Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Firewall mit NAT-Regeln, Netzwerkregeln und Anwendungsregeln konfigurieren, indem Sie entweder klassische Regeln oder eine Firewallrichtlinie verwenden. Standardmäßig verweigert Azure Firewall den gesamten Datenverkehr, bis Sie Manuell Regeln so konfigurieren, dass Datenverkehr zulässig ist. Die Regeln werden beendet, sodass die Regelverarbeitung bei einer Übereinstimmung beendet wird.
Regelverarbeitung mithilfe von klassischen Regeln
Die Firewall verarbeitet Regelsammlungen nach Regeltyp in Prioritätsreihenfolge, von niedrigeren Zahlen bis zu höheren Zahlen (100 bis 65.000). Ein Regelauflistungsname darf nur Buchstaben, Zahlen, Unterstriche, Punkte oder Bindestriche enthalten. Er muss mit einem Buchstaben oder einer Zahl beginnen und mit einem Buchstaben, einer Zahl oder einem Unterstrich enden. Die maximale Namenslänge ist 80 Zeichen.
Stellen Sie zunächst die Prioritätsnummern für die Regelsammlung in 100 Schritten (100, 200, 300 usw.) bereit, damit Sie bei Bedarf weitere Regelsammlungen hinzufügen können.
Regelverarbeitung mithilfe der Firewallrichtlinie
Mithilfe der Firewallrichtlinie organisieren Sie Regeln innerhalb von Regelsammlungen und Regelsammlungsgruppen. Regelsammlungsgruppen enthalten null oder mehr Regelauflistungen. Regelsammlungen sind der Typ NAT, Netzwerk oder Anwendungen. Sie können mehrere Regelsammlungstypen innerhalb einer einzelnen Regelgruppe definieren. Sie können null oder mehr Regeln in einer Regelsammlung definieren. Regeln in einer Regelsammlung müssen vom gleichen Typ (NAT, Netzwerk oder Anwendung) sein.
Das System verarbeitet Regeln basierend auf der Priorität der Regelsammlungsgruppe und der Regelsammlungspriorität. Die Priorität ist eine beliebige Zahl zwischen 100 (höchste Priorität) und 65.000 (niedrigste Priorität). Das System verarbeitet zuerst Regelsammlungsgruppen mit der höchsten Priorität. Innerhalb einer Regelsammlungsgruppe verarbeitet das System Regelauflistungen mit der höchsten Priorität (niedrigste Zahl).
Wenn Sie eine Firewallrichtlinie von einer übergeordneten Richtlinie erben, haben Regelsammlungsgruppen in der übergeordneten Richtlinie unabhängig von der Priorität einer untergeordneten Richtlinie immer Vorrang.
Hinweis
Das System verarbeitet Anwendungsregeln immer nach Netzwerkregeln, und Netzwerkregeln werden nach DNAT-Regeln verarbeitet, unabhängig von der Gruppierung oder Priorität der Regelsammlung und der Richtlinienvererbung.
Zusammenfassung:
- Die übergeordnete Richtlinie hat immer Vorrang vor der untergeordneten Richtlinie.
- Das System verarbeitet Regelsammlungsgruppen in Prioritätsreihenfolge.
- Das System verarbeitet Regelsammlungen in Prioritätsreihenfolge.
- Das System verarbeitet DNAT-Regeln, dann Netzwerkregeln und dann Anwendungsregeln.
Hier ist eine Beispielrichtlinie mit vier Regelsammlungsgruppen. BaseRCG1 und BaseRCG2 werden von einer übergeordneten Richtlinie übernommen; ChildRCG1 und ChildRCG2 gehören zur untergeordneten Richtlinie.
Tipp
In diesen Tabellen verwendete Abkürzungen: RCG = Regelsammlungsgruppe, RC = Regelsammlung. Prioritätsnummern reichen von 100 (höchste Priorität) bis 65.000 (niedrigste Priorität).
