Azure 防火牆服務標籤

服務標籤代表一組 IP 位址首碼，可協助將建立安全性規則的複雜性降至最低。 您無法建立自己的服務標籤，也無法指定標籤中包含哪些 IP 位址。 Microsoft 會管理服務標籤所包含的位址首碼，並在位址變更時自動更新服務標籤。

Azure 防火牆服務標籤可用於網路規則目的地欄位。 您可以使用它們來取代特定 IP 位址。

支援的服務標籤

Azure 防火牆支援下列服務標籤，以用於 Azure 防火牆網路規則：

• 虛擬網路服務標籤中列出 Microsoft 和 Azure 服務的各種標籤。
• Office365 服務所需 IP 位址的標籤，依 Office365 產品和類別分割。 您必須在規則中定義 TCP/UDP 連接埠。 如需詳細資訊，請參閱使用 Azure 防火牆來保護 Office 365。

組態

Azure 防火牆支援透過 PowerShell、Azure CLI 或 Azure 入口網站設定服務標籤。

透過 Azure PowerShell 進行設定

在此範例中，我們會使用傳統規則變更 Azure 防火牆。 我們必須先取得先前建立 Azure 防火牆執行個體的內容。

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

接下來，我們必須建立新規則。 您可以針對目的地指定您想要運用的服務標籤文字值，如先前所述。

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

接下來，我們必須使用建立的新網路規則來更新包含 Azure 防火牆定義的變數。

$azFirewall.NetworkRuleCollections.add($ruleCollection)

最後，我們必須將網路規則變更認可到執行中的 Azure 防火牆執行個體。

Set-AzFirewall -AzureFirewall $azfirewall

下一步

若要深入了解 Azure 防火牆規則，請參閱 Azure 防火牆規則處理邏輯。