Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика брандмауэра — это ресурс верхнего уровня, который содержит параметры безопасности и работоспособности для брандмауэра Azure. Он позволяет управлять наборами правил, которые брандмауэр Azure использует для фильтрации трафика. Политика брандмауэра упорядочивает, определяет приоритеты и обрабатывает наборы правил на основе иерархии со следующими компонентами: группы коллекций правил, коллекции правил и правила.
Группы коллекций правил
Группа коллекции правил используется для группировки коллекций правил. Это первая единица, обрабатываемая брандмауэром, и она следует приоритетному порядку, который определяется значениями. Существует три группы коллекций правил по умолчанию с предустановленными значениями приоритета, обработанными в следующем порядке:
| Имя группы коллекций правил | Приоритет |
|---|---|
| Группа коллекций правил DNAT (преобразования сетевых адресов назначения) по умолчанию | 100 |
| Группа коллекций правил сети по умолчанию | 200 |
| Группа коллекций правил приложения по умолчанию | 300 |
Хотя вы не можете удалить группы коллекций правил по умолчанию или изменить их значения приоритета, можно изменить порядок обработки, создав настраиваемые группы коллекций правил с нужными значениями приоритета. В этом случае вы не будете использовать группы коллекций правил по умолчанию и вместо этого использовать только пользовательские, чтобы определить логику обработки.
Группы коллекций правил содержат одну или несколько коллекций правил, которые могут иметь тип "DNAT", "сеть" или "приложение". Например, можно группировать правила, относящиеся к одной рабочей нагрузке или виртуальной сети в группе коллекций правил.
Сведения об ограничениях размера группы коллекций правил см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Коллекции правил
Коллекция правил принадлежит группе коллекций правил и содержит одно или несколько правил. Это второй блок, обрабатываемый брандмауэром, и следует порядку приоритета на основе значений. Каждая коллекция правил должна иметь определенное действие (разрешить или запретить) и значение приоритета. Действие применяется ко всем правилам в коллекции, а значение приоритета определяет порядок обработки коллекций правил.
Есть три типа коллекций правил:
- DNAT
- Сеть
- Приложение
Категории типов правил должны соответствовать их родительской коллекции правил. Например, правило DNAT может входить только в коллекцию правил DNAT.
Правила
Правило принадлежит коллекции правил и указывает, какой трафик разрешен или запрещен в сети. Это третья единица, обрабатываемая брандмауэром, но не следует приоритетному порядку на основе значений. Брандмауэр обрабатывает правила в подходе сверху вниз, оценивая весь трафик по определенным правилам, чтобы определить, соответствует ли он условию разрешения или запрета. Если правило не разрешает трафик, оно по умолчанию запрещено.
Наша встроенная коллекция правил инфраструктуры обрабатывает трафик для правил приложения, прежде чем запретить его по умолчанию.
Входящий и исходящий трафик
Правило брандмауэра для входящего трафика защищает вашу сеть от угроз, исходящих из внешних источников (например, из Интернета), которые пытаются проникнуть в сеть.
Правило исходящего брандмауэра защищает от вредоносного трафика, исходящего внутренне (трафик, исходящий из частного IP-адреса в Azure) и перемещается внешне. Это обычно включает трафик из ресурсов Azure, которые перенаправляются через брандмауэр, прежде чем достичь назначения.
Типы правил
Есть такие три типа правил:
- DNAT
- Сеть
- Приложение
Правила DNAT
Правила DNAT управляют входящим трафиком через один или несколько общедоступных IP-адресов брандмауэра. Используйте правило DNAT для перевода общедоступного IP-адреса в частный IP-адрес. Общедоступные IP-адреса брандмауэра Azure могут прослушивать входящий трафик из Интернета, фильтровать его и переводить в внутренние ресурсы Azure.
Правила сети
Правила сети контролируют входящий, исходящий и восточный трафик на основе сетевого слоя (L3) и транспортного слоя (L4). Используйте сетевое правило для фильтрации трафика на основе IP-адресов, портов и протоколов.
Правила приложения
Правила приложений управляют исходящим и восточным трафиком на основе уровня приложений (L7). Используйте правило приложения для фильтрации трафика на основе полных доменных имен (FQDNs), URL-адресов и протоколов HTTP/HTTPS.
Следующие шаги
- Дополнительные сведения о том, как брандмауэр Azure обрабатывает правила, см. в статье "Настройка правил брандмауэра Azure".