Översikt över Azure Firewall Manager-princip
Brandväggsprincip är den rekommenderade metoden för att konfigurera azure-brandväggen. Det är en global resurs som kan användas i flera Azure Firewall-instanser i skyddade virtuella hubbar och virtuella hubbar. Principer fungerar mellan regioner och prenumerationer.
Skapa och associera principer
En princip kan skapas och hanteras på flera sätt, inklusive Azure-portalen, REST API, mallar, Azure PowerShell, CLI och Terraform.
Du kan också migrera befintliga klassiska regler från Azure Firewall med hjälp av portalen eller Azure PowerShell för att skapa principer. Mer information finns i Migrera Azure Firewall-konfigurationer till Azure Firewall-princip.
Principer kan associeras med en eller flera virtuella hubbar eller virtuella nätverk. Brandväggen kan finnas i valfri prenumeration som är associerad med ditt konto och i valfri region.
Klassiska regler och principer
Azure Firewall stöder både klassiska regler och principer, men principer är den rekommenderade konfigurationen. I följande tabell jämförs principer och klassiska regler:
| Ämne | Policy | Klassiska regler |
|---|---|---|
| Innehåller | NAT, nätverk, programregler, anpassade DNS- och DNS-proxyinställningar, IP-grupper och hotinformationsinställningar (inklusive allowlist), IDPS, TLS-inspektion, webbkategorier, URL-filtrering | NAT-, nätverks- och programregler, anpassade DNS- och DNS-proxyinställningar, IP-grupper och hotinformationsinställningar (inklusive allowlist) |
| Skyddar | Virtuella hubbar och virtuella nätverk | Endast virtuella nätverk |
| Portalupplevelse | Central hantering med Firewall Manager | Fristående brandväggsupplevelse |
| Stöd för flera brandväggar | Brandväggsprincip är en separat resurs som kan användas i brandväggar | Exportera och importera regler manuellt eller använda hanteringslösningar från tredje part |
| Prissättning | Faktureras baserat på brandväggsassociation. Se Priser. | Kostnadsfri |
| Distributionsmekanismer som stöds | Portal, REST API, mallar, Azure PowerShell och CLI | Portal, REST API, mallar, PowerShell och CLI. |
Principer för Basic, Standard och Premium
Azure Firewall stöder principer för Basic, Standard och Premium. I följande tabell sammanfattas skillnaden mellan dessa principer:
| Principtyp | Funktionsstöd | SKU-stöd för brandvägg |
|---|---|---|
| Grundläggande princip | NAT-regler, nätverksregler, programregler IP-grupper Hotinformation (aviseringar) |
Grundläggande |
| Standardprincip | NAT-regler, nätverksregler, programregler Anpassad DNS, DNS-proxy IP-grupper Webbkategorier Hotinformation |
Standard eller Premium |
| Premium-princip | All standardfunktionssupport, plus: TLS-inspektion Webbkategorier URL-filtrering IDPS |
Premium |
Hierarkiska principer
Nya principer kan skapas från grunden eller ärvas från befintliga principer. Med arv kan DevOps skapa lokala brandväggsprinciper ovanpå organisationens mandatbasprincip.
Principer som skapats med icke-tomma överordnade principer ärver alla regelsamlingar från den överordnade principen. Den överordnade principen och den underordnade principen måste finnas i samma region. En brandväggsprincip kan associeras med brandväggar mellan regioner oavsett var de lagras.
Nätverksregelsamlingar som ärvs från en överordnad princip prioriteras alltid framför nätverksregelsamlingar som definierats som en del av en ny princip. Samma logik gäller även för programregelsamlingar. Nätverksregelsamlingar bearbetas dock alltid före programregelsamlingar oavsett arv.
Hotinformationsläget ärvs också från den överordnade principen. Du kan ange hotinformationsläget till ett annat värde för att åsidosätta det här beteendet, men du kan inte inaktivera det. Det går bara att åsidosätta med ett striktare värde. Om din överordnade princip till exempel endast är inställd på Avisering kan du konfigurera den här lokala principen till Avisering och neka.
Precis som hotinformationsläget ärvs listan över tillåtna hotinformation från den överordnade principen. Den underordnade principen kan lägga till fler IP-adresser i listan över tillåtna adresser.
NAT-regelsamlingar ärvs inte eftersom de är specifika för en viss brandvägg.
Med arv tillämpas alla ändringar i den överordnade principen automatiskt på associerade brandväggsprinciper för underordnade brandväggar.
Inbyggd hög tillgänglighet
Hög tillgänglighet är inbyggd, så det finns inget du behöver konfigurera. Du kan skapa ett Azure Firewall Policy-objekt i valfri region och länka det globalt till flera Azure Firewall-instanser under samma Azure AD-klientorganisation. Om den region där du skapar principen går ned och har en länkad region redundansväxlar ARM-objektmetadata (Azure Resource Manager) automatiskt över till den sekundära regionen. Under redundansväxlingen, eller om en region utan par förblir i ett feltillstånd, kan du inte ändra Azure Firewall Policy-objektet. Azure Firewall-instanserna som är länkade till brandväggsprincipen fortsätter dock att fungera. Mer information finns i Replikering mellan regioner i Azure: Affärskontinuitet och haveriberedskap.
Prissättning
Principer faktureras baserat på brandväggsassociationer. En princip med noll eller en brandväggsassociation är kostnadsfri. En princip med flera brandväggsassociationer debiteras med fast hastighet. Mer information finns i Prissättning för Azure Firewall Manager.
Nästa steg
- Lär dig hur du distribuerar en Azure Firewall – Självstudie: Skydda ditt molnnätverk med Azure Firewall Manager med hjälp av Azure-portalen
- Läs mer om Nätverkssäkerhet i Azure