Azure 防火牆管理員原則概觀
防火牆原則是設定 Azure 防火牆的建議方法。 這是全域資源,可使用於安全虛擬中樞及中樞虛擬網路中的多個 Azure 防火牆執行個體。 原則可跨地區和訂用帳戶運作。
建立和關聯原則
您可透過多種方式來建立和管理原則,包括 Azure 入口網站、REST API、範本、Azure PowerShell、CLI 和 Terraform。
您也可以使用入口網站或 Azure PowerShell,從 Azure 防火牆遷移現有的傳統規則,以建立原則。 如需詳細資訊,請參閱如何將 Azure 防火牆組態遷移至 Azure 防火牆原則。
原則可與一或多個虛擬中樞或 VNet 相關聯。 防火牆可位於與您的帳戶相關聯的任何訂用帳戶以及任何區域中。
傳統規則和原則
Azure 防火牆支援傳統規則和原則,但原則是建議的設定。 下表是原則和傳統規則的比較:
主旨 | 原則 | 傳統規則 |
---|---|---|
包含 | NAT、網路、應用程式規則、自訂 DNS 和 DNS Proxy 設定、IP 群組和威脅情報設定 (包括允許清單)、IDPS、TLS 檢查、Web 類別、URL 篩選 | NAT、網路和應用程式規則、自訂 DNS 和 DNS Proxy 設定、IP 群組和威脅情報設定 (包括允許清單) |
保護 | 虛擬中樞與虛擬網路 | 僅限虛擬網路 |
入口網站體驗 | 使用防火牆管理員進行集中管理 | 獨立防火牆體驗 |
多重防火牆支援 | 防火牆原則是可跨防火牆使用的個別資源 | 手動匯出和匯入規則,或使用第三方管理解決方案 |
定價 | 根據防火牆關聯計費。 請參閱定價。 | 免費 |
支援的部署機制 | 入口網站、REST API、範本、Azure PowerShell 和 CLI | 入口網站、REST API、範本、PowerShell 和 CLI。 |
基本、標準和進階原則
Azure 防火牆支援基本、標準和進階原則。 下表摘要說明這些原則之間的差異:
原則類型 | 功能支援 | 防火牆 SKU 支援 |
---|---|---|
基本原則 | NAT 規則、網路規則、應用程式規則 IP 群組 威脅情報模式 (警示) |
基本 |
標準原則 | NAT 規則、網路規則、應用程式規則 自訂 DNS、DNS Proxy IP 群組 Web 類別 威脅情報 |
標準或進階 |
進階原則 | 所有標準功能支援,以及: TLS 檢查 Web 類別 URL 篩選 IDPS |
進階 |
階層式原則
您可從頭開始建立新原則,或繼承自現有的原則。 繼承可讓 DevOps 在組織規定的基本原則之上建立本機防火牆原則。
使用非空白父代原則所建立的原則,會繼承父代原則的所有規則集合。 父原則和子原則必須位於相同的區域中。 無論防火牆原則儲存在什麼位置,都可以與跨區域的防火牆建立關聯。
繼承自父代原則的網路規則集合,一律優先於已定義為新原則一部分的網路規則集合。 相同的邏輯也適用於應用程式規則集合。 然而,不管繼承,網路規則集合一律比應用程式規則集合優先處理。
威脅情報模式也是繼承自父代原則。 您可以將威脅情報模式設定為不同的值來覆寫此行為,但是無法將其關閉。 您只能使用更嚴格的值覆寫。 例如,如果父代原則設為 [僅限警示],您可將此本機原則設定為 [警示並拒絕]。
就像威脅情報模式一樣,威脅情報允許清單也是繼承自父代原則。 子系原則可以將更多 IP 位址新增至允許清單。
NAT 規則集合不會被繼承,因為其專屬於特定的防火牆。
透過繼承,對父代原則所做的任何變更都會自動向下套用至相關聯的防火牆子系原則。
內建高可用性
內建高可用性,因此不需要進行設定。 您可以在任何區域中建立 Azure 防火牆原則物件,並將其全域連結至相同 Azure AD 租用戶者下的多個 Azure 防火牆執行個體。 如果您建立原則的區域關閉並且有配對的區域,則 ARM (Azure Resource Manager) 物件中繼資料會自動容錯移轉至次要區域。 在容錯移轉期間,或是如果沒有配對的單一區域仍處於失敗狀態,則您無法修改 Azure 防火牆原則物件。 不過,連結至防火牆原則的 Azure 防火牆執行個體會繼續運作。 如需詳細資訊,請參閱 Azure 中的跨區域複寫:商務持續性和災害復原。
定價
原則會根據防火牆關聯計費。 具有零個或一個防火牆關聯的原則是免費的。 具有多個防火牆關聯的原則會以固定費率計費。 如需詳細資訊,請參閱 Azure 防火牆管理員定價。
下一步
- 了解如何部署 Azure 防火牆 - 教學課程:使用 Azure 入口網站以 Azure 防火牆管理員保護您的雲端網路
- 深入了解 Azure 網路安全性