你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
防火墙策略是最上层资源,包含 Azure 防火墙的安全和运营设置。 它允许管理 Azure 防火墙用于筛选流量的规则集。 防火墙策略基于具有以下组件的层次结构来组织和处理规则集并确定其优先级:规则集合组、规则集合和规则。
规则集合组
规则集合组用于对规则集合进行分组。 它是防火墙处理的第一个单元,遵循基于值的优先级顺序。 有三个默认规则集合组具有预设优先级值,将按以下顺序进行处理:
| 规则集合组名称 | 优先级 |
|---|---|
| 默认 DNAT(目标网络地址转换)规则集合组 | 100 |
| 默认网络规则集合组 | 200 |
| 默认应用程序规则集合组 | 300 |
虽然不能删除默认规则集合组或修改其优先级值,但可以通过创建具有所需优先级值的自定义规则集合组来更改处理顺序。 在这种情况下,你不会使用默认规则集合组,而是仅使用自定义集合组来定义处理逻辑。
规则集合组包含一个或多个规则集合,可以是 DNAT、网络或应用程序类型。 例如,可以将属于相同工作负载或虚拟网络的规则分组到一个规则集合组中。
有关规则集合组的大小限制,请参阅 Azure 订阅和服务限制、配额与约束。
规则集合
规则集合属于一个规则集合组,并包含一个或多个规则。 它是防火墙处理的第二个单元,遵循基于值的优先级顺序。 每个规则集合都必须具有定义的操作(允许或拒绝)和优先级值。 该操作适用于集合中的所有规则,而优先级值则确定规则集合的处理顺序。
有三种类型的规则集合:
- DNAT
- 网络
- 应用程序
规则类型必须与其父规则集合类别一致。 例如,DNAT 规则只能是 DNAT 规则集合的一部分。
规则
规则属于一个规则集合,指定在网络中允许或拒绝哪些流量。 它是防火墙处理的第三个单元,不遵循基于值的优先级顺序。 防火墙以自上而下的方法处理规则,将根据定义的规则评估所有流量,以确定其是否与允许或拒绝条件匹配。 如果没有规则允许相应流量,则默认拒绝该流量。
我们的内置基础结构规则集合会先针对应用程序规则处理流量,再默认拒绝相应流量。
入站与出站
入站防火墙规则可保护网络免受来自网络外部(源自 Internet 的流量)并试图渗透到内部的威胁。
出站防火墙规则可防御源自内部(源自 Azure 内部专用 IP 地址的流量)并向外传输的恶意流量。 这通常涉及将 Azure 资源中的流量在到达目标之前通过防火墙进行重定向。
规则类型
有三种类型的规则:
- DNAT
- 网络
- 应用程序
DNAT 规则
DNAT 规则通过一个或多个防火墙公共 IP 地址管理入站流量。 DNAT 规则可用于将公共 IP 地址转换为专用 IP 地址。 Azure 防火墙公共 IP 地址可以侦听来自 Internet 的入站流量,对其进行筛选,并将其转换为内部 Azure 资源。
网络规则
网络规则基于网络层 (L3) 和传输层 (L4) 控制入站、出站和东西向流量。 网络规则可用于根据 IP 地址、端口和协议筛选流量。
应用程序规则
应用程序规则基于应用程序层 (L7) 管理出站和东西向流量。 应用程序规则可用于根据完全限定的域名 (FQDN)、URL 和 HTTP/HTTPS 协议筛选流量。
后续步骤
- 若要详细了解 Azure 防火墙如何处理规则,请参阅配置 Azure 防火墙规则。