Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady zapory to zalecana metoda konfigurowania usługi Azure Firewall. Jest to zasób globalny, który może być używany w wielu wystąpieniach usługi Azure Firewall w zabezpieczonych koncentratorach wirtualnych i sieciach wirtualnych koncentratora. Zasady działają w różnych regionach i subskrypcjach.
Tworzenie i skojarzenie zasad
Zasady można tworzyć i zarządzać na wiele sposobów, w tym witryny Azure Portal, interfejsu API REST, szablonów, programu Azure PowerShell, interfejsu wiersza polecenia i programu Terraform.
Istniejące reguły klasyczne można również migrować z usługi Azure Firewall przy użyciu portalu lub programu Azure PowerShell w celu utworzenia zasad. Aby uzyskać więcej informacji, zobacz How to migrate Azure Firewall configurations to Azure Firewall policy (Jak migrować konfiguracje usługi Azure Firewall do zasad usługi Azure Firewall).
Zasady mogą być skojarzone z co najmniej jedną zaporą wdrożoną w wirtualnej sieci WAN (tworząc zabezpieczony koncentrator wirtualny) lub wirtualnej sieci (tworząc wirtualną sieć koncentratora). Zapory mogą znajdować się w dowolnym regionie lub subskrypcji połączonej z kontem.
Klasyczne reguły i zasady
Usługa Azure Firewall obsługuje zarówno reguły klasyczne, jak i polityki, ale zalecane są użycie polityk. W poniższej tabeli porównaliśmy zasady i reguły klasyczne:
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | TRANSLATOR adresów sieciowych, sieci, reguły aplikacji, niestandardowe ustawienia serwera proxy DNS i DNS, grupy adresów IP i ustawienia analizy zagrożeń (w tym lista dozwolonych), dostawcy tożsamości, inspekcja protokołu TLS, kategorie sieci Web, filtrowanie adresów URL | Reguły translatora adresów sieciowych, sieci i aplikacji, niestandardowe ustawienia serwera proxy DNS i DNS, grupy adresów IP i analizy zagrożeń (w tym lista dozwolonych) |
| Protects | Koncentratory wirtualne (VWAN) i sieci wirtualne | Tylko sieci wirtualne |
| Portal experience | Centralne zarządzanie przy użyciu menedżera zapory | Autonomiczne środowisko zapory |
| Obsługa wielu zapory | Zasady zapory to oddzielny zasób, który może być używany przez zapory | Ręczne eksportowanie i importowanie reguł lub korzystanie z rozwiązań do zarządzania innych firm |
| Pricing | Rozliczane na podstawie skojarzenia zapory. See Pricing. | Bezpłatna |
| Obsługiwane mechanizmy wdrażania | Portal, interfejs API REST, szablony, program Azure PowerShell i interfejs wiersza polecenia | Portal, interfejs API REST, szablony, program PowerShell i interfejs wiersza polecenia. |
Zasady w warstwie Podstawowa, Standardowa i Premium
Usługa Azure Firewall obsługuje zasady w warstwie Podstawowa, Standardowa i Premium. Poniższa tabela zawiera podsumowanie różnic między tymi zasadami:
| Policy type | Feature support | Obsługa jednostek SKU zapory |
|---|---|---|
| Basic policy | Reguły translatora adresów sieciowych, reguły sieci, reguły aplikacji IP Groups Analiza zagrożeń (alerty) |
Basic |
| Standard policy | Reguły translatora adresów sieciowych, reguły sieci, reguły aplikacji Niestandardowy serwer DNS, serwer proxy DNS IP Groups Web Categories Threat Intelligence |
Standardowa lub Premium |
| Premium policy | Cała obsługa funkcji w warstwie Standardowa oraz: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
Nowe zasady zapory można tworzyć od podstaw lub dziedziczyć z istniejących zasad. Dziedziczenie umożliwia DevOps definiowanie lokalnych zasad zapory na podstawie bazowych zasad narzuconych przez organizację.
Po utworzeniu nowej zasady z niepustą zasadą nadrzędną, nowa zasada dziedziczy wszystkie kolekcje reguł z elementu nadrzędnego. Zarówno polityki nadrzędne, jak i podrzędne muszą znajdować się w tym samym regionie. Jednak polityka zapory, niezależnie od tego, gdzie jest przechowywana, może być skojarzona z zaporami w każdym regionie.
Rule inheritance
Kolekcje reguł sieci dziedziczone z polityki nadrzędnej mają zawsze pierwszeństwo nad kolekcjami reguł sieci zdefiniowanymi w ramach nowej polityki. Ta sama logika dotyczy również kolekcji reguł aplikacji. Niezależnie od dziedziczenia kolekcje reguł sieci są przetwarzane przed kolekcjami reguł aplikacji.
Kolekcje reguł NAT nie są dziedziczone, ponieważ są specyficzne dla poszczególnych zapór. Jeśli chcesz używać reguł NAT, musisz zdefiniować je w zasadach podrzędnych.
Tryb analizy zagrożeń i dziedziczenie listy dozwolonych
Tryb analizy zagrożeń jest również dziedziczony z zasad nadrzędnych. To ustawienie można przesłonić w zasadach podrzędnych, ale musi być w trybie bardziej rygorystycznym — nie można go wyłączyć. Jeśli na przykład zasady nadrzędne są ustawione na Alert tylko, zasady podrzędne można ustawić na Alert i odmów, ale nie na mniej rygorystyczny tryb.
Podobnie lista dozwolonych adresów dla analizy zagrożeń jest dziedziczona z polityki nadrzędnej, a polityka podrzędna może dołączać dodatkowe adresy IP do tej listy.
Po dziedziczeniu wszelkie zmiany zasad nadrzędnych są automatycznie stosowane do skojarzonych zasad podrzędnych zapory.
Wbudowana wysoka dostępność
Wysoka dostępność jest wbudowana, więc nie trzeba nic konfigurować. Obiekt usługi Azure Firewall Policy można utworzyć w dowolnym regionie i połączyć go globalnie z wieloma wystąpieniami usługi Azure Firewall w ramach tej samej dzierżawy identyfikatora Entra. Jeśli region, w którym tworzysz zasady, ulegnie awarii i ma sparowany region, metadane obiektu usługi ARM (Azure Resource Manager) automatycznie przechodzą w tryb failover do regionu pomocniczego. Podczas pracy w trybie failover lub jeśli jeden region bez pary nie pozostaje w stanie niepowodzenia, nie można zmodyfikować obiektu usługi Azure Firewall Policy. Jednak wystąpienia usługi Azure Firewall połączone z zasadami zapory nadal działają. Aby uzyskać więcej informacji, zobacz Replikacja między regionami na platformie Azure: ciągłość działania i odzyskiwanie po awarii.
Pricing
Zasady są rozliczane na podstawie skojarzeń zapory. Zasady z zerowym lub jednym skojarzeniem zapory są bezpłatne. Zasady z wieloma skojarzeniami zapory są rozliczane według stałej stawki. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Firewall Manager.
Next steps
- Dowiedz się, jak wdrożyć usługę Azure Firewall — samouczek: zabezpieczanie sieci w chmurze za pomocą usługi Azure Firewall Manager przy użyciu witryny Azure Portal
- Dowiedz się więcej o zabezpieczeniach sieci platformy Azure