Partilhar via

Tags de serviço do Firewall do Azure

  • Artigo

As etiquetas de serviço representam um grupo de prefixos de endereços IP, que ajudam a minimizar a complexidade da criação de regras de segurança. Você não pode criar sua própria tag de serviço, nem especificar quais endereços IP estão incluídos em uma tag. A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.

As tags de serviço do Firewall do Azure podem ser usadas no campo de destino das regras de rede. Você pode usá-los no lugar de endereços IP específicos.

Tags de serviço suportadas

O Firewall do Azure dá suporte às seguintes Tags de Serviço para usar nas regras da Rede de Firewall do Azure:

  • Tags para vários serviços da Microsoft e do Azure listados em Tags de serviço de rede virtual.
  • Tags para os endereços IP necessários dos serviços do Office365, divididos por produto e categoria do Office365. Você deve definir as portas TCP/UDP em suas regras. Para obter mais informações, consulte Usar o Firewall do Azure para proteger o Office 365.

Configuração

O Firewall do Azure dá suporte à configuração de marcas de serviço por meio do PowerShell, da CLI do Azure ou do portal do Azure.

Configurar através do Azure PowerShell

Neste exemplo, estamos fazendo uma alteração em um Firewall do Azure usando regras clássicas. Primeiro, precisamos obter contexto para nossa instância do Firewall do Azure criada anteriormente.

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

Em seguida, temos de criar uma nova regra. Para o Destino, você pode especificar o valor de texto da etiqueta de serviço que deseja aproveitar, conforme mencionado anteriormente.

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

Em seguida, devemos atualizar a variável que contém nossa definição de Firewall do Azure com as novas regras de rede que criamos.

$azFirewall.NetworkRuleCollections.add($ruleCollection)

Por último, devemos confirmar as alterações da Regra de Rede na instância do Firewall do Azure em execução.

Set-AzFirewall -AzureFirewall $azfirewall

Próximos passos

Para saber mais sobre as regras do Firewall do Azure, consulte Lógica de processamento de regras do Firewall do Azure.