Наборы правил политики Брандмауэра Azure
Политика брандмауэра — это ресурс верхнего уровня, который содержит параметры безопасности и работоспособности для брандмауэра Azure. Политику брандмауэра можно использовать для управления наборами правил, используемыми Брандмауэром Azure для фильтрации трафика. Политика брандмауэра упорядочивает, устанавливает приоритеты и обрабатывает наборы правил на основе иерархии со следующими компонентами: группы коллекций правил, коллекции правил и правила.
Группы коллекций правил
Группа коллекции правил используется для группировки коллекций правил. Это первый модуль, который обрабатывает брандмауэр, и они следуют приоритету порядка на основе значений. Существует три группы коллекций правил по умолчанию, и их значения приоритета предопределены изначально. Они обрабатываются в следующем порядке:
| Имя группы коллекций правил | Приоритет |
|---|---|
| Группа коллекций правил DNAT (преобразования сетевых адресов назначения) по умолчанию | 100 |
| Группа коллекций правил сети по умолчанию | 200 |
| Группа коллекций правил приложения по умолчанию | 300 |
Несмотря на то, что нельзя удалять группы коллекций правил по умолчанию и изменять их значения приоритета, можно управлять порядком обработки другим образом. Если необходимо определить порядок приоритетов, отличный от проекта по умолчанию, можно создать настраиваемые группы коллекций правил с нужными значениями приоритета. В этом случае вы не используете группы коллекций правил по умолчанию, а используете только те из них, которые вы создали для настройки логики обработки.
Группы коллекций правил содержат одну или несколько коллекций правил, которые могут иметь тип "DNAT", "сеть" или "приложение". Например, можно группировать правила, относящиеся к одной рабочей нагрузке или виртуальной в группе коллекций правил.
Сведения об ограничениях размера группы коллекций правил см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Коллекции правил
Коллекция правил принадлежит к группе коллекции правил и содержит одно или несколько правил. Это вторая единица, которая обрабатывается брандмауэром и соответствует приоритету на основе значений. Коллекции правил должны иметь определенное действие (разрешение или запрет) и значение приоритета. Определенное действие применяется ко всем правилам в коллекции правил. Значение приоритета определяет порядок обработки коллекций правил.
Есть три типа коллекций правил:
- DNAT
- Network
- Приложение
Типы правил должны соответствовать их категории родительской коллекции правил. Например, правило DNAT может быть частью коллекции правил DNAT.
Правила
Правило принадлежит к коллекции правил и указывает, какой трафик разрешен или запрещен в сети. Это третий модуль, который обрабатывает брандмауэр, и они не соответствуют приоритету порядка на основе значений. Логика обработки правил соответствует подходу "сверху вниз". Брандмауэр использует определенные правила для оценки всего трафика, передаваемого через брандмауэр, чтобы определить, соответствует ли он условию разрешения или запрета. Если правила, разрешающие трафик, отсутствуют, по умолчанию трафик отклоняется.
Наша встроенная коллекция правил инфраструктуры обрабатывает трафик для правил приложения, прежде чем запретить его по умолчанию.
Входящий и исходящий трафик
Правило брандмауэра для входящего трафика защищает вашу сеть от угроз, исходящих извне сети (трафик, исходящий из Интернета) и пытается внутренне ввести сеть.
Правило брандмауэра исходящего трафика защищает от нефаретного трафика, который происходит внутренне (трафик, исходящий из частного IP-адреса в Azure) и перемещается внешне. Обычно это трафик из ресурсов Azure, которые перенаправляются через брандмауэр, прежде чем достичь назначения.
Типы правил
Есть такие три типа правил:
- DNAT
- Network
- Приложение
Правила DNAT
Правила DNAT разрешают или запрещают входящий трафик через один или несколько общедоступных IP-адресов брандмауэра. Правило DNAT можно использовать, если требуется, чтобы общедоступный IP-адрес был преобразован в частный IP-адрес. Общедоступные IP-адреса брандмауэра Azure можно использовать для прослушивания входящего трафика из Интернета, фильтрации трафика и преобразования этого трафика во внутренние ресурсы в Azure.
Правила сети
Правила сети разрешают или запрещают входящий, исходящий и восточный трафик на сетевом (L3) и транспортном (L4) уровнях.
Правило сети можно использовать, если требуется фильтровать трафик по IP-адресам, портам и любым протоколам.
Правила приложений
Правила приложения разрешают или запрещают исходящий и горизонтальный трафик на основе уровня приложения (L7). Вы можете использовать правило приложения, если требуется фильтровать трафик на основе полных доменных имен (FQDN), URL-адресов и протоколов HTTP/HTTPS.
Следующие шаги
- Дополнительные сведения об обработке правил брандмауэра Azure см. в разделе Настройка правил брандмауэра Azure.