Azure Firewall tagów usługi
Tag usługi reprezentuje grupę prefiksów adresów IP, aby zminimalizować złożoność tworzenia reguły zabezpieczeń. Nie można utworzyć własnego tagu usługi ani określić, które adresy IP znajdują się w tagu. Firma Microsoft zarządza prefiksami adresów obejmowanymi przez tag usługi i automatycznie aktualizuje tag usługi, gdy adresy ulegną zmianie.
Azure Firewall tagi usługi mogą być używane w polu docelowym reguł sieciowych. Można ich używać zamiast określonych adresów IP.
Obsługiwane tagi usługi
Azure Firewall obsługuje następujące tagi usługi do użycia w regułach sieci Azure Firewall:
- Tagi dla różnych usług firmy Microsoft i Platformy Azure wymienionych w obszarze Tagi usługi sieci wirtualnej.
- Tagi wymaganych adresów IP usług Office365 podzielonych przez produkt i kategorię usługi Office365. Należy zdefiniować porty TCP/UDP w regułach. Aby uzyskać więcej informacji, zobacz Używanie Azure Firewall do ochrony Office 365.
Konfiguracja
Azure Firewall obsługuje konfigurację tagów usługi za pośrednictwem programu PowerShell, interfejsu wiersza polecenia platformy Azure lub Azure Portal.
Konfigurowanie za pośrednictwem programu Azure PowerShell
W tym przykładzie musimy najpierw uzyskać kontekst do utworzonego wcześniej wystąpienia Azure Firewall.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Następnie musimy utworzyć nową regułę. W polu Destination (Miejsce docelowe) możesz określić wartość tekstową tagu usługi, którego chcesz użyć, jak wspomniano wcześniej.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Następnie musimy zaktualizować zmienną zawierającą naszą definicję Azure Firewall przy użyciu utworzonych przez nas nowych reguł sieciowych.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Na koniec musimy zatwierdzić zmiany reguły sieci w uruchomionym wystąpieniu Azure Firewall.
Set-AzFirewall -AzureFirewall $azfirewall
Następne kroki
Aby dowiedzieć się więcej na temat reguł Azure Firewall, zobacz Azure Firewall logikę przetwarzania reguł.