Azure Policy是Azure中的一项服务,可用于创建、分配和管理策略。 这些策略将在整个资源中强制实施不同的规则和效果,以便这些资源符合公司标准和服务级别协议。 Azure Policy评估你的资源是否符合分配的策略。 例如,可以使用策略仅允许环境中特定大小的虚拟机,或对资源强制实施特定标记。
可以使用Azure Policy通过应用策略来管理Azure Firewall配置,这些策略定义允许或不允许的配置。 此方法有助于确保防火墙设置符合组织合规性要求和安全最佳做法。
先决条件
如果没有Azure订阅,请在开始前创建 free 帐户。
可用于Azure Firewall的策略
以下策略可用于Azure Firewall:
| Policy | 说明 |
|---|---|
| 在 Azure Firewall Policy 中启用威胁情报 | 将任何未启用威胁情报的Azure Firewall配置标记为不合规。 |
| 在多个可用区部署 Azure 防火墙 | 将Azure Firewall部署限制为仅允许多个可用性区域配置。 |
| 将 Azure 防火墙标准版升级到高级版 | 建议将 Azure Firewall Standard 升级到 Premium,以使用高级功能并增强网络安全。 |
| 应启用Azure Firewall策略分析 | 确保在防火墙上启用策略分析,以有效地调整和优化防火墙规则。 |
| Azure Firewall只允许加密流量 | 审核防火墙策略规则和端口,以确保只允许加密流量进入环境。 |
| Azure Firewall应启用 DNS 代理 | 确保在Azure Firewall部署上启用 DNS 代理功能。 |
| 在 Azure Firewall Premium Policy 中启用 IDPS | 确保在Azure Firewall部署上启用 IDPS 功能,以防止威胁和漏洞。 |
| 启用 Azure 防火墙策略上的 TLS 检查 | 要求启用 TLS 检查,以检测、警报和缓解 HTTPS 流量中的恶意活动。 |
| 为防火墙策略强制实施显式代理配置 | 通过检查 explicitProxy.enableExplicitProxy 字段,确保所有Azure Firewall策略都启用了显式代理配置。 有关完整的策略定义,请参阅强制防火墙策略使用显式代理配置。 |
| 在 Azure Firewall 上使用显式代理时启用 PAC 文件配置 | 审核防火墙策略,以确保启用显式代理时(explicitProxy.enableExplicitProxy 为 true),同时启用 PAC 文件(explicitProxy.enablePacFile)。 有关完整的策略定义,请参阅 在 Azure 防火墙上使用显式代理时启用 PAC 文件配置。 |
| 将Azure防火墙经典规则迁移到防火墙策略 | 建议从防火墙经典规则迁移到防火墙策略。 |
| 具有特定标记的 VNET 必须部署Azure Firewall | 检查所有具有指定标记的虚拟网络是否用于 Azure 防火墙部署,并在不存在的情况下将配置标记为不合规。 |
以下步骤演示了如何创建一个 Azure Policy,以强制所有防火墙策略启用威胁情报功能(无论是 仅警报 还是 警报并拒绝)。 将Azure Policy范围设置为创建的资源组。
创建资源组
将此资源组设置为Azure Policy的范围。 在此资源组中创建防火墙策略。
- 在Azure门户中,选择创建资源,搜索
resource group,然后从结果中选择resource 组。 - 选择“ 创建”,选择订阅,键入资源组的名称,然后选择一个区域。
- 选择“查看 + 创建”,然后选择“创建”。
创建Azure Policy
现在,在新资源组中创建Azure Policy。 此策略可确保任何防火墙策略都已启用威胁情报。
- 在Azure门户中,搜索
policy,然后从结果中选择Policy。 - 在左侧菜单中,展开 “创作 ”并选择“ 定义”。
- 在搜索框中键入
firewall,然后选择Azure Firewall策略应启用威胁情报。 - 选择“分配策略”。
- 对于 范围,请选择订阅和新资源组,然后选择 “选择”。
- 选择“下一步”。
- 在参数窗格中,取消选中仅显示需要输入或审阅的参数复选框,然后对于效果,选择拒绝。
- 选择查看 + 创建,然后选择创建。
创建防火墙策略
现在,创建禁用威胁情报的防火墙策略。
- 在Azure门户中,选择创建资源,搜索
firewall policy,然后从结果中选择Firewall Policy。 - 选择“ 创建”,然后选择之前创建的订阅和资源组。
- 在“ 名称 ”框中,键入策略的名称。
- 转到 “威胁智能 ”选项卡。
- 对于“威胁情报模式”,请选择“已禁用”。
- 选择“查看 + 创建”。
你会看到一个错误,指出你的资源被策略禁止,确认你的Azure Policy不允许禁用威胁情报的防火墙策略。
其他Azure Policy定义
有关专为Azure Firewall设计的更多Azure Policy定义(包括用于显式代理配置的策略)请参阅 Azure网络安全GitHub存储库。 此存储库包含可在环境中部署的社区参与策略定义。