Azure Firewall tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix och används i syfte att minska komplexiteten vid skapande av säkerhetsregler. Du kan inte skapa en egen tjänsttagg eller ange vilka IP-adresser som ingår i en tagg. Microsoft hanterar adressprefix som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.
Azure Firewall tjänsttaggar kan användas i målfältet för nätverksregler. Du kan använda dem i stället för specifika IP-adresser.
Tjänsttaggar som stöds
Azure Firewall stöder följande tjänsttaggar som ska användas i Azure Firewall nätverksregler:
- Taggar för olika Microsoft- och Azure-tjänster som anges i tjänsttaggar för virtuella nätverk.
- Taggar för nödvändiga IP-adresser för Office365-tjänster, uppdelade efter Office365-produkt och -kategori. Du måste definiera TCP/UDP-portarna i dina regler. Mer information finns i Använda Azure Firewall för att skydda Office 365.
Konfiguration
Azure Firewall stöder konfiguration av tjänsttaggar via PowerShell, Azure CLI eller Azure Portal.
Konfigurera via Azure PowerShell
I det här exemplet måste vi först få kontext till vår tidigare skapade Azure Firewall-instans.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Sedan måste vi skapa en ny regel. För målet kan du ange textvärdet för den tjänsttagg som du vill använda, som nämnts tidigare.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
Därefter måste vi uppdatera variabeln som innehåller vår Azure Firewall definition med de nya nätverksregler som vi skapade.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Slutligen måste vi checka in ändringar i nätverksregeln för den Azure Firewall instans som körs.
Set-AzFirewall -AzureFirewall $azfirewall
Nästa steg
Mer information om Azure Firewall regler finns i Azure Firewall logik för regelbearbetning.