Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Política de Firewall é um recurso de nível superior que contém configurações operacionais e de segurança para o Firewall do Azure. Ele permite que você gerencie conjuntos de regras que o Firewall do Azure usa para filtrar o tráfego. A Diretiva de Firewall organiza, prioriza e processa conjuntos de regras com base em uma hierarquia com os seguintes componentes: grupos de coleta de regras, coleções de regras e regras.
Grupos de coleta de regras
Um grupo de coleta de regras é usado para agrupar coleções de regras. É a primeira unidade processada pelo firewall e segue uma ordem de prioridade baseada em valores. Há três grupos de coleta de regras padrão com valores de prioridade predefinidos, processados na seguinte ordem:
| Nome do grupo de recolha de regras | Prioridade |
|---|---|
| Grupo de coleção de regras de DNAT (Tradução de Endereço de Rede de Destino) padrão | 100 |
| Grupo de recolha de regras de rede predefinido | 200 |
| Grupo de coleta de regras de aplicativo padrão | 300 |
Embora não seja possível excluir os grupos de coleta de regras padrão ou modificar seus valores de prioridade, você pode alterar a ordem de processamento criando grupos de coleta de regras personalizados com os valores de prioridade desejados. Nesse caso, você não usaria os grupos de coleta de regras padrão e, em vez disso, usaria apenas os personalizados para definir a lógica de processamento.
Os grupos de coleta de regras contêm uma ou várias coleções de regras, que podem ser do tipo DNAT, rede ou aplicativo. Por exemplo, você pode agrupar regras pertencentes às mesmas cargas de trabalho ou a uma rede virtual em um grupo de coleta de regras.
Para limites de tamanho do grupo de recolha de regras, consulte Limites de serviço, cotas e restrições de assinatura do Azure.
Coleções de regras
Uma coleção de regras pertence a um grupo de coleta de regras e contém uma ou mais regras. É a segunda unidade processada pelo firewall e segue uma ordem de prioridade baseada em valores. Cada coleção de regras deve ter uma ação definida (permitir ou negar) e um valor de prioridade. A ação se aplica a todas as regras dentro da coleção, e o valor de prioridade determina a ordem na qual as coleções de regras são processadas.
Existem três tipos de coleções de regras:
- DNAT
- Rede
- Aplicação
Os tipos de regra devem corresponder à categoria da coleção de regras principal. Por exemplo, uma regra DNAT só pode fazer parte de uma coleção de regras DNAT.
Regras
Uma regra pertence a uma coleção de regras e especifica qual tráfego é permitido ou negado na rede. É a terceira unidade processada pelo firewall e não segue uma ordem de prioridade baseada em valores. O firewall processa regras em uma abordagem de cima para baixo, avaliando todo o tráfego em relação às regras definidas para determinar se ele corresponde a uma condição de permissão ou negação. Se nenhuma regra permitir o tráfego, ele será negado por padrão.
Nossa coleção de regras de infraestrutura integrada processa o tráfego para regras de aplicativo antes de negá-lo por padrão.
Entrada vs. saída
Uma regra de firewall de entrada protege a sua rede contra ameaças originadas fora da sua rede (tráfego proveniente da Internet) que tentam infiltrar-se interiormente.
Uma regra de firewall de saída protege contra tráfego mal-intencionado originado internamente (tráfego proveniente de um endereço IP privado dentro do Azure) que se desloca para fora. Isso geralmente envolve o tráfego de dentro dos recursos do Azure sendo redirecionado por meio do Firewall antes de chegar a um destino.
Tipos de regras
Existem três tipos de regras:
- DNAT
- Rede
- Aplicação
Regras DNAT
As regras DNAT gerenciam o tráfego de entrada por meio de um ou mais endereços IP públicos de firewall. Use uma regra DNAT para converter um endereço IP público em um endereço IP privado. Os endereços IP públicos do Firewall do Azure podem ouvir o tráfego de entrada da Internet, filtrá-lo e traduzi-lo para recursos internos do Azure.
Regras de rede
As regras de rede controlam o tráfego de entrada, de saída e leste-oeste com base na camada de rede (L3) e na camada de transporte (L4). Use uma regra de rede para filtrar o tráfego com base em endereços IP, portas e protocolos.
Regras de aplicação
As regras de aplicativo gerenciam o tráfego de saída e leste-oeste com base na camada de aplicativo (L7). Use uma regra de aplicativo para filtrar o tráfego com base em FQDNs (nomes de domínio totalmente qualificados), URLs e protocolos HTTP/HTTPS.
Próximos passos
- Para saber mais sobre como o Firewall do Azure processa regras, consulte Configurar regras do Firewall do Azure.