Azure Firewall-servicetags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels die het maken van beveiligingsregel vereenvoudigt. U kunt uw eigen servicetag niet maken en ook niet opgeven welke IP-adressen in een tag worden opgenomen. Microsoft beheert de adresvoorvoegsels die de servicetag omvat en werkt de servicetag automatisch bij wanneer adressen veranderen.
Azure Firewall servicetags kunnen worden gebruikt in het doelveld voor netwerkregels. U kunt deze gebruiken in plaats van specifieke IP-adressen.
Ondersteunde servicetags
Azure Firewall ondersteunt de volgende servicetags voor gebruik in Azure Firewall netwerkregels:
- Tags voor verschillende Microsoft- en Azure-services die worden vermeld in Servicetags voor virtuele netwerken.
- Tags voor de vereiste IP-adressen van Office365-services, opgesplitst op Office365-product en -categorie. U moet de TCP/UDP-poorten in uw regels definiƫren. Zie Azure Firewall gebruiken om Office 365 te beveiligen voor meer informatie.
Configuratie
Azure Firewall ondersteunt de configuratie van servicetags via PowerShell, Azure CLI of de Azure Portal.
Configureren via Azure PowerShell
In dit voorbeeld moeten we eerst context ophalen voor het eerder gemaakte Azure Firewall-exemplaar.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Vervolgens moeten we een nieuwe regel maken. Voor het doel kunt u de tekstwaarde opgeven van de servicetag die u wilt gebruiken, zoals eerder vermeld.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Vervolgens moeten we de variabele met onze Azure Firewall definitie bijwerken met de nieuwe netwerkregels die we hebben gemaakt.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Ten slotte moeten we de wijzigingen in de netwerkregel doorvoeren in het actieve Azure Firewall-exemplaar.
Set-AzFirewall -AzureFirewall $azfirewall
Volgende stappen
Zie Azure Firewall regelverwerkingslogica voor meer informatie over Azure Firewall regels.