Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Política de Firewall é o método recomendado para configurar o Firewall do Azure. É um recurso global que pode ser usado em várias instâncias do Firewall do Azure em Hubs Virtuais Seguros e Redes Virtuais de Hub. As políticas funcionam em todas as regiões e assinaturas.
Criação de políticas e associação
Uma política pode ser criada e gerenciada de várias maneiras, incluindo o portal do Azure, API REST, modelos, Azure PowerShell, CLI e Terraform.
Você também pode migrar regras Clássicas existentes do Firewall do Azure usando o portal ou o Azure PowerShell para criar políticas. Para obter mais informações, consulte Como migrar configurações do Firewall do Azure para a política do Firewall do Azure.
As políticas podem ser associadas a um ou mais firewalls implantados em uma WAN Virtual (criando um Hub Virtual Seguro) ou uma Rede Virtual (criando uma Rede Virtual de Hub). Os firewalls podem residir em qualquer região ou assinatura vinculada à sua conta.
Regras e políticas clássicas
O Firewall do Azure dá suporte a regras e políticas clássicas, mas as políticas são a configuração recomendada. A tabela a seguir compara políticas e regras clássicas:
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | NAT, Rede, Regras de aplicação, definições personalizadas de DNS e proxy DNS, Grupos IP e definições de Inteligência de Ameaças (incluindo lista de permissões), IDPS, Inspeção TLS, Categorias Web, Filtragem de URL | Regras de NAT, Rede e Aplicação, definições personalizadas de DNS e proxy DNS, Grupos IP e definições de Inteligência de Ameaças (incluindo lista de permissões) |
| Protects | Hubs Virtuais (VWAN) e Redes Virtuais | Apenas Redes Virtuais |
| Portal experience | Gerenciamento central usando o Firewall Manager | Experiência de firewall independente |
| Suporte a vários firewalls | A Política de Firewall é um recurso separado que pode ser usado em firewalls | Exporte e importe regras manualmente ou use soluções de gerenciamento de terceiros |
| Pricing | Cobrado com base na associação de firewall. See Pricing. | Gratuito |
| Mecanismos de implantação suportados | Portal, API REST, modelos, Azure PowerShell e CLI | Portal, API REST, modelos, PowerShell e CLI. |
Políticas Basic, Standard e Premium
O Firewall do Azure dá suporte às políticas Básica, Standard e Premium. A tabela a seguir resume a diferença entre essas políticas:
| Policy type | Feature support | Suporte a SKU de firewall |
|---|---|---|
| Basic policy | Regras de NAT, Regras de rede, Regras de aplicação IP Groups Threat Intelligence (alertas) |
Básico |
| Standard policy | Regras de NAT, Regras de rede, Regras de aplicação DNS personalizado, proxy DNS IP Groups Web Categories Threat Intelligence |
Standard ou Premium |
| Premium policy | Todo o suporte a recursos padrão, além de: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
Novas políticas de firewall podem ser criadas do zero ou herdadas de políticas existentes. A herança permite que a equipa de DevOps defina políticas de firewall locais em cima das políticas básicas obrigatórias definidas pela organização.
Quando uma nova política é criada com uma política pai não vazia, ela herda todas as coleções de regras do pai. As políticas pai e filho devem residir na mesma região. No entanto, uma política de firewall, independentemente de onde está armazenada, pode ser associada a firewalls em qualquer região.
Rule inheritance
As coleções de regras de rede herdadas da política pai são sempre priorizadas sobre as coleções de regras de rede definidas como parte de uma nova política. A mesma lógica também se aplica às coleções de regras de aplicativo. Independentemente da herança, as coleções de regras de rede são processadas antes das coleções de regras de aplicativo.
As coleções de regras NAT não são herdadas, pois são específicas para firewalls individuais. Se você quiser usar regras NAT, você deve defini-las na política filho.
Modo de Inteligência de Ameaças e herança de lista de permissões
O modo de Inteligência de Ameaças também é herdado da política pai. Embora você possa substituir essa configuração na política filho, ela deve estar com um modo mais estrito - não é possível desativá-la. Por exemplo, se a política pai estiver definida como Apenas alerta, a política filho poderá ser definida como Alertar e negar, mas não para um modo menos estrito.
Da mesma forma, a lista de permissões de Threat Intelligence é herdada da política-mãe, e a política-filha pode acrescentar endereços IP adicionais a esta lista.
Com a herança, todas as alterações na política pai são aplicadas automaticamente às políticas filhas de firewall associadas.
Elevada disponibilidade incorporada
A alta disponibilidade está integrada, portanto, não há nada que você precise configurar. Você pode criar um objeto de Política de Firewall do Azure em qualquer região e vinculá-lo globalmente a várias instâncias do Firewall do Azure sob o mesmo locatário do Entra ID. Se a região onde você cria a Política ficar inativa e tiver uma região emparelhada, os metadados do objeto ARM (Azure Resource Manager) farão failover automaticamente para a região secundária. Durante o failover, ou se a região única sem par permanecer em um estado de falha, você não poderá modificar o objeto de Política de Firewall do Azure. No entanto, as instâncias do Firewall do Azure vinculadas à Política de Firewall continuam a operar. Para obter mais informações, consulte Replicação entre regiões no Azure: continuidade de negócios e recuperação de desastres.
Pricing
As políticas são cobradas com base em associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada a uma taxa fixa. Para obter mais informações, consulte Preços do Azure Firewall Manager.
Next steps
- Saiba como implantar um Firewall do Azure - Tutorial: Proteja sua rede de nuvem com o Gerenciador de Firewall do Azure usando o portal do Azure
- Saiba mais sobre a segurança de rede do Azure