共用方式為

Azure 防火牆管理員原則概觀

  • 發行項

防火牆原則是設定 Azure 防火牆的建議方法。 這是全域資源,可使用於安全虛擬中樞及中樞虛擬網路中的多個 Azure 防火牆執行個體。 原則可跨地區和訂用帳戶運作。

Azure 防火牆 管理員原則

建立和關聯原則

您可以透過多種方式建立和管理原則,包括 Azure 入口網站、REST API、範本、Azure PowerShell、CLI 和 Terraform。

您也可以使用入口網站或 Azure PowerShell,從 Azure 防火牆遷移現有的傳統規則,以建立原則。 如需詳細資訊,請參閱如何將 Azure 防火牆組態遷移至 Azure 防火牆原則

原則可與一或多個虛擬中樞或 VNet 相關聯。 防火牆可位於與您的帳戶相關聯的任何訂用帳戶以及任何區域中。

傳統規則和原則

Azure 防火牆支援傳統規則和原則,但原則是建議的設定。 下表是原則和傳統規則的比較:

主旨 原則 傳統規則
包含 NAT、網路、應用程式規則、自訂 DNS 和 DNS Proxy 設定、IP 群組和威脅情報設定 (包括允許清單)、IDPS、TLS 檢查、Web 類別、URL 篩選 NAT、網路和應用程式規則、自訂 DNS 和 DNS Proxy 設定、IP 群組和威脅情報設定 (包括允許清單)
保護 虛擬中樞與虛擬網路 僅限虛擬網路
入口網站體驗 使用防火牆管理員進行集中管理 獨立防火牆體驗
多重防火牆支援 防火牆原則是可跨防火牆使用的個別資源 手動匯出和匯入規則,或使用第三方管理解決方案
定價 根據防火牆關聯計費。 請參閱定價 免費
支援的部署機制 入口網站、REST API、範本、Azure PowerShell 和 CLI 入口網站、REST API、範本、PowerShell 和 CLI。

基本、標準和進階原則

Azure 防火牆支援基本、標準和進階原則。 下表摘要說明這些原則之間的差異:

原則類型 功能支援 防火牆 SKU 支援
基本原則 NAT 規則、網路規則、應用程式規則
IP 群組
威脅情報模式 (警示)		 基本
標準原則 NAT 規則、網路規則、應用程式規則
自訂 DNS、DNS Proxy
IP 群組
Web 類別
威脅情報		 標準或進階
進階原則 所有標準功能支援,以及:

TLS 檢查
Web 類別
URL 篩選
IDPS		 進階

階層式原則

您可從頭開始建立新原則,或繼承自現有的原則。 繼承可讓 DevOps 在組織規定的基本原則之上建立本機防火牆原則。

使用非空白父代原則所建立的原則,會繼承父代原則的所有規則集合。 父原則和子原則必須位於相同的區域中。 防火牆原則可以與跨區域的防火牆相關聯,而不論其儲存位置為何。

繼承自父代原則的網路規則集合,一律優先於已定義為新原則一部分的網路規則集合。 相同的邏輯也適用於應用程式規則集合。 然而,不管繼承,網路規則集合一律比應用程式規則集合優先處理。

威脅情報模式也是繼承自父代原則。 您可以將威脅情報模式設定為不同的值來覆寫此行為,但是無法將其關閉。 您只能使用更嚴格的值覆寫。 例如,如果父代原則設為 [僅限警示],您可將此本機原則設定為 [警示並拒絕]

就像威脅情報模式一樣,威脅情報允許清單也是繼承自父代原則。 子系原則可以將更多 IP 位址新增至允許清單。

NAT 規則集合不會被繼承,因為其專屬於特定的防火牆。

透過繼承,對父代原則所做的任何變更都會自動向下套用至相關聯的防火牆子系原則。

內建高可用性

內建高可用性,因此不需要進行設定。 您可以在任何區域中建立 Azure 防火牆原則物件,並將其全域連結至相同 Azure AD 租用戶者下的多個 Azure 防火牆執行個體。 如果您建立原則的區域關閉並具有配對的區域,ARM(Azure Resource Manager) 物件元數據會自動故障轉移至次要區域。 在故障轉移期間,如果沒有配對的單一區域仍處於失敗狀態,則您無法修改 Azure 防火牆 Policy 物件。 不過,連結至防火牆原則的 Azure 防火牆執行個體會繼續運作。 如需詳細資訊,請參閱 Azure 中的跨區域複寫:商務持續性和災害復原

定價

原則會根據防火牆關聯計費。 具有零個或一個防火牆關聯的原則是免費的。 具有多個防火牆關聯的原則會以固定費率計費。 如需詳細資訊,請參閱 Azure 防火牆管理員定價

下一步