防火墙策略是一种顶级资源,其中包含Azure Firewall的安全和操作设置。 它允许你管理Azure Firewall用于筛选流量的规则集。 防火墙策略基于具有以下组件的层次结构来组织和处理规则集并确定其优先级:规则集合组、规则集合和规则。
规则集合组
使用规则集合组对规则集合进行分组。 它是防火墙处理的第一个单元,并遵循基于值的优先级顺序。 存在三个默认规则集合组,其中包含预设的优先级值。 防火墙按以下顺序处理它们:
| 规则集合组名称 | 优先度 |
|---|---|
| 默认 DNAT(目标网络地址转换)规则集合组 | 100 |
| 默认网络规则集合组 | 200 |
| 默认应用程序规则集合组 | 300 |
虽然无法删除默认规则集合组或修改其优先级值,但可以通过创建自定义规则集合组(具有所需优先级值)来更改处理顺序。 在这种情况下,请勿使用默认规则集合组。 请仅使用自定义的那些来设定处理逻辑。
规则集合组包含一个或多个规则集合,可以是 DNAT、网络或应用程序类型。 例如,可以将属于相同工作负载或虚拟网络的规则分组到一个规则集合组中。
有关规则集合组大小限制,请参阅Azure订阅和服务限制、配额和约束。
规则集合
规则集合属于一个规则集合组,并包含一个或多个规则。 它是防火墙处理的第二个单元,并根据值遵循优先级顺序。 每个规则集合都必须具有定义的操作(允许或拒绝)和优先级值。 该操作适用于集合中的所有规则,而优先级值则确定规则集合的处理顺序。
有三种类型的规则集合:
- DNAT
- 网络
- 应用程序
规则类型必须与其父规则集合类别一致。 例如,DNAT 规则只能是 DNAT 规则集合的一部分。
规则
规则属于一个规则集合,指定在网络中允许或拒绝哪些流量。 它是防火墙处理的第三个单元,不遵循基于值的优先级顺序。 防火墙以自上而下的方法处理规则,将根据定义的规则评估所有流量,以确定其是否与允许或拒绝条件匹配。 如果没有规则允许流量,则默认拒绝该流量。
内置 基础结构规则集合 在默认拒绝之前处理用于应用程序规则的流量。
入站与出站
入站防火墙规则可保护网络免受来自网络外部的威胁(来自 Internet 的流量)试图向内渗透。
outbound防火墙规则可防范源自内部的恶意流量(源自Azure内的专用 IP 地址的流量)和向外传输。 此保护通常涉及从Azure资源中的流量在到达目标之前通过防火墙重定向。
规则类型
有三种类型的规则:
- DNAT
- 网络
- 应用程序
DNAT 规则
DNAT 规则通过一个或多个防火墙公共 IP 地址管理入站流量。 DNAT 规则可用于将公共 IP 地址转换为专用 IP 地址。 Azure Firewall公共 IP 地址可以侦听来自 Internet 的入站流量,对其进行筛选,并将其转换为内部Azure资源。
网络规则
网络规则基于网络层 (L3) 和传输层 (L4) 控制入站、出站和东西向流量。 网络规则可用于根据 IP 地址、端口和协议筛选流量。
应用程序规则
应用程序规则基于应用程序层 (L7) 管理出站和东西向流量。 应用程序规则可用于根据完全限定的域名 (FQDN)、URL 和 HTTP/HTTPS 协议筛选流量。
后续步骤
- 若要详细了解Azure Firewall如何处理规则,请参阅 Configure Azure Firewall 规则。