Azure 防火墙管理器策略概述
建议使用防火墙策略来配置 Azure 防火墙。 它是一个全局资源,可跨安全虚拟中心和中心虚拟网络中的多个 Azure 防火墙实例使用。 策略跨区域和订阅工作。
策略的创建和关联
可通过多种方式创建和管理策略,包括使用 Azure 门户、REST API、模板、Azure PowerShell 和 CLI。
还可以使用门户或 Azure PowerShell 迁移 Azure 防火墙中的现有经典规则以创建策略。 有关详细信息,请参阅如何将 Azure 防火墙配置迁移到 Azure 防火墙策略。
策略可与一个或多个虚拟中心或 VNet 相关联。 防火墙可以位于与帐户关联的任何订阅中,且可以位于任何区域中。
经典规则和策略
尽管 Azure 防火墙支持经典规则和策略,但策略是建议的配置。 下表对策略和经典规则进行了比较:
| 主题 | 策略 | 经典规则 |
|---|---|---|
| 包含 | NAT、网络、应用程序规则、自定义 DNS 和 DNS 代理设置、IP 组和威胁智能设置(包括允许列表)、IDPS、TLS 检查、Web 类别、URL 筛选 | NAT、网络和应用程序规则、自定义 DNS 和 DNS 代理设置、IP 组和威胁智能设置(包括允许列表) |
| 保护 | 虚拟中心和虚拟网络 | 仅虚拟网络 |
| 门户体验 | 使用防火墙管理器的集中式管理 | 独立的防火墙体验 |
| 支持多个防火墙 | 防火墙策略是可跨防火墙使用的独立资源 | 手动导出和导入规则,或使用第三方管理解决方案 |
| 定价 | 根据防火墙关联计费。 请参阅定价。 | 免费 |
| 支持的部署机制 | 门户、REST API、模板、Azure PowerShell 和 CLI | 门户、REST API、模板、PowerShell 和 CLI。 |
基本、标准和高级版策略
Azure 防火墙支持基本、标准和高级版策略。 下表总结了这些策略之间的差异:
| 策略类型 | 功能支持 | 防火墙 SKU 支持 |
|---|---|---|
| 基本策略 | NAT 规则、应用程序规则 IP 组 威胁情报(警报) |
基本 |
| 标准版策略 | NAT 规则、网络规则、应用程序规则 自定义 DNS、DNS 代理 IP 组 Web 类别 威胁智能 |
标准或高级 |
| 高级版策略 | 支持所有标准版功能,以及: TLS 检查 Web 类别 URL 筛选 IDPS |
高级 |
分层策略
可以从头开始创建新策略,或者从现有策略继承策略。 DevOps 可以通过继承在组织规定的基本策略之上创建本地防火墙策略。
使用非空父策略创建的策略从父策略继承所有规则集合。 父策略和子策略必须位于同一区域。 防火墙策略可以跨区域与防火墙相关联,无论它们存储在何处。
继承自父策略的网络规则集始终优先于定义为新策略一部分的网络规则集合。 相同的逻辑也适用于应用程序规则集合。 但是,不管是否继承,网络规则集合始终在应用程序规则集合之前进行处理。
威胁情报模式也继承自父策略。 可将威胁情报模式设置为不同的值以替代此行为,但无法禁用模式。 只能使用更严格的值替代行为。 例如,如果父策略设置为“仅警报”,则可将此本地策略配置为“警报并拒绝”。
与威胁智能模式一样,威胁智能允许列表继承自父策略。 子策略可以将更多 IP 地址添加到允许列表。
NAT 规则集合不是继承的,因为它们与给定的防火墙相关。
通过继承,对父策略进行的任何更改会自动应用到关联的防火墙子策略。
内置的高可用性
内置高可用性,因此无需进行任何配置。 可在任何区域创建 Azure 防火墙策略对象,并将其全局链接到同一 Azure AD 租户下的多个 Azure 防火墙实例。 如果创建策略的区域出现故障并具有配对区域,则 ARM(Azure 资源管理器)对象元数据会自动故障转移到次要区域。 在故障转移期间,或者如果没有配对项的单个区域仍处于故障状态,你无法修改 Azure 防火墙策略对象。 但是,链接到防火墙策略的 Azure 防火墙实例将继续运行。 有关详细信息,请参阅 Azure 中的跨区域复制:业务连续性和灾难恢复。
定价
策略根据防火墙关联计费。 存在零个或一个防火墙关联的策略是免费的。 存在多个防火墙关联的策略按固定费率计费。 有关详细信息,请参阅 Azure 防火墙管理器定价。
后续步骤
- 了解如何部署 Azure 防火墙 - 教程:在 Azure 门户中使用 Azure 防火墙管理器保护云网络
- 详细了解 Azure 网络安全