Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Firewall-Richtlinie ist eine Ressource der obersten Ebene, die Sicherheits- und Betriebseinstellungen für Azure Firewall enthält. Sie können Regelsätze verwalten, die azure Firewall zum Filtern des Datenverkehrs verwendet. Firewallrichtlinien organisieren, priorisieren und verarbeiten Regelsätze basierend auf einer Hierarchie mit den folgenden Komponenten: Regelsammlungsgruppen, Regelsammlungen und Regeln.
Regelsammelgruppen
Verwenden Sie eine Regelsammlungsgruppe, um Regelsammlungen zu gruppieren. Es ist die erste Von der Firewall verarbeitete Einheit und folgt einer Prioritätsreihenfolge basierend auf Werten. Drei Standardregelsammlungsgruppen sind mit voreingestellten Prioritätswerten vorhanden. Die Firewall verarbeitet sie in der folgenden Reihenfolge:
| Name der Regelsammelgruppe | Priorität |
|---|---|
| Standard-DNAT-Regelsammelgruppe (Destination Network Address Translation) | 100 |
| Standard-Sammelgruppe für Netzwerkregeln | 200 |
| Standard-Anwendungsregel-Sammelgruppe | 300 |
Obwohl Sie die Standardregelsammlungsgruppen nicht löschen oder deren Prioritätswerte ändern können, können Sie die Verarbeitungsreihenfolge ändern, indem Sie benutzerdefinierte Regelsammlungsgruppen mit den gewünschten Prioritätswerten erstellen. Verwenden Sie in diesem Fall nicht die Standardregelsammlungsgruppen. Verwenden Sie stattdessen nur die benutzerdefinierten, um die Verarbeitungslogik zu definieren.
Regelsammlungsgruppen enthalten eine oder mehrere Regelsammlungen, die vom Typ DNAT, Netzwerk oder Anwendung sein können. Sie können z. B. Regeln gruppieren, die zu den gleichen Workloads oder einem virtuellen Netzwerk in einer Regelsammlungsgruppe gehören.
Informationen zu den Größenbeschränkungen für Regelsammlungsgruppen finden Sie unter Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.
Regelsammlungen
Eine Regelsammlung gehört zu einer Regelsammlungsgruppe und enthält eine oder mehrere Regeln. Es ist die zweite Einheit, die von der Firewall verarbeitet wird, und folgt einer Prioritätsreihenfolge basierend auf Werten. Jede Regelsammlung muss über eine definierte Aktion (Zulassen oder Verweigern) und einen Prioritätswert verfügen. Die Aktion gilt für alle Regeln innerhalb der Auflistung, und der Prioritätswert bestimmt die Reihenfolge, in der die Regelsammlungen verarbeitet werden.
Es gibt drei Arten von Regelsammlungen:
- DNAT
- Netzwerk
- Anwendung
Die Regeltypen müssen der übergeordneten Regelsammlungskategorie entsprechen. Ein Beispiel: Eine DNAT-Regel kann nur Teil einer DNAT-Regelsammlung sein.
Regeln
Eine Regel gehört zu einer Regelsammlung und gibt an, welcher Datenverkehr in Ihrem Netzwerk zulässig oder verweigert wird. Es ist die dritte Von der Firewall verarbeitete Einheit und folgt nicht einer Prioritätsreihenfolge basierend auf Werten. Die Firewall verarbeitet Regeln in einem Top-Down-Ansatz und wertet den gesamten Datenverkehr anhand der definierten Regeln aus, um festzustellen, ob sie einer Zulassungs- oder Ablehnungsbedingung entspricht. Wenn keine Regel den Datenverkehr zulässt, wird dieser standardmäßig verweigert.
Die integrierte Infrastrukturregelsammlung verarbeitet Datenverkehr für Anwendungsregeln, bevor er standardmäßig verweigert wird.
Eingehend und ausgehend
Eine eingehende Firewallregel schützt Ihr Netzwerk vor Bedrohungen, die von außerhalb Ihres Netzwerks stammen (Datenverkehr aus dem Internet), der versucht, sich in das Netzwerk einzuschleichen.
Eine ausgehende Firewallregel schützt vor bösartigem Datenverkehr, der intern (aus einer privaten IP-Adresse in Azure stammt) und nach außen verschoben wird. Dieser Schutz umfasst in der Regel Datenverkehr aus Azure-Ressourcen, die über die Firewall umgeleitet werden, bevor sie ein Ziel erreichen.
Regeltypen
Es gibt drei Arten von Regeln:
- DNAT
- Netzwerk
- Anwendung
DNAT-Regeln
DNAT-Regeln verwalten eingehenden Datenverkehr über eine oder mehrere öffentliche IP-Adressen der Firewall. Verwenden Sie eine DNAT-Regel, um eine öffentliche IP-Adresse in eine private IP-Adresse zu übersetzen. Öffentliche IP-Adressen der Azure Firewall können eingehenden Datenverkehr aus dem Internet überwachen, filtern und in interne Azure-Ressourcen übersetzen.
Netzwerkregeln
Netzwerkregeln steuern eingehenden, ausgehenden und ost-west-Datenverkehr basierend auf der Netzwerkschicht (L3) und der Transportschicht (L4). Verwenden Sie eine Netzwerkregel, um Datenverkehr basierend auf IP-Adressen, Ports und Protokollen zu filtern.
Anwendungsregeln
Anwendungsregeln verwalten ausgehenden und ost-west-Datenverkehr basierend auf der Anwendungsschicht (L7). Verwenden Sie eine Anwendungsregel, um Den Datenverkehr basierend auf vollqualifizierten Domänennamen (FQDNs), URLs und HTTP/HTTPS-Protokollen zu filtern.
Nächste Schritte
- Weitere Informationen dazu, wie Regeln von Azure Firewall verarbeitet werden, finden Sie unter Konfigurieren von Azure Firewall-Regeln.