Conjuntos de regras de política do Firewall do Azure
A Política de Firewall é um recurso de nível superior que contém configurações de segurança e operacionais para o Firewall do Azure. É possível usar a Política de Firewall para gerenciar conjuntos de regras que o Firewall do Azure usa para filtrar o tráfego. A política de firewall organiza, prioriza e processa os conjuntos de regras com base em uma hierarquia com os seguintes componentes: grupos de coleções de regras, coleções de regras e regras.
Grupos de coleções de regras
Um grupo de coleções de regras é usado para agrupar coleções de regras. Eles são a primeira unidade que o firewall processa e seguem uma ordem de prioridade com base nos valores. Há três grupos de coleções de regras padrão e os valores de prioridade deles são predefinidos por design. Eles são processados na seguinte ordem:
| Nome do grupo de coleções de regras | Prioridade |
|---|---|
| Grupo de coleções de regras DNAT (Conversão de Endereços de Rede de Destino) padrão | 100 |
| Grupo de coleções de regras de rede padrão | 200 |
| Grupo de coleções de regras de aplicativo padrão | 300 |
Embora não seja possível excluir os grupos de coleções de regras padrão nem modificar os valores de prioridade deles, é possível manipular a ordem de processamento de maneira diferente. Se você precisa definir uma ordem de prioridade diferente do design padrão, pode criar grupos de coleções de regras personalizados com os valores de prioridade desejados. Nesse cenário, você não usa os grupos de coleções de regras padrão, e usa apenas aqueles que você cria para personalizar a lógica de processamento.
Os grupos de coleções de regras contêm uma ou várias coleções de regras, que podem ser do tipo DNAT, rede ou aplicativo. Por exemplo, você pode agrupar regras que pertencem às mesmas cargas de trabalho ou a uma virtual em um grupo de coleções de regras.
Para limites do tamanho de grupo de coleção de regras, consulte Limites, cotas e restrições de assinatura e serviço do Azure.
Coleções de regras
Uma coleção de regras pertence a um grupo de coleções de regras e contém uma ou várias regras. Ela consiste na segunda unidade a ser processada pelo firewall e segue uma ordem de prioridade com base em valores. As coleções de regras devem ter uma ação definida (permitir ou negar) e um valor de prioridade. A ação definida se aplica a todas as regras na coleção de regras. O valor de prioridade determina a ordem em que as coleções de regras são processadas.
Há três tipos de coleções de regras:
- DNAT
- Rede
- Aplicativo
Os tipos de regras devem corresponder à categoria da coleção de regras pai. Por exemplo, uma regra DNAT só pode fazer parte de uma coleção de regras DNAT.
Regras
Uma regra pertence a uma coleção de regras e especifica qual tráfego é permitido ou negado na rede. Elas são a terceira unidade que o firewall processa e não seguem uma ordem de prioridade com base nos valores. A lógica de processamento das regras segue uma abordagem de cima para baixo. O firewall usa regras definidas para avaliar todo o tráfego que passa pelo firewall para determinar se ele corresponde a uma condição de permissão ou negação. Se não houver nenhuma regra que permita o tráfego, ele será negado por padrão.
Nossa coleção de regras de infraestrutura interna processa o tráfego para regras de aplicativo antes de negá-la por padrão.
Entrada versus saída
Uma regra de firewall de entrada protege sua rede contra ameaças originadas de fora dela (tráfego proveniente da Internet) que tentam se infiltrar na rede internamente.
Uma regra de firewall de saída protege contra tráfego mal-intencionado originado internamente (tráfego proveniente de um endereço IP privado no Azure) que se desloca para fora. Geralmente, esse tráfego é originado de dentro dos recursos do Azure e redirecionado pelo firewall antes de chegar a um destino.
Tipos de regras
Há três tipos de regras:
- DNAT
- Rede
- Aplicativo
Regras DNAT
As regras DNAT permitem ou negam o tráfego de entrada por meio de um ou mais endereços IP públicos do firewall. É possível usar uma regra DNAT para que um endereço IP público seja convertido em privado. Os endereços IP públicos do Firewall do Azure podem ser usados para escutar o tráfego de entrada da Internet, filtrá-lo e convertê-lo em recursos internos no Azure.
Regras de rede
As regras de rede permitem ou negam os tráfegos de entrada, de saída e de leste-oeste com base na camada de rede (L3) e na camada de transporte (L4).
É possível usar uma regra de rede para filtrar o tráfego com base em endereços IP, portas e protocolos.
Regras de aplicativo
As regras de aplicativo permitem ou negam o tráfego de saída e de leste-oeste com base na camada de aplicativo (L7). É possível usar uma regra de aplicativo para filtrar o tráfego com base em FQDNs (nomes de domínio totalmente qualificados), URLs e protocolos HTTP/HTTPS.
Próximas etapas
- Para saber mais sobre o processamento de regras do Firewall do Azure, confira Configurar as regras do Firewall do Azure.