Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Directiva de Firewall es el método recomendado para configurar Azure Firewall. Es un recurso global que se puede utilizar en varias instancias de Azure Firewall en centros virtuales protegidos y redes virtuales de centros. Las directivas funcionan entre regiones y suscripciones.
Creación y asociación de una directiva
Una directiva se puede crear y administrar de varias maneras, entre las que se incluyen Azure Portal, API REST, plantillas, Azure PowerShell, CLI y Terraform.
También puede migrar las reglas clásicas existentes de Azure Firewall mediante el portal o mediante Azure PowerShell para crear las directivas. Para más información, consulte Cómo migrar configuraciones de Azure Firewall a la directiva de Azure Firewall.
Las directivas se pueden asociar a uno o varios cortafuegos implementados en una WAN Virtual (creando un centro virtual protegido) o una red virtual (creando una red virtual de concentrador). Los firewalls pueden residir en cualquier región o suscripción vinculada a su cuenta.
Directivas y reglas clásicas
Azure Firewall admite reglas y directivas clásicas, pero las directivas son la configuración recomendada. En la tabla siguiente se comparan las directivas y las reglas clásicas:
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | Reglas NAT, de red y de aplicación, configuración de proxy DNS y DNS personalizado, grupos de IP y configuración de Inteligencia sobre amenazas (incluida la lista de permitidos), IDPS, inspección de TLS, categorías web, filtrado de direcciones URL | Reglas NAT, de red y de aplicación, configuración de proxy DNS y DNS personalizado, grupos de IP y configuración de inteligencia sobre amenazas (incluida la lista de permitidos) |
| Protects | Centros virtuales (VWAN) y redes virtuales | Solo redes virtuales |
| Portal experience | Administración centralizada mediante Firewall Manager | Experiencia de firewall independiente |
| Compatibilidad con varios firewalls | La directiva de firewall es un recurso independiente que se puede usar entre firewalls. | Exporte e importe manualmente reglas o use soluciones de administración de terceros |
| Pricing | Facturado en función de la asociación del firewall. See Pricing. | Free |
| Mecanismos de implementación admitidos | Portal, API REST, plantillas, Azure PowerShell y CLI | Portal, API REST, plantillas, PowerShell y CLI. |
Directivas Básica, Estándar y Premium
Azure Firewall admite las directivas Básicas, Estándar y Premium. En la tabla siguiente se resume la diferencia entre estas directivas:
| Policy type | Feature support | Compatibilidad con la SKU de Firewall |
|---|---|---|
| Basic policy | Reglas NAT, reglas de red, reglas de aplicación IP Groups Inteligencia sobre amenazas (alertas) |
Basic |
| Standard policy | Reglas NAT, reglas de red, reglas de aplicación DNS personalizado, proxy DNS IP Groups Web Categories Threat Intelligence |
Estándar o Premium |
| Premium policy | Admite todas las características de la directiva Estándar, además de: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
Las nuevas directivas de firewall se pueden crear desde cero o heredar de las directivas existentes. La herencia permite a DevOps definir directivas de firewall locales sobre las directivas base obligatorias de la organización.
Cuando se crea una nueva directiva con una directiva primaria no vacía, hereda todas las colecciones de reglas del elemento primario. Las directivas primarias y secundarias deben residir en la misma región. Sin embargo, una directiva de firewall, independientemente de dónde se almacene, se puede asociar a firewalls en cualquier región.
Rule inheritance
Las colecciones de reglas de red heredadas de la política principal siempre tienen prioridad sobre las colecciones de reglas de red definidas como parte de una nueva política. La misma lógica también se aplica a las colecciones de reglas de aplicación. Independientemente de la herencia, las colecciones de reglas de red se procesan antes de las recopilaciones de reglas de aplicación.
Las colecciones de reglas NAT no se heredan, ya que son específicas de firewalls individuales. Si desea usar reglas NAT, debe definirlas en la directiva secundaria.
Herencia de listas permitidas y modo de inteligencia sobre amenazas
El modo de inteligencia sobre amenazas también se hereda de la directiva primaria. Aunque puede invalidar esta configuración en la directiva secundaria, debe tener un modo más estricto: no se puede deshabilitar. Por ejemplo, si la directiva primaria solo está establecida en Alerta, la directiva secundaria se puede establecer en Alerta y denegar, pero no en un modo menos estricto.
Del mismo modo, la lista de permitidos de Inteligencia sobre amenazas se hereda de la directiva primaria y la directiva secundaria puede anexar direcciones IP adicionales a esta lista.
Mediante la herencia, los cambios en la directiva primaria se aplican automáticamente a las directivas secundarias de firewall asociadas.
Alta disponibilidad integrada
La alta disponibilidad está integrada, por lo que no es necesario configurar nada. Puede crear un objeto de Azure Firewall Policy en cualquier región y vincularlo globalmente a varias instancias de Azure Firewall en el mismo inquilino de Entra ID. Si la región en la que crea la directiva deja de funcionar y tiene una región emparejada, los metadatos de objeto de ARM (Azure Resource Manager) se conmutan automáticamente por error a la región secundaria. Durante la conmutación por error, o si la región única no emparejada permanece en estado de error, no puede modificar el objeto de Azure Firewall Policy. Sin embargo, las instancias de Azure Firewall vinculadas a la directiva de firewall siguen funcionando. Para obtener más información, consulte Replicación entre regiones en Azure: continuidad empresarial y recuperación ante desastres.
Pricing
Las directivas se facturan en función de las asociaciones del firewall. Una directiva con una o cero asociaciones de firewall es gratuita. Una directiva con varias asociaciones de firewall se factura según una tarifa fija. Para más información, consulte Precios de Azure Firewall Manager.
Next steps
- Para obtener información sobre cómo implementar una instancia de Azure Firewall, consulte Tutorial: Protección de un centro virtual mediante Azure Firewall Manager.
- Más información sobre la seguridad de red de Azure