你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理策略。 这些策略将在整个资源中强制实施不同的规则和效果,使这些资源符合公司标准和服务级别协议。 Azure Policy 通过评估资源是否符合指定策略来实现此目标。 例如,可以设置一项策略,仅允许环境中有特定大小的虚拟机或强制对资源使用特定标记。
Azure Policy 可用于通过应用策略来定义允许或禁止哪些配置,从而管理 Azure 防火墙配置。 这有助于确保防火墙设置符合组织合规性要求和安全最佳做法。
先决条件
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
策略可用于 Azure 防火墙
以下策略适用于 Azure 防火墙:
在 Azure 防火墙策略中启用威胁情报
此策略可确保未启用威胁情报的任何 Azure 防火墙配置都被标记为不合规。
跨多个可用性区域部署 Azure 防火墙
该策略仅允许在配置了多个可用性区域的情况下部署 Azure 防火墙。
将 Azure 防火墙标准版升级到高级版
此策略建议将 Azure 防火墙标准版升级到高级版,以便可使用高级版的所有高级防火墙功能。 这进一步增强了网络的安全性。
应启用 Azure 防火墙策略分析
此策略可确保在防火墙上启用策略分析,以有效地调整和优化防火墙规则。
Azure 防火墙应仅允许加密流量
此策略会分析 Azure 防火墙策略中的现有规则和端口,并审核防火墙策略,确保仅允许加密流量进入环境。
Azure 防火墙应启用 DNS 代理
此策略可确保在 Azure 防火墙部署上启用 DNS 代理功能。
在 Azure 防火墙高级版策略中启用 IDPS
此策略可确保在 Azure 防火墙部署上启用 IDPS 功能,以有效保护环境免受各种威胁和漏洞的影响。
在 Azure 防火墙策略上启用 TLS 检查
此策略要求启用 TLS 检查,以检测、警报和缓解 HTTPS 流量中的恶意活动。
从 Azure 防火墙经典规则迁移到防火墙策略
此策略建议从防火墙经典规则迁移到防火墙策略。
具有特定标记的 VNET 必须部署了 Azure 防火墙
此策略会查找具有指定标记的所有虚拟网络,并检查是否部署了 Azure 防火墙,并在不存在 Azure 防火墙时将其标记为不合规。
以下步骤演示如何创建强制所有防火墙规则启用威胁情报功能(“仅警报”或“警报并拒绝”)的 Azure Policy。 Azure Policy 范围设置为你创建的资源组。
创建资源组
此资源组设置为 Azure Policy 的范围,可在其中创建防火墙策略。
- 在 Azure 门户中,选择“创建资源”。
- 在搜索框中,键入“资源组”并按 Enter。
- 从搜索结果中选择“资源组”。
- 选择创建。
- 选择订阅。
- 键入资源组的名称。
- 选择区域。
- 选择“下一步:标记”。
- 选择“下一步: 查看 + 创建”。
- 选择创建。
创建 Azure Policy
现在,在新资源组中创建 Azure Policy。 此策略可确保任何防火墙策略都必须启用威胁情报。
- 在 Azure 门户中,选择“所有服务”。
- 在筛选器框中,键入“策略”并按 Enter。
- 在搜索结果中选择“策略”。
- 在“策略”页上,选择“入门”。
- 在“分配策略”下,选择“查看定义”。
- 在“定义”页上,在搜索框中键入“防火墙”。
- 选择“Azure 防火墙策略应启用威胁情报”。
- 选择“分配策略”。
- 对于“范围”,请选择你的订阅和新资源组。
- 选择“选择” 。
- 选择下一步。
- 在“参数”页上,清除“仅显示需要输入或评审的参数”复选框。
- 对于“效果”,请选择“拒绝”。
- 选择“查看 + 创建”。
- 选择“创建”。
创建防火墙策略
现在,尝试创建禁用了威胁情报的防火墙策略。
- 在 Azure 门户中,选择“创建资源”。
- 在搜索框中,键入“防火墙策略”,然后按 Enter。
- 在搜索结果中选择“防火墙策略”。
- 选择创建。
- 选择订阅。
- 对于“资源组”,请选择之前创建的资源组。
- 在“名称”文本框中,键入策略的名称。
- 选择“下一步: DNS 设置”。
- 继续选择,转到“威胁情报”页。
- 对于“威胁情报模式”,请选择“已禁用”。
- 选择“查看 + 创建”。
应该会看到一个错误,指出你的资源被策略禁止,确认 Azure Policy 不允许禁用了威胁情报的防火墙策略。