Richtlinienstruktur:
| Grad | Name | type | Priorität | Regeln | Policy |
|---|---|---|---|---|---|
| Gruppieren | BaseRCG1 | Regelsammlungsgruppe | 200 | 8 | Eltern |
| Sammlung | DNATRC1 | DNAT | 600 | 7 | Eltern |
| Sammlung | DNATRC3 | DNAT | 610 | 3 | Eltern |
| Sammlung | NetworkRC1 | Netzwerk | 800 | 1 | Eltern |
| Gruppieren | BaseRCG2 | Regelsammlungsgruppe | 300 | 3 | Eltern |
| Sammlung | AppRC2 | Application | 1 200 | 2 | Eltern |
| Sammlung | NetworkRC2 | Netzwerk | 1.300 | 1 | Eltern |
| Gruppieren | ChildRCG1 | Regelsammlungsgruppe | 300 | 5 | Kind |
| Sammlung | ChNetRC1 | Netzwerk | 700 | 3 | Kind |
| Sammlung | ChAppRC1 | Application | 900 | 2 | Kind |
| Gruppieren | ChildRCG2 | Regelsammlungsgruppe | 650 | 9 | Kind |
| Sammlung | ChNetRC2 | Netzwerk | 1.100 | 2 | Kind |
| Sammlung | ChAppRC2 | Application | 2000 | 7 | Kind |
| Sammlung | ChDNATRC3 | DNAT | 3000 | 2 | Kind |
Die Firewall durchläuft alle Regelsammlungsgruppen dreimal – einmal pro Regeltyp in der Reihenfolge: DNAT, dann Network, dann Application. Innerhalb jedes Durchlaufs verarbeitet sie Gruppen in der Prioritätsreihenfolge und dann Regelsammlungen innerhalb jeder Gruppe in Prioritätsreihenfolge. Die folgende Tabelle zeigt die vollständige Verarbeitungssequenz für dieses Beispiel:
Verarbeitungsreihenfolge:
| Schritt | Sammlung von Regeln | type | Übergeordnetes RCG |
|---|---|---|---|
| 1 | DNATRC1 | DNAT | BaseRCG1 (200) |
| 2 | DNATRC3 | DNAT | BaseRCG1 (200) |
| 3 | ChDNATRC3 | DNAT | ChildRCG2 (650) |
| 4 | NetworkRC1 | Netzwerk | BaseRCG1 (200) |
| 5 | NetworkRC2 | Netzwerk | BaseRCG2 (300) |
| 6 | ChNetRC1 | Netzwerk | ChildRCG1 (300) |
| 7 | ChNetRC2 | Netzwerk | ChildRCG2 (650) |
| 8 | AppRC2 | Application | BaseRCG2 (300) |
| 9 | ChAppRC1 | Application | ChildRCG1 (300) |
| 10 | ChAppRC2 | Application | ChildRCG2 (650) |
Weitere Informationen über Firewall-Richtlinien-Regelsätze finden Sie unter Azure Firewall-Richtlinien-Regelsätze.
Bedrohungserkennung
Wenn Sie die auf Bedrohungserkennung basierende Filterung aktivieren, haben diese Regeln die höchste Priorität. Azure Firewall verarbeitet sie immer zuerst, vor Netzwerk- und Anwendungsregeln. Die auf Bedrohungsintelligenz basierende Filterung kann den Datenverkehr blockieren, bevor die Azure Firewall konfigurierte Regeln verarbeitet. Weitere Informationen finden Sie unter Threat Intelligence-gestütztes Filtern für Azure Firewall.
IDPS
Wenn Sie IDPS im Warnungsmodus konfigurieren, funktioniert das IDPS-Modul parallel mit der Regelverarbeitungslogik. Es generiert Warnungen für übereinstimmende Signaturen sowohl für eingehende als auch für ausgehende Flüsse. Für eine IDPS-Signatur-Übereinstimmung protokolliert Azure Firewall eine Warnung in Firewallprotokollen. Da das IDPS-Modul jedoch parallel mit dem Regelverarbeitungsmodul funktioniert, kann datenverkehr, den die Anwendung oder netzwerkregeln verweigern oder zulassen, möglicherweise trotzdem einen weiteren Protokolleintrag generieren.
Wenn Sie IDPS im Warnungs- und Verweigerungsmodus konfigurieren, funktioniert das IDPS-Modul inline und aktiviert nach dem Regelverarbeitungsmodul. Daher generieren beide Motoren Warnungen und blockieren möglicherweise passende Abläufe.
Sitzungsabbrüche, die IDPS durchführt, blockieren den Fluss im Hintergrund. Daher wird kein RST auf TCP-Ebene gesendet. Da IDPS den Datenverkehr immer überprüft, nachdem die Netzwerk- oder Anwendungsregel abgeglichen wurde (Zulassen oder Verweigern) und in den Protokollen markiert wurde, könnte eine andere Drop-Nachricht protokolliert werden, falls IDPS aufgrund einer Signaturübereinstimmung die Sitzung ablehnt.
Wenn Sie DIE TLS-Inspektion aktivieren, prüft azure Firewall sowohl unverschlüsselten als auch verschlüsselten Datenverkehr.
Unterstützung für impliziten Rückgabedatenverkehr (zustandsbehaftetes TCP/UDP)
Sie können Firewallregeln so konfigurieren, dass Datenverkehr nur in einer Richtung zulässig ist. Azure Firewall kann beispielsweise Verbindungen erlauben, die Sie von einem lokalen Netzwerk zu einem virtuellen Azure-Netzwerk initiieren. Gleichzeitig müssen neue Verbindungen, die Sie vom virtuellen Azure-Netzwerk zu lokal initiieren, blockiert werden. Um diese Richtlinie zu erzwingen, fügen Sie eine explizite Verweigerungsregel für den Datenverkehr aus dem virtuellen Azure-Netzwerk zum lokalen Netzwerk hinzu.
