Теги службы Брандмауэра Azure

Тег службы представляет группу префиксов IP-адресов для упрощения создания правила безопасности. Нельзя создать собственный тег службы или указать, какие IP-адреса включены. Корпорация Майкрософт автоматически управляет и обновляет префиксы адресов в теге службы.

Теги службы брандмауэра Azure можно использовать в поле назначения правил сети, заменив определенные IP-адреса.

Поддерживаемые теги службы

Брандмауэр Azure поддерживает следующие теги служб в правилах сети:

• Теги для различных служб Майкрософт и Azure, перечисленных в тегах службы виртуальной сети.
• Теги для необходимых IP-адресов служб Office365, классифицируются по продуктам и категориям. Определите порты TCP/UDP в правилах. Дополнительные сведения см. в статье "Использование Брандмауэр Azure для защиты Office 365".

Настройка

Теги службы брандмауэра Azure можно настроить с помощью PowerShell, Azure CLI или портала Azure.

Настройка с помощью Azure PowerShell

Сначала получите контекст существующего экземпляра брандмауэра Azure:

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

Затем создайте новое правило. Для назначения укажите текстовое значение тега службы:

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

Обновите определение брандмауэра Azure новыми правилами сети:

$azFirewall.NetworkRuleCollections.add($ruleCollection)

Наконец, зафиксируйте изменение сетевого правила в работающем экземпляре брандмауэра Azure:

Set-AzFirewall -AzureFirewall $azfirewall

Следующие шаги

Дополнительные сведения о правилах Брандмауэра Azure см. в статье Логика обработки правил Брандмауэра Azure.