Azure 防火牆原則規則集
防火牆原則是最上層資源,其中包含 Azure 防火牆的安全性和操作設定。 您可以使用防火牆原則來管理 Azure 防火牆用來篩選流量的規則集。 防火牆原則會根據具有下列元件的階層來組織、排定優先順序及處理規則集:規則集合群組、規則集合和規則。
規則集合群組
規則集合群組是用來將規則集合分組。 它們是 Azure 防火牆第一個處理的單位,而且會根據值排定優先順序。 有三個預設規則集合群組,且其優先順序值設計成預設。 它們的處理順序如下:
| 規則集合群組名稱 | 優先順序 |
|---|---|
| 預設 DNAT (目的地網路位址轉譯) 規則集合群組 | 100 |
| 預設網路規則集合群組 | 200 |
| 預設應用程式規則集合群組 | 300 |
雖然您無法刪除預設規則集合群組,也無法修改其優先順序值,但您可以採用不同方式來操作其處理順序。 如果您需要定義不同於預設設計的優先順序,您可以使用想要的優先順序值來建立自訂規則集合群組。 在此案例中,您完全不會使用預設規則集合群組,只使用您建立的群組來自訂處理邏輯。
規則集合群組包含一或多個規則集合,其類型可以是 DNAT、網路或應用程式。 例如,您可以將屬於相同工作負載的規則或規則集合群組中的 VNet 分組。
如需規則集合群組大小限制,請參閱 Azure 訂用帳戶和服務限制、配額與限制。
規則集合
規則集合屬於規則集合群組,且包含一或多個規則。 它們是防火牆第二個處理的單位,而且會根據值排定優先順序。 規則集合必須具有已定義的動作 (允許或拒絕) 和優先順序值。 定義的動作會套用至規則集合中的所有規則。 優先順序值會決定規則集合的處理順序。
規則集合有三種類型:
- DNAT
- 網路
- 申請
規則類型必須符合其父規則集合類別。 例如,DNAT 規則只能是 DNAT 規則集合的一部分。
規則
規則屬於規則集合,並指定網路所允許或拒絕的流量。 它們是防火牆第三個處理的單位,而且不會根據值排定優先順序。 規則的處理邏輯採用由上而下方法。 通過防火牆的所有流量都會由已定義的允許或拒絕比對規則進行評估。 如果沒有允許流量的規則,則會依預設拒絕流量。
針對應用程式規則,流量會先由內建基礎結構規則集合處理,然後才會依預設拒絕。
輸入與輸出
輸入防火牆規則可保護網路不受來自網路外部的威脅 (來自網際網路的流量),並嘗試向內滲透網路。
輸出防火牆規則可防止來自內部 (來自 Azure 私人 IP 位址的流量),並向外移動的惡意流量。 這通常是到達目的地之前,透過防火牆來自 Azure 資源內重新導向的流量。
規則類型
規則類型有三種:
- DNAT
- 網路
- 申請
DNAT 規則
DNAT 規則會允許或拒絕透過防火牆公用 IP 位址的輸入流量。 當您想要將公用 IP 位址轉譯成私人 IP 位址時,可以使用 DNAT 規則。 Azure 防火牆公用 IP 位址可用來接聽來自網際網路的輸入流量、篩選流量,並將此流量轉譯為 Azure 中的內部資源。
網路規則
網路規則會根據網路層 (L3) 和傳輸層 (L4),允許或拒絕輸入流量、輸出流量和東-西流量。
當您想要根據 IP 位址、任何連接埠和任何通訊協定來篩選流量時,可以使用網路規則。
應用程式規則
應用程式規則會根據應用程式層 (L7),允許或拒絕輸出流量和東-西流量。 當您想要根據完整網域名稱 (FQDN)、URL 和 HTTP/HTTPS 通訊協定篩選流量時,您可以使用應用程式規則。
下一步
- 若要深入了解 Azure 防火牆規則處理,請參閱設定 Azure 防火牆規則。