Marcas de serviço do Firewall do Azure
Uma marca de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regra de segurança. Você não pode criar sua própria marca de serviço ou especificar quais endereços IP estão incluídos em uma marca. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.
As marcas de serviço de Firewall do Azure podem ser usadas no campo de destino de regras de rede. Você pode usá-los no lugar de endereços IP específicos.
Marcas de serviço com suporte
O Firewall do Azure dá suporte às seguintes Marcas de Serviço a serem usadas nas regras da Rede Firewall do Azure:
- Marcas para vários serviços da Microsoft e Azure listadas em Marcas de serviço de rede virtual.
- Marcas para os endereços IP necessários dos serviços do Office365, divididos por produto e categoria do Office365. Você deve definir as portas TCP/UDP nas suas regras. Para obter mais informações, confira como Usar o Firewall do Azure para proteger Office 365.
Configuração
O Firewall do Azure dá suporte à configuração de marcas de serviço por meio do PowerShell, da CLI do Azure ou do portal do Azure.
Configurar por meio do Azure PowerShell
Nesse exemplo, estamos fazendo uma alteração em um Firewall do Azure usando regras clássicas. Precisamos, primeiro, obter o contexto para a nossa instância do Firewall do Azure criada anteriormente.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Em seguida, devemos criar uma nova regra. Para o Destino, você pode especificar o valor de texto da marca de serviço que deseja aproveitar, conforme mencionado anteriormente.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Em seguida, devemos atualizar a variável que contém nossa definição do Firewall do Azure com as novas regras de rede que criamos.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Por fim, devemos confirmar as alterações de regra de rede para a instância do firewall do Azure em execução.
Set-AzFirewall -AzureFirewall $azfirewall
Próximas etapas
Para saber mais sobre as regras do Firewall do Azure, confira Lógica de processamento de regra do Firewall do Azure.