Azure 防火墙服务标记

服务标记表示一组 IP 地址前缀，以简化安全规则创建。 无法创建自己的服务标记或指定包含哪些 IP 地址。 Microsoft自动管理和更新服务标记中的地址前缀。

可以在网络规则目标字段中使用 Azure 防火墙服务标记，替换特定的 IP 地址。

支持的服务标记

Azure 防火墙支持网络规则中的以下服务标记：

• 虚拟网络服务标记中列出的各种 Microsoft 和 Azure 服务的标记。
• Office365 服务所需的 IP 地址的标记，按产品和类别分类。 在规则中定义 TCP/UDP 端口。 有关详细信息，请参阅使用 Azure 防火墙保护 Office 365。

配置

可以使用 PowerShell、Azure CLI 或 Azure 门户配置 Azure 防火墙服务标记。

使用 Azure PowerShell 进行配置

首先，获取现有 Azure 防火墙实例的上下文：

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

接下来，创建新的规则。 对于“目标”，请指定服务标记文本值：

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

使用新的网络规则更新 Azure 防火墙定义：

$azFirewall.NetworkRuleCollections.add($ruleCollection)

最后，将网络规则更改提交到正在运行的 Azure 防火墙实例：

Set-AzFirewall -AzureFirewall $azfirewall

后续步骤

若要详细了解 Azure 防火墙规则，请参阅 Azure 防火墙规则处理逻辑。