Azure Firewall unterstützt diese Konfiguration. Azure Firewall ist zustandsbehaftet, sodass der Rückgabedatenverkehr für eine festgelegte TCP- oder UDP-Verbindung (z. B. die SYN-ACK/ACK-Pakete für eine Verbindung, die Sie von dem lokalen Netzwerk aus initiiert haben) auch dann zulässt, wenn in umgekehrter Richtung eine explizite Ablehnungsregel vorhanden ist. Die explizite Verweigerungsregel blockiert weiterhin neue Verbindungen, die Sie aus dem virtuellen Azure-Netzwerk mit der lokalen Bereitstellung initiieren.
Ausgehende Konnektivität
Netzwerkregeln und Anwendungsregeln
Wenn Sie Netzwerkregeln und Anwendungsregeln konfigurieren, wendet Azure Firewall Netzwerkregeln in Prioritätsreihenfolge vor Anwendungsregeln an. Die Regeln können zur Beendigung von Vorgängen führen. Wenn also azure Firewall eine Übereinstimmung in einer Netzwerkregel findet, verarbeitet sie keine anderen Regeln. Wenn Sie IDPS konfigurieren, wird sie von der Azure Firewall für alle durchlaufenen Datenverkehrsläufe ausgeführt. Wenn IDPS eine Signatur-Übereinstimmung findet, kann es Benachrichtigungen generieren oder verdächtigen Datenverkehr je nach IDPS-Modus blockieren.
Anwendungsregeln bewerten das Paket in der Reihenfolge ihrer Priorität, wenn keine Netzwerkregel übereinstimmt und wenn das Protokoll HTTP, HTTPS oder MSSQL ist.
Bei HTTP sucht Azure Firewall anhand des Hostheaders nach einer Übereinstimmung mit einer Anwendungsregel. Bei HTTPS sucht Azure Firewall nur anhand von SNI nach einer Übereinstimmung mit einer Anwendungsregel.
Sowohl bei HTTP als auch bei HTTPS mit TLS-Überprüfung ignoriert die Firewall die Ziel-IP-Adresse des Pakets und verwendet die vom DNS aufgelöste IP-Adresse aus dem Hostheader. Wenn zwischen dem tatsächlichen TCP-Port und dem Port im Hostheader ein Portkonflikt besteht, wird der Datenverkehr durch die Firewall getrennt. Azure DNS oder ein benutzerdefiniertes DNS, das Sie für die Firewall konfigurieren, führt die DNS-Auflösung durch.
Hinweis
Azure Firewall setzt im Rahmen der Protokolle HTTP und HTTPS (mit TLS-Inspektion) immer den XFF-Header (X-Forwarded-For) auf die ursprüngliche Quell-IP-Adresse.
Wenn eine Anwendungsregel TLS-Inspektion enthält, verarbeitet das Firewallregelnmodul SNI, Hostheader und auch die URL, die mit der Regel übereinstimmt.
Wenn die Azure Firewall keine Übereinstimmung innerhalb von Anwendungsregeln findet, wertet sie das Paket anhand der Infrastrukturregelsammlung aus. Wenn die Azure Firewall immer noch keine Übereinstimmung findet, verweigert sie das Paket standardmäßig.
Infrastrukturregelsammlung
Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Die Infrastrukturregelsammlung wird nach den Anwendungsregeln und vor der endgültigen „Alles verweigern“-Regel verarbeitet.
Die integrierte Infrastrukturregelsammlung umfasst die folgenden Dienste:
- Rechenzugriff auf das Storage Platform Image Repository (PIR)
- Speicherzugriff auf den Status verwalteter Datenträger
- Azure Diagnostics and Logging (MDS)
Überschreiben der Infrastrukturregelsammlung
Sie können die integrierte Infrastrukturregelsammlung außer Kraft setzen, indem Sie eine Verweigerung aller zuletzt verarbeiteten Anwendungsregelsammlungen erstellen. Es wird immer vor der Infrastrukturregelsammlung verarbeitet. Alles, was nicht in der Infrastrukturregelsammlung enthalten ist, wird standardmäßig verweigert.
