Scegliere la soluzione di filtro appropriata
Sono disponibili diverse soluzioni di filtro del traffico per consentire a Contoso di gestire il traffico di rete. È importante che il personale IT sia in grado di stabilire quali usare e quando.
Opzioni di filtro disponibili
È possibile usare le opzioni seguenti:
- Regole NAT
- Regole di rete
- Regole di applicazione
Nota
Firewall di Azure elabora le raccolte di regole in base al tipo di regola in ordine di priorità, dai numeri più bassi a quelli più alti da 100 a 65.000. Se si abilita il filtro basato sull'intelligence sulle minacce, tali regole hanno priorità più alta e vengono sempre elaborate per prime.
La tabella seguente descrive il modo in cui Firewall di Azure gestisce le varie regole configurate per filtrare il traffico in ingresso e in uscita.
| Direzione | Tipi di regola | Descrizione |
|---|---|---|
| Connettività in uscita | Regole di rete e di applicazione | Se si configurano sia regole di rete che regole di applicazione, le regole di rete vengono applicate in ordine di priorità prima delle regole di applicazione. Si tratta di regole di terminazione: se viene trovata una corrispondenza in una regola di rete, non vengono elaborate altre regole. Se non esiste alcuna corrispondenza con una regola di rete e se il protocollo è HTTP, HTTPS o MSSQL, il pacchetto viene valutato dalle regole di applicazione in ordine di priorità. Se ancora non viene trovata una corrispondenza, il pacchetto viene valutato in base alla raccolta regole dell'infrastruttura. Se non è ancora presente alcuna corrispondenza, il pacchetto viene rifiutato per impostazione predefinita. |
| Connessioni in ingresso | Regole NAT (Network Address Translation) | È possibile abilitare la connettività Internet in ingresso configurando la modalità DNAT (Destination Network Address Translation). Le regole NAT vengono applicate con priorità prima delle regole di rete. Se viene trovata una corrispondenza, viene aggiunta una regola di rete corrispondente in modo implicito che consente il traffico convertito. È possibile sostituire questo comportamento aggiungendo in modo esplicito una raccolta regole di rete con regole di negazione corrispondenti al traffico convertito. |
Suggerimento
Le regole di applicazione non vengono applicate per le connessioni in ingresso. Pertanto, se si vuole filtrare il traffico HTTP o HTTPS in ingresso, è necessario usare Web application firewall.
Esempi
Si considerino gli esempi seguenti.
Esempio 1
Il reparto IT di Contoso desidera consentire l'accesso a Microsoft.com dai Web browser degli utenti. È possibile configurare il filtro necessario usando regole di rete e regole di applicazione.
Crea una regola di rete
Si crea una regola di rete con le proprietà riportate nella tabella seguente.
| Name | Protocollo | Source type | Origine | Tipo destinazione | Indirizzo di destinazione | Porte di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| Allow-web | TCP (Transmission Control Protocol) | Indirizzo IP | * | Indirizzo IP | * | 80, 443 | Consenti |
La connessione a Microsoft.com è consentita perché esiste una regola di rete corrispondente.
Risolvere le regole di applicazione in conflitto
Tuttavia, si individua anche la presenza di una regola di applicazione esistente che nega l'accesso a Microsoft.com, come illustra la tabella seguente.
| Name | Source type | Origine | Protocollo:porta | FQDN di destinazione | Azione |
|---|---|---|---|---|---|
| Deny-Microsoft | Indirizzo IP | * | http:80,https:443 | Microsoft.com |
Nega |
Result
Nonostante la regola di applicazione che nega l'accesso, la connessione a Microsoft.com è consentita perché il pacchetto corrisponde alla regola di rete Allow-web. A questo punto l'elaborazione della regola viene arrestata.
Esempio 2
Il team responsabile della sicurezza del reparto IT di Contoso è preoccupato per l'abilitazione del traffico Secure Shell (SSH) da e verso le macchine virtuali. Dopo un'attenta analisi vengono individuate due regole. La prima consente il traffico SSH e la seconda lo nega.
Raccolta di regole di rete 1
- Nome: Allow-collection
- Priorità: 200
- Azione: Consenti
| Name | Protocollo | Source type | Origine | Tipo destinazione | Indirizzo di destinazione | Porte di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| Allow-SSH | TCP | Indirizzo IP | * | Indirizzo IP | * | 22 | Consenti |
Raccolta di regole di rete 2
- Nome: Deny-collection
- Priorità: 100
- Azione: Nega
| Name | Protocollo | Source type | Origine | Tipo destinazione | Indirizzo di destinazione | Porte di destinazione | Azione |
|---|---|---|---|---|---|---|---|
| Deny-SSH | TCP | Indirizzo IP | * | Indirizzo IP | * | 22 | Nega |
Result
Il risultato finale è che il traffico SSH viene negato perché bloccato da una raccolta di regole di rete Deny con priorità più alta.