Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady zapory to zasób najwyższego poziomu zawierający ustawienia zabezpieczeń i operacyjne dla usługi Azure Firewall. Umożliwia ona zarządzanie zestawami reguł używanymi przez usługę Azure Firewall do filtrowania ruchu. Zasady zapory porządkują, ustalają priorytety i przetwarzają zestawy reguł na podstawie hierarchii z następującymi składnikami: grupy kolekcji reguł, kolekcje reguł i reguły.
Grupy kolekcji reguł
Użyj grupy kolekcji reguł do grupowania kolekcji reguł. Jest to pierwsza jednostka, która jest przetwarzana przez zaporę, i działa zgodnie z kolejnością priorytetową opartą na wartościach. Istnieją trzy domyślne grupy kolekcji reguł z ustawionymi wartościami priorytetu. Zapora przetwarza je w następującej kolejności:
| Nazwa grupy zestawu reguł | Priorytet |
|---|---|
| Domyślna grupa kolekcji reguł DNAT (docelowe tłumaczenie adresów sieciowych) | 100 |
| Domyślna grupa kolekcji reguł sieciowych | 200 |
| Domyślna grupa kolekcji reguł aplikacji | 300 |
Chociaż nie można usunąć domyślnych grup kolekcji reguł ani zmodyfikować ich wartości priorytetu, można zmienić kolejność przetwarzania, tworząc niestandardowe grupy kolekcji reguł z żądanymi wartościami priorytetu. W takim przypadku nie używaj domyślnych grup kolekcji reguł. Zamiast tego użyj tylko tych niestandardowych do zdefiniowania logiki przetwarzania.
Grupy kolekcji reguł zawierają jedną lub wiele kolekcji reguł, które mogą być typu DNAT, sieci lub aplikacji. Można na przykład grupować reguły należące do tych samych obciążeń lub sieci wirtualnej w grupie kolekcji reguł.
Aby uzyskać informacje o limitach rozmiaru grup kolekcji reguł, zobacz Limity, przydziały i ograniczenia subskrypcji i usługi platformy Azure.
Kolekcje reguł
Kolekcja reguł należy do grupy kolekcji reguł i zawiera co najmniej jedną regułę. Jest to druga jednostka przetworzona przez zaporę i przestrzega kolejności priorytetu na podstawie wartości. Każda kolekcja reguł musi mieć zdefiniowaną akcję (zezwalanie lub odrzucanie) i wartość priorytetu. Akcja dotyczy wszystkich reguł w kolekcji, a wartość priorytetu określa kolejność przetwarzania kolekcji reguł.
Istnieją trzy typy kolekcji reguł:
- DNAT
- Network
- Aplikacja
Typy reguł muszą być zgodne z ich nadrzędną kategorią kolekcji reguł. Na przykład reguła DNAT może być częścią kolekcji reguł DNAT.
Reguły
Reguła należy do kolekcji reguł i określa, który ruch jest dozwolony lub blokowany w sieci. Jest to trzecia jednostka przetworzona przez zaporę i nie przestrzega kolejności priorytetów opartej na wartościach. Zapora przetwarza reguły w podejściu od góry do dołu, oceniając cały ruch względem zdefiniowanych reguł w celu określenia, czy jest ona zgodna z warunkiem zezwolenia lub odmowy. Jeśli żadna reguła nie zezwala na ruch, domyślnie zostanie on odrzucony.
Wbudowana kolekcja reguł infrastruktury przetwarza ruch dla reguł aplikacji przed jego domyślnym zablokowaniem.
Ruch przychodzący i wychodzący
Reguła zapory dla ruchu przychodzącego chroni sieć przed zagrożeniami pochodzącymi poza siecią (ruchem pochodzącym z Internetu) próbującym przeniknąć do wewnątrz.
Reguła zapory ruchu wychodzącego chroni przed złośliwym ruchem pochodzącym wewnętrznie (ruchem pochodzącym z prywatnego adresu IP na platformie Azure) i podróżującym na zewnątrz. Ta ochrona zwykle obejmuje ruch z zasobów platformy Azure przekierowywanych przez zaporę przed dotarciem do miejsca docelowego.
Typy reguł
Możliwe typy reguł to:
- DNAT
- Network
- Aplikacja
Reguły DNAT
Reguły DNAT zarządzają ruchem przychodzącym poprzez jeden lub więcej publicznych adresów IP zapory sieciowej. Użyj reguły DNAT, aby przetłumaczyć publiczny adres IP na prywatny adres IP. Publiczne adresy IP usługi Azure Firewall mogą nasłuchiwać ruchu przychodzącego z Internetu, filtrować je i tłumaczyć na wewnętrzne zasoby platformy Azure.
Reguły sieci
Reguły sieci kontrolują ruch przychodzący, wychodzący i wschodnio-zachodni na podstawie warstwy sieciowej (L3) i warstwy transportu (L4). Użyj reguły sieciowej, aby filtrować ruch na podstawie adresów IP, portów i protokołów.
Reguły aplikacji
Reguły aplikacji zarządzają ruchem wychodzącym i północno-zachodnim na podstawie warstwy aplikacji (L7). Użyj reguły aplikacji, aby filtrować ruch na podstawie w pełni kwalifikowanych nazw domen (FQDN), adresów URL i protokołów HTTP/HTTPS.
Następne kroki
- Aby dowiedzieć się więcej na temat sposobu przetwarzania reguł usługi Azure Firewall, zobacz Konfigurowanie reguł usługi Azure Firewall.