurre e filtrare il traffico Internet in ingresso in base all'indirizzo IP pubblico del firewall e al numero di porta specificato. Ad esempio, per abilitare una connessione Desktop remoto a una macchina virtuale, è possibile usare una regola NAT per convertire l'indirizzo IP pubblico del firewall e la porta 3389 nell'indirizzo IP privato della macchina virtuale. |
| Applicazione | Filtrare il traffico in base a un nome di dominio completo. Ad esempio, è possibile usare una regola dell'applicazione per consentire al traffico in uscita di accedere a un'istanza del database SQL di Azure usando il nome di dominio completo server10.database.windows.net. |
| Rete | Filtrare il traffico in base a uno o più dei tre parametri di rete seguenti: indirizzo IP, porta e protocollo. Ad esempio, è possibile usare una regola di rete per consentire al traffico in uscita di accedere a un determinato server DNS in un indirizzo IP specificato usando la porta 53. |
Il Firewall di Azure applica le regole in ordine di priorità. Alle regole basate sull'Intelligence sulle minacce viene sempre assegnata la priorità più alta e queste regole vengono elaborate per prime. Successivamente, le regole vengono applicate in base al tipo: regole NAT, regole di rete e quindi regole dell'applicazione. All'interno di ogni tipo, le regole vengono elaborate in base ai valori di priorità assegnati al momento della creazione della regola, dal valore più basso a quello più alto.
Suggerimento
Altre informazioni su Firewall di Azure sono disponibili nel modulo Introduzione a Firewall di Azure .