Azure 防火墙服务标记
服务标记表示一组 IP 地址前缀,帮助最大程度地降低安全规则创建过程的复杂性。 无法创建自己的服务标记,也无法指定要将哪些 IP 地址包含在标记中。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。
Azure 防火墙服务标记可用于网络规则目标字段。 它们可用于代替特定的 IP 地址。
支持的服务标记
有关可在 Azure 防火墙网络规则中使用的服务标记的列表,请参阅虚拟网络服务标记。
配置
Azure 防火墙支持通过 PowerShell、Azure CLI 或 Azure 门户来配置服务标记。
通过 Azure PowerShell 配置
在此示例中,我们将使用经典规则更改 Azure 防火墙。 我们必须首先获取以前创建的 Azure 防火墙实例的上下文。
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
接下来必须创建新规则。 如前文所述,可以为目标指定要利用的服务标记的文本值。
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
接下来,必须用创建的新网络规则来更新包含 Azure 防火墙定义的变量。
$azFirewall.NetworkRuleCollections.add($ruleCollection)
最后,必须将网络规则更改提交到正在运行的 Azure 防火墙实例。
Set-AzFirewall -AzureFirewall $azfirewall
后续步骤
若要详细了解 Azure 防火墙规则,请参阅 Azure 防火墙规则处理逻辑。