Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A política de firewall é o método recomendado para configurar o Firewall do Azure. É um recurso global que pode ser usado em várias instâncias do Firewall do Azure em hubs virtuais seguros e redes virtuais de hub. As políticas funcionam em regiões e assinaturas diferentes.
Criação e associação de política
Uma política pode ser criada e gerenciada de várias maneiras, incluindo o portal do Azure, a API REST, os modelos, o Azure PowerShell, a CLI e o Terraform.
Você também pode migrar regras clássicas existentes do Firewall do Azure usando o portal ou o Azure PowerShell para criar políticas. Para obter mais informações, confira Como migrar configurações do Firewall do Azure para a política de Firewall do Azure.
As políticas podem ser associadas a um ou mais firewalls implantados em uma WAN Virtual (criando um Hub Virtual Protegido) ou uma Rede Virtual (criando uma Rede Virtual do Hub). Os firewalls podem residir em qualquer região ou assinatura vinculada à sua conta.
Regras e políticas clássicas
O Firewall do Azure dá suporte a regras e políticas clássicas, mas as políticas são a configuração recomendada. A seguinte tabela compara políticas e regras:
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | Regras de NAT, Rede e Aplicativo, configurações personalizadas de proxy DNS e DNS, Grupos de IP e configurações da Inteligência Contra Ameaças (incluindo lista de permissões), IDPS, inspeção de TLS, categorias da Web, filtragem de URL | Regras de NAT, Rede e Aplicativo, configurações personalizadas de proxy DNS e DNS, Grupos de IP e configurações da Inteligência Contra Ameaças (incluindo lista de permissões) |
| Protects | VwAN (Hubs Virtuais) e Redes Virtuais | Somente Redes Virtuais |
| Portal experience | Gerenciamento central usando o Gerenciador de Firewall | Experiência de firewall autônomo |
| Suporte a vários firewalls | A política de firewall é um recurso separado que pode ser usado em firewalls | Exportar e importar regras manualmente ou usar soluções de gerenciamento de terceiros |
| Pricing | Cobrado com base na associação de firewall. See Pricing. | Gratuito |
| Mecanismos de implantação compatíveis | Portal, API REST, modelos, Azure PowerShell e CLI | Portal, API REST, modelos, PowerShell e CLI. |
Políticas Básica, Standard e Premium
O Firewall do Azure dá suporte a políticas Basic, Standard e Premium. A tabela a seguir resume as diferenças entre essas políticas:
| Policy type | Feature support | Suporte a SKU de firewall |
|---|---|---|
| Basic policy | Regras de NAT, Regras de Rede, Regras de aplicativo IP Groups Inteligência contra ameaças (alertas) |
Básico |
| Standard policy | Regras de NAT, Regras de Rede, Regras de aplicativo DNS personalizado, proxy DNS IP Groups Web Categories Threat Intelligence |
Standard ou Premium |
| Premium policy | Suporte a todos os recursos Standard, além de: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
Novas políticas de firewall podem ser criadas do zero ou herdadas de políticas existentes. A herança permite que o DevOps defina políticas locais de firewall além das políticas base obrigatórias da organização.
Quando uma nova política é criada com uma política pai não vazia, ela herda todas as coleções de regras do pai. As políticas pai e filho devem residir na mesma região. No entanto, uma política de firewall, independentemente de onde ela está armazenada, pode ser associada a firewalls em qualquer região.
Rule inheritance
Coleções de regras de rede herdadas da política principal são sempre priorizadas sobre coleções de regras de rede definidas como parte de uma nova política. A mesma lógica também se aplica às coleções de regras de aplicativo. Independentemente da herança, as coleções de regras de rede são processadas antes das coleções de regras de aplicativo.
As coleções de regras NAT não são herdadas, pois são específicas para firewalls individuais. Caso queira usar regras NAT, deverá defini-las na política filho.
Modo de Inteligência Contra Ameaças e herança de lista de permissões
O modo de inteligência contra ameaças também é herdado da política pai. Embora você possa substituir essa configuração na política filho, ela deve ser com um modo mais estrito; você não pode desabilitá-la. Por exemplo, se sua política pai estiver definida como Somente Alerta, a política filho poderá ser definida como Alerta e negar, mas não para um modo menos estrito.
Da mesma forma, a lista de permissões de Inteligência Contra Ameaças é herdada da política pai e a política filho pode acrescentar endereços IP adicionais a essa lista.
Com a herança, todas as alterações na política pai são aplicadas automaticamente a políticas filho de firewall associadas.
Alta disponibilidade interna
A alta disponibilidade está incorporada, então não há nada que você precise configurar. Você pode criar um objeto Azure Firewall Policy em qualquer região e vinculá-lo globalmente a várias instâncias do Azure Firewall no mesmo locatário da Entra ID. Se a região em que você cria a Política ficar inativa e tiver uma região emparelhada, os metadados do objeto do Azure Resource Manager (ARM) falharão automaticamente na região secundária. Durante o failover ou se a região única sem par permanecer em um estado com falha, você não poderá modificar o objeto de Política de Firewall do Azure. No entanto, as instâncias do Firewall do Azure vinculadas à Política de Firewall continuam operando. Para obter mais informações, confira Replicação entre regiões no Azure: continuidade dos negócios e recuperação de desastres.
Pricing
As políticas são cobradas com base nas associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada segundo uma taxa fixa. Para obter mais informações, confira Preços do Gerenciador de Firewall do Azure.
Next steps
- Saiba como implantar um Firewall do Azure – Tutorial: Proteger sua rede na nuvem com o Gerenciador de Firewall do Azure usando o portal do Azure
- Saiba mais sobre segurança de rede do Azure