全局安全访问(GSA)云防火墙(CFW)通过对网络流量应用策略来保护客户免受未经授权的出口访问。 云防火墙为分支提供集中式管理、可见性和一致的策略。
此预览版的当前范围是使用 GSA 云防火墙在使用远程网络进行 Internet 访问的分支机构的 Internet 流量上强制实施策略(预览版)。
使用此预览版,可以:
定义详细的防火墙筛选规则,其中您可以定义流量匹配条件,以及在匹配条件时执行的操作。
基于源 IP、源端口、目标 IP、目标端口和目标协议(TCP、UDP)定义 5 元组规则。
定义并在 允许 和 阻止 之间强制执行动作。
先决条件
支持的方案
此预览版支持以下方案:
| # | 情景 |
|---|---|
| 1 | 管理员可以创建云防火墙策略,其中默认操作为“允许”(无法更改)。 默认作将应用于与策略中的任何规则不匹配的所有流量。 |
| 2 | 管理员可以在云防火墙策略中添加/更新规则,并将优先级分配给每个规则。 规则匹配条件:在每个规则中,管理员可以定义这些流量匹配条件:源 IPv4、源端口、目标 IPv4、目标端口和协议(TCP、UDP 或两者)。 每个规则的动作可以设置为 “允许” 或 “阻止”。 |
| 3 | 管理员可以启用或禁用单个云防火墙策略规则。 |
| 4 | 管理员可以删除单个云防火墙策略规则。 |
| 5 | 管理员可以将云防火墙策略链接到远程网络的基线配置文件。 |
| 6 | 管理员可以启用或禁用关联到基线配置文件(其优先级=65000 的安全配置文件)的防火墙策略。 |
| 7 | 管理员可以删除与基线配置文件关联的防火墙策略,并链接另一个策略。 |
方案配置步骤
创建一个默认操作为允许的云防火墙策略。
登录到 Entra 管理中心。
浏览到 全局安全访问 🡪 安全 🡪 云防火墙策略 🡪 创建防火墙策略。
在“基本信息”选项卡下,提供名称和说明,然后单击“下一步>”。
在 “策略设置”下,确保默认作设置为 “允许”,然后单击“ 下一步 >”。
在 “审阅和创建”下,查看提供的信息,然后单击“ 创建”。
添加或更新云防火墙规则,分配优先级并启用或禁用
单击上一步中创建的防火墙策略。
在 “规则”下,选择“ + 添加规则”。
配置 5 元组规则:
提供名称和说明。
将优先级分配给与此策略中的其他规则相关的规则。 规则优先级必须大于或等于 100,并且应在策略中是唯一的。 较低的值表示更高的优先级。
选择规则设置状态来设置为启用或禁用。 默认状态处于禁用状态,建议启动处于禁用状态的规则,直到准备好强制实施。
配置源和目标匹配条件。 请注意以下重要限制:
IP 定义为 IP、IP 范围或无类域间路由(CIDR)。
目前不支持目标完全限定域名(FQDN),因此我们建议将其保留为 “未设置 ”值(默认值)。
将 操作 设置为 允许 或 阻止。
注释
在规则中,源 IP、源端口、目标 IP、目标端口和协议在逻辑上是 AND。
例如,如以下所示配置一个规则:
- 源 IP = 10.0.0.5
- 源端口 = 12345
- 目标 IP = 192.168.1.20
- 目标端口 = 443
- 协议 = TCP
此防火墙规则匹配同时满足源 IP、源端口、目标端口、目标 IP 和协议条件的流量。 未在源和目标匹配条件中设置的值(默认值)将被忽略。
- (可选)更新规则中的任何值并保存它们。
删除云防火墙规则
- 使用 操作 列下的垃圾桶图标永久删除任何规则。
小窍门
如果打算将来使用该规则,而不是删除该规则,还可以禁用该规则。
将云防火墙策略链接到远程网络的基线配置文件
重要
作为最佳做法,建议先在策略中创建规则,然后再将策略链接到基线配置文件。 在策略中创建规则可确保所有更改统一应用。 确保实现集体更改非常重要,特别是在为整个分支流量创建“全部阻止”规则后,再添加规则以允许某些流量。 如果不遵循此最佳做法,可能会无意中使自己无法访问所有分支流量。
- 在 Entra 管理中心,导航到全局安全访问>安全>安全配置文件>基线配置文件。
- 单击 “编辑配置文件”,然后选择“ 链接策略 > + 链接现有云防火墙策略”以链接现有的云防火墙策略。
只能将一个云防火墙策略链接到基线配置文件。 将云防火墙策略链接到基线配置文件以外的安全配置文件不会有任何影响。
启用或禁用与基线配置文件关联的防火墙策略
- 使用铅笔图标将链接防火墙策略的状态从 启用 更改为 禁用 ,反之亦然。
删除链接的防火墙策略并链接到另一个策略
- 使用垃圾桶图标永久删除任何政策。
- 导航到 “+ 链接策略 ”以链接到另一个策略。
已知的限制
云防火墙规则不支持目标 FQDN。
任何防火墙策略更新可能需要 15-20 分钟才能生效。
全局安全访问客户端目前不支持云防火墙功能。