Projektowanie i implementowanie usługi Azure Firewall
- 7 min
Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby sieci wirtualnej platformy Azure. Usługa Azure Firewall ma wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury. Usługa Azure Firewall działa nie tylko w przypadku ruchu do i z Internetu, ale także wewnętrznie. Filtrowanie ruchu wewnętrznego obejmuje ruch między różnymi elementami sieci oraz ruch w chmurze hybrydowej między siecią lokalną a siecią wirtualną w Azure.
Kiedy należy używać usługi Azure Firewall
Usługa Azure Firewall ma trzy jednostki SKU: Podstawowa usługa Azure Firewall, Usługa Azure Firewall w warstwie Standardowa i Azure Firewall — wersja Premium. Wszystkie wersje mogą pomóc w tych scenariuszach.
- Chcesz chronić sieć przed infiltracją.
- Chcesz chronić sieć przed błędem użytkownika.
- Twoja firma obejmuje handel elektroniczny lub płatności kartą kredytową.
- Chcesz skonfigurować łączność między szprychami.
- Chcesz monitorować ruch przychodzący i wychodzący.
Co to są reguły usługi Azure Firewall?
Usługa Azure Firewall domyślnie odrzuca cały ruch, dopóki reguły nie zostaną ręcznie skonfigurowane tak, aby zezwalały na ruch. Reguły są zorganizowane wewnątrz kolekcji reguł, które są zawarte w grupach kolekcji reguł. W usłudze Azure Firewall można skonfigurować reguły NAT, reguły sieci i reguły aplikacji.
| Typ reguły | Opis |
|---|---|
| NAT | Przetłumacz i przefiltruj przychodzący ruch internetowy na podstawie publicznego adresu IP zapory i określonego numeru portu. Aby na przykład włączyć połączenie pulpitu zdalnego z maszyną wirtualną, możesz użyć reguły NAT, aby przekierować publiczny adres IP i port 3389 zapory na prywatny adres IP maszyny wirtualnej. |
| Aplikacja | Filtrowanie ruchu na podstawie nazwy FQDN. Na przykład możesz użyć reguły aplikacji, aby zezwolić na ruch wychodzący do uzyskania dostępu do wystąpienia Azure SQL Database za pomocą nazwy FQDN server10.database.windows.net. |
| Sieć | Filtruj ruch na podstawie co najmniej jednego z następujących trzech parametrów sieciowych: adres IP, port i protokół. Na przykład można użyć reguły sieciowej, aby zezwolić na ruch wychodzący w celu uzyskania dostępu do określonego serwera DNS na określonym adresie IP przy użyciu portu 53. |
Usługa Azure Firewall stosuje reguły w kolejności priorytetu. Reguły oparte na analizie zagrożeń zawsze mają najwyższy priorytet i są przetwarzane jako pierwsze. Następnie reguły są stosowane według typu: reguły NAT, a następnie reguły sieci, a następnie reguły aplikacji. W ramach każdego typu reguły są przetwarzane zgodnie z wartościami priorytetu, które przypisujesz podczas tworzenia reguły, od najniższej wartości do najwyższej wartości.
Wskazówka
Dowiedz się więcej o usłudze Azure Firewall w module Wprowadzenie do usługi Azure Firewall .