Hinweis
Sie können Netzwerkregeln für TCP, UDP, ICMP oder Any IP-Protokoll konfigurieren. Jegliche Das IP-Protokoll enthält alle IP-Protokolle, die im IANA-Protokollnummerndokument (Internet Assigned Numbers Authority) definiert sind. Wenn Sie einen Zielport explizit konfigurieren, wird die Regel in eine TCP+UDP-Regel übersetzt. Vor dem 9. November 2020 bezog sich ein beliebiges IP-Protokoll (Any) auf TCP, UDP oder ICMP. Daher haben Sie möglicherweise vor diesem Datum eine Regel mit Protocol = Any und destination ports = '*' konfiguriert. Wenn Sie kein IP-Protokoll wie derzeit definiert zulassen möchten, ändern Sie die Regel, um die gewünschten Protokolle (TCP, UDP oder ICMP) explizit zu konfigurieren.
Eingehende Konnektivität
DNAT-Regeln und Netzwerkregeln
Sie können eingehende Internet- oder Intranetkonnektivität aktivieren, indem Sie die Zielnetzwerkadressenübersetzung (Destination Network Address Translation, DNAT) konfigurieren, wie in Filter eingehender Internet- oder Intranetdatenverkehr mit Azure Firewall DNAT mithilfe des Azure-Portals beschrieben. NAT-Regeln gelten in Priorität vor Netzwerkregeln. Wenn azure Firewall eine Übereinstimmung findet, übersetzt sie den Datenverkehr gemäß der DNAT-Regel und lässt ihn zu. Der Datenverkehr unterliegt damit keiner weiteren Verarbeitung durch andere Netzwerkregeln. Fügen Sie aus Sicherheitsgründen eine bestimmte Internetquelle hinzu, um DNAT-Zugriff auf das Netzwerk zu ermöglichen und die Verwendung von Wildcards zu vermeiden.
Azure Firewall wendet keine Anwendungsregeln für eingehende Verbindungen an. Wenn Sie also eingehenden HTTP/S-Datenverkehr filtern möchten, verwenden Sie die Webanwendungsfirewall (WAF). Weitere Informationen finden Sie unter Was ist die Azure Web Application Firewall?.
Beispiele
Die folgenden Beispiele verdeutlichen die Ergebnisse einiger dieser Regelkombinationen.
Beispiel 1
Die Verbindung mit google.com ist zulässig, da eine Netzwerkregel übereinstimmt.
Netzwerkregel – Aktion: Zulassen
| Name | Protokoll | Quellentyp | `Source` | Zieltyp | Zieladresse | Zielports |
|---|---|---|---|---|---|---|
| Allow-Web | TCP | IP-Adresse | * | IP-Adresse | * | 80, 443 |
Anwendungsregel – Aktion: Verweigern
| Name | Quellentyp | `Source` | Protokoll:Port | Ziel-FQDNs |
|---|---|---|---|---|
| Deny-google | IP-Adresse | * | http:80,https:443 | google.com |
Ergebnis
Die Verbindung mit „google.com“ ist zulässig, da das Paket mit der Allow-web-Netzwerkregel übereinstimmt. Die Regelverarbeitung wird hier beendet.
Beispiel 2
Der SSH-Datenverkehr wird abgelehnt, da er durch eine Deny-Netzwerkregelsammlung mit höherer Priorität blockiert wird.
Netzwerkregelsammlung 1 – Name: Erlauben-Sammlung, Priorität: 200, Aktion: Erlauben
| Name | Protokoll | Quellentyp | `Source` | Zieltyp | Zieladresse | Zielports |
|---|---|---|---|---|---|---|
| Allow-SSH | TCP | IP-Adresse | * | IP-Adresse | * | 22 |
Netzwerkregelsammlung 2 – Name: Ablehnungsregel, Priorität: 100, Aktion: Ablehnen
| Name | Protokoll | Quellentyp | `Source` | Zieltyp | Zieladresse | Zielports |
|---|---|---|---|---|---|---|
| Deny-SSH | TCP | IP-Adresse | * | IP-Adresse | * | 22 |
Ergebnis
SSH-Verbindungen werden verweigert, da sie durch eine Sammlung von Netzwerkregeln mit höherer Priorität blockiert werden. Die Regelverarbeitung wird an diesem Punkt beendet.
Regeländerungen
Wenn Sie eine Regel ändern, um den zuvor zulässigen Datenverkehr zu verweigern, legt Azure Firewall alle relevanten vorhandenen Sitzungen ab.
Dreiwegehandshake-Verhalten
Als zustandsbehafteter Dienst führt Azure Firewall einen TCP-Dreiwegehandshake für zulässigen Datenverkehr von einer Quelle zum Ziel durch. Beispiel: VNet-A zu VNet-B.
Das Erstellen einer Zulassungsregel von VNet-A auf VNet-B bedeutet nicht, dass neu initiierte Verbindungen von VNet-B zu VNet-A zulässig sind.
Daher müssen Sie keine explizite Ablehnungsregel von VNet-B zu VNet-A erstellen.