Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Firewallbeleid is de aanbevolen methode om uw Azure Firewall te configureren. Het is een globale resource die kan worden gebruikt in verschillende Azure Firewall-exemplaren in Beveiligde virtuele hubs en virtuele netwerken voor hubs. Beleidsregels werken in verschillende regio’s en abonnementen.
Beleid maken en koppelen
Een beleid kan op meerdere manieren worden gemaakt en beheerd, waaronder Azure Portal, REST API, sjablonen, Azure PowerShell, CLI en Terraform.
U kunt ook bestaande klassieke regels migreren vanuit Azure Firewall met behulp van de portal of Azure PowerShell om beleidsregels te maken. Zie Azure Firewall-configuraties migreren naar Azure Firewall-beleid voor meer informatie.
Beleidsregels kunnen worden gekoppeld aan een of meer firewalls die zijn geïmplementeerd in een Virtual WAN (een beveiligde virtuele hub maken) of een virtueel netwerk (een virtueel hubnetwerk maken). Firewalls kunnen zich in elke regio of elk abonnement bevinden dat is gekoppeld aan uw account.
Klassieke regels en beleidsregels
Azure Firewall ondersteunt zowel klassieke regels als beleidsregels, maar beleidsregels zijn de aanbevolen configuratie. In de volgende tabel worden beleidsregels en klassieke regels vergeleken:
| Onderwerp | Beleid | Klassieke regels |
|---|---|---|
| Bevat | NAT, netwerk, toepassingsregels, aangepaste DNS- en DNS-proxyinstellingen, IP-groepen en instellingen voor bedreigingsinformatie (inclusief allowlist), IDPS, TLS-inspectie, webcategorieën, URL-filtering | NAT-, netwerk- en toepassingsregels, aangepaste DNS- en DNS-proxyinstellingen, IP-groepen en instellingen voor bedreigingsinformatie (inclusief acceptatielijst) |
| Beschermt | Virtuele hubs (VWAN) en virtuele netwerken | Alleen virtuele netwerken |
| Portalervaring | Centraal beheer met behulp van Firewall Manager | Zelfstandige firewallervaring |
| Ondersteuning voor meerdere firewalls | Firewall-beleid is een afzonderlijke resource die kan worden gebruikt in verschillende firewalls | Handmatig regels exporteren en importeren, of beheeroplossingen van derden gebruiken |
| Prijzen | Gefactureerd op basis van firewallkoppeling. Zie Prijzen. | Gratis |
| Ondersteunde implementatiemechanismen | Portal, REST API, sjablonen, Azure PowerShell en CLI | Portal, REST API, sjablonen, PowerShell en CLI. |
Basis-, Standard- en Premium-beleid
Azure Firewall ondersteunt Basis-, Standard- en Premium-beleid. De volgende tabel bevat een overzicht van het verschil tussen deze beleidsregels:
| Beleidstype | Functieondersteuning | Ondersteuning voor firewall-SKU |
|---|---|---|
| Basisbeleid | NAT-regels, netwerkregels, toepassingsregels IP-groepen Bedreigingsinformatie (waarschuwingen) |
Basis |
| Standaardbeleid | NAT-regels, netwerkregels, toepassingsregels Aangepaste DNS, DNS-proxy IP-groepen Webcategorieën Bedreigingsinformatie |
Standard of Premium |
| Premium-beleid | Alle standaardfunctieondersteuning, plus: Inspectie van TLS Webcategorieën URL-filtering Indringingsdetectie- en preventiesysteem (IDPS) |
Premium |
Hiërarchische beleidsregels
Er kunnen nieuwe firewallbeleidsregels worden gemaakt of overgenomen van bestaande beleidsregels. Overerving stelt DevOps in staat om lokaal firewallbeleid te definiëren bovenop basisbeleid van de organisatie.
Wanneer een nieuw beleid wordt gemaakt met een niet-leeg ouderbeleid, worden alle regelverzamelingen overgenomen van het bovenliggende beleid. Zowel het moederbeleid als het kinderbeleid moet zich in dezelfde regio bevinden. Een firewallbeleid, ongeacht waar het is opgeslagen, kan echter worden gekoppeld aan firewalls in elke regio.
Overname van regels
Netwerkregelverzamelingen die zijn overgenomen van het bovenliggende beleid, krijgen altijd prioriteit boven netwerkregelverzamelingen die zijn gedefinieerd als onderdeel van een nieuw beleid. Dezelfde logica is ook van toepassing op toepassingsregelverzamelingen. Ongeacht overname worden netwerkregelverzamelingen verwerkt vóór toepassingsregelverzamelingen.
NAT-regelverzamelingen worden niet overgenomen, omdat ze specifiek zijn voor afzonderlijke firewalls. Als u NAT-regels wilt gebruiken, moet u deze definiëren in het onderliggende beleid.
Bedreigingsinformatiemodus en overname van acceptatielijst
De modus voor Bedreigingsinformatie wordt ook overgenomen van het bovenliggende beleid. Hoewel u deze instelling in het onderliggende beleid kunt overschrijven, moet dit met een strengere modus gebeuren - u kunt het niet uitschakelen. Als uw bovenliggende beleid bijvoorbeeld alleen is ingesteld op Waarschuwing, kan het onderliggende beleid worden ingesteld op Waarschuwing en weigeren, maar niet op een minder strikte modus.
Op dezelfde manier wordt de acceptatielijst voor bedreigingsinformatie overgenomen van het bovenliggende beleid en kan het onderliggende beleid extra IP-adressen toevoegen aan deze lijst.
Met overname worden alle wijzigingen in het bovenliggende beleid automatisch toegepast op het bijbehorende onderliggende firewallbeleid.
Ingebouwde hoge beschikbaarheid
Hoge beschikbaarheid is ingebouwd, dus u hoeft niets te configureren. U kunt een Azure Firewall Policy-object maken in elke regio en dit globaal koppelen aan meerdere Azure Firewall-exemplaren onder dezelfde Azure AD-tenant. Als de regio waar u het beleid maakt uitvalt en een gekoppelde regio heeft, worden de metagegevens van het ARM-object (Azure Resource Manager) automatisch overgeschakeld naar de secundaire regio. Tijdens de failover of als de single-region zonder paar de status Mislukt blijft, kunt u het Azure Firewall Policy-object niet wijzigen. De Azure Firewall-exemplaren die zijn gekoppeld aan het firewallbeleid blijven echter actief. Zie replicatie tussen regio's in Azure: Bedrijfscontinuïteit en herstel na noodgevallen voor meer informatie.
Prijzen
Beleid wordt gefactureerd op basis van firewallkoppelingen. Beleid met nul of één firewallkoppeling is gratis. Beleid met meerdere firewallkoppelingen wordt gefactureerd tegen een vast bedrag. Zie Prijzen voor Azure Firewall Manager voor meer informatie.
Volgende stappen
- Meer informatie over het implementeren van een Azure Firewall - Zelfstudie: Uw cloudnetwerk beveiligen met Azure Firewall Manager met behulp van Azure Portal
- Meer informatie over Azure-netwerkbeveiliging