Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Firewall Policy is a top-level resource that contains security and operational settings for Azure Firewall. Umożliwia ona zarządzanie zestawami reguł używanymi przez usługę Azure Firewall do filtrowania ruchu. Zasady zapory porządkują, ustalają priorytety i przetwarzają zestawy reguł na podstawie hierarchii z następującymi składnikami: grupy kolekcji reguł, kolekcje reguł i reguły.
Rule collection groups
Grupa kolekcji reguł służy do grupowania kolekcji reguł. It is the first unit processed by the firewall and follows a priority order based on values. Istnieją trzy domyślne grupy kolekcji reguł z wstępnie ustawionymi wartościami priorytetu, przetwarzane w następującej kolejności:
| Rule collection group name | Priorytet |
|---|---|
| Default DNAT (Destination Network Address Translation) rule collection group | 100 |
| Default Network rule collection group | 200 |
| Default Application rule collection group | 300 |
Chociaż nie można usunąć domyślnych grup kolekcji reguł ani zmodyfikować ich wartości priorytetów, można zmienić kolejność przetwarzania, tworząc niestandardowe grupy kolekcji reguł z żądanymi wartościami priorytetu. W takim przypadku nie należy używać domyślnych grup kolekcji reguł, a zamiast tego używać tylko tych niestandardowych do zdefiniowania logiki przetwarzania.
Grupy kolekcji reguł zawierają jedną lub wiele kolekcji reguł, które mogą być typu DNAT, sieci lub aplikacji. Można na przykład grupować reguły należące do tych samych obciążeń lub sieci wirtualnej w grupie kolekcji reguł.
Aby uzyskać informacje o limitach rozmiaru grup kolekcji reguł, zobacz Limity, przydziały i ograniczenia subskrypcji i usługi platformy Azure.
Kolekcje reguł
Kolekcja reguł należy do grupy kolekcji reguł i zawiera co najmniej jedną regułę. Jest to druga jednostka przetworzona przez zaporę sieciową i znajduje się w kolejności priorytetów na podstawie wartości. Każda kolekcja reguł musi mieć zdefiniowaną akcję (zezwalanie lub odrzucanie) i wartość priorytetu. Akcja dotyczy wszystkich reguł w kolekcji, a wartość priorytetu określa kolejność przetwarzania kolekcji reguł.
Istnieją trzy typy kolekcji reguł:
- DNAT
- Network
- Aplikacja
The rule types must match their parent rule collection category. For example, a DNAT rule can only be part of a DNAT rule collection.
Reguły
Reguła należy do kolekcji reguł i określa, który ruch jest dozwolony lub blokowany w sieci. Jest to trzecia jednostka przetworzona przez zaporę i nie stosuje kolejności priorytetowej bazującej na wartościach. Zapora przetwarza reguły w podejściu od góry do dołu, oceniając cały ruch względem zdefiniowanych reguł w celu określenia, czy jest ona zgodna z warunkiem zezwolenia lub odmowy. Jeśli żadna reguła nie zezwala na ruch, jest on domyślnie odrzucany.
Our built-in infrastructure rule collection processes traffic for application rules before denying it by default.
Inbound vs. outbound
Reguła zapory dla ruchu przychodzącego chroni sieć przed zagrożeniami pochodzącymi z zewnątrz (ruch przychodzący z Internetu), które próbują przeniknąć do wnętrza sieci.
Reguła zapory ruchu wychodzącego chroni przed złośliwym ruchem pochodzącym wewnętrznie (ruchem pochodzącym z prywatnego adresu IP na platformie Azure) i podróżującym na zewnątrz. Zwykle wiąże się to z ruchem z zasobów platformy Azure przekierowywanych za pośrednictwem zapory przed dotarciem do miejsca docelowego.
Typy reguł
Możliwe typy reguł to:
- DNAT
- Network
- Aplikacja
Reguły DNAT
DNAT rules manage inbound traffic through one or more firewall public IP addresses. Użyj reguły DNAT, aby przetłumaczyć publiczny adres IP na prywatny adres IP. Publiczne adresy IP usługi Azure Firewall mogą nasłuchiwać ruchu przychodzącego z Internetu, filtrować je i tłumaczyć na wewnętrzne zasoby platformy Azure.
Reguły sieci
Reguły sieci kontrolują ruch przychodzący, wychodzący i wschodnio-zachodni na podstawie warstwy sieciowej (L3) i warstwy transportu (L4). Użyj reguły sieciowej, aby filtrować ruch na podstawie adresów IP, portów i protokołów.
Reguły aplikacji
Reguły aplikacji zarządzają ruchem wychodzącym i północno-zachodnim na podstawie warstwy aplikacji (L7). Użyj reguły aplikacji, aby filtrować ruch na podstawie w pełni kwalifikowanych nazw domen (FQDN), adresów URL i protokołów HTTP/HTTPS.
Następne kroki
- Aby dowiedzieć się więcej na temat sposobu przetwarzania reguł usługi Azure Firewall, zobacz Konfigurowanie reguł usługi Azure Firewall.