Azure Firewall etiquetas de serviço
As etiquetas de serviço representam um grupo de prefixos de endereços IP, que ajudam a minimizar a complexidade da criação de regras de segurança. Não pode criar a sua própria etiqueta de serviço nem especificar que endereços IP estão incluídos numa etiqueta. A Microsoft gere os prefixos de endereços que as etiquetas abrangem e atualiza-as automaticamente à medida que os endereços são alterados.
Azure Firewall etiquetas de serviço podem ser utilizadas no campo de destino das regras de rede. Pode utilizá-los em vez de endereços IP específicos.
Etiquetas de serviço suportadas
Azure Firewall suporta as seguintes Etiquetas de Serviço a utilizar nas regras de Rede do Azure Firewall:
- Etiquetas para vários serviços da Microsoft e do Azure listados em Etiquetas de serviço de rede virtual.
- Etiquetas para os endereços IP necessários dos serviços do Office365, divididos por produto e categoria do Office365. Tem de definir as portas TCP/UDP nas suas regras. Para obter mais informações, consulte Utilizar Azure Firewall para proteger Office 365.
Configuração
Azure Firewall suporta a configuração de etiquetas de serviço através do PowerShell, da CLI do Azure ou do portal do Azure.
Configurar através do Azure PowerShell
Neste exemplo, primeiro temos de obter contexto para a nossa instância de Azure Firewall criada anteriormente.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Em seguida, temos de criar uma nova regra. Para o Destino, pode especificar o valor de texto da etiqueta de serviço que pretende tirar partido, conforme mencionado anteriormente.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Em seguida, temos de atualizar a variável que contém a nossa definição de Azure Firewall com as novas regras de rede que criámos.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Por último, temos de consolidar as alterações da Regra de Rede na instância de Azure Firewall em execução.
Set-AzFirewall -AzureFirewall $azfirewall
Passos seguintes
Para saber mais sobre as regras de Azure Firewall, veja Azure Firewall lógica de processamento de regras.