Conjuntos de regras da Política de Firewall do Azure

  • Artigo

A Política de Firewall é um recurso de nível superior que contém configurações operacionais e de segurança para o Firewall do Azure. Você pode usar a Política de Firewall para gerenciar conjuntos de regras que o Firewall do Azure usa para filtrar o tráfego. A política de firewall organiza, prioriza e processa os conjuntos de regras com base em uma hierarquia com os seguintes componentes: grupos de coleta de regras, coleções de regras e regras.

Azure Policy rule set hierarchy

Grupos de coleta de regras

Um grupo de coleta de regras é usado para agrupar coleções de regras. Eles são a primeira unidade a ser processada pelo Firewall do Azure e seguem uma ordem de prioridade com base em valores. Há três grupos de coleta de regras padrão e seus valores de prioridade são predefinidos por design. Eles são processados na seguinte ordem:

Nome do grupo de recolha de regras Prioridade
Grupo de coleta de regras DNAT (Conversão de Endereço de Rede de Destino) padrão 100
Grupo de recolha de regras de rede predefinido 200
Grupo de coleta de regras de aplicativo padrão 400

Embora não seja possível excluir os grupos de coleta de regras padrão nem modificar seus valores de prioridade, você pode manipular sua ordem de processamento de uma maneira diferente. Se precisar definir uma ordem de prioridade diferente do design padrão, você poderá criar grupos de coleta de regras personalizados com os valores de prioridade desejados. Nesse cenário, você não usa os grupos de coleta de regras padrão e usa apenas os que você cria para personalizar a lógica de processamento.

Os grupos de coleta de regras contêm uma ou várias coleções de regras, que podem ser do tipo DNAT, rede ou aplicativo. Por exemplo, você pode agrupar regras pertencentes às mesmas cargas de trabalho ou uma VNet em um grupo de coleta de regras.

Para limites de tamanho do grupo de coleta de regras, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.

Coleções de regras

Uma coleção de regras pertence a um grupo de coleta de regras e contém uma ou várias regras. Eles são a segunda unidade processada pelo firewall e seguem uma ordem de prioridade baseada em valores. As coleções de regras devem ter uma ação definida (permitir ou negar) e um valor de prioridade. A ação definida aplica-se a todas as regras dentro da coleção de regras. O valor de prioridade determina a ordem em que as coleções de regras são processadas.

Existem três tipos de coleções de regras:

  • DNAT
  • Rede
  • Aplicação

Os tipos de regra devem corresponder à categoria de coleção de regras pai. Por exemplo, uma regra DNAT só pode fazer parte de uma coleção de regras DNAT.

Regras

Uma regra pertence a uma coleção de regras e especifica qual tráfego é permitido ou negado na rede. Eles são a terceira unidade a ser processada pelo firewall e não seguem uma ordem de prioridade baseada em valores. A lógica de processamento das regras segue uma abordagem descendente. Todo o tráfego que passa pelo firewall é avaliado pelas regras definidas para uma correspondência de permissão ou negação. Se não houver nenhuma regra que permita o tráfego, o tráfego será negado por padrão.

Para regras de aplicativo, o tráfego é processado por nossa coleção de regras de infraestrutura interna antes de ser negado por padrão.

Entrada vs. saída

Uma regra de firewall de entrada protege a sua rede contra ameaças que se originam fora da sua rede (tráfego proveniente da Internet) e tentativas de se infiltrar na sua rede interiormente.

Uma regra de firewall de saída protege contra tráfego nefasto que se origina internamente (tráfego originado de um endereço IP privado no Azure) e viaja para fora. Normalmente, trata-se de tráfego proveniente dos recursos do Azure que está a ser redirecionado através da Firewall antes de chegar a um destino.

Tipos de regras

Existem três tipos de regras:

  • DNAT
  • Rede
  • Aplicação

Regras DNAT

As regras DNAT permitem ou negam o tráfego de entrada através do(s) endereço(s) IP público(s) do firewall. Você pode usar uma regra DNAT quando quiser que um endereço IP público seja convertido em um endereço IP privado. Os endereços IP públicos do Firewall do Azure podem ser usados para ouvir o tráfego de entrada da Internet, filtrar o tráfego e traduzir esse tráfego para recursos internos no Azure.

Regras de rede

As regras de rede permitem ou negam tráfego de entrada, saída e leste-oeste com base na camada de rede (L3) e na camada de transporte (L4).
Você pode usar uma regra de rede quando quiser filtrar o tráfego com base em endereços IP, portas e protocolos.

Regras de aplicação

As regras de aplicativo permitem ou negam o tráfego de saída e leste-oeste com base na camada de aplicativo (L7). Você pode usar uma regra de aplicativo quando quiser filtrar o tráfego com base em FQDNs (nomes de domínio totalmente qualificados), URLs e protocolos HTTP/HTTPS.

Próximos passos

  • Saiba mais sobre o processamento de regras do Firewall do Azure: Configurar regras do Firewall do Azure.