Az Azure Firewall szabályfeldolgozási logikája

Az Azure Firewall NAT-szabályokkal, hálózati szabályokkal és alkalmazásokkal rendelkezik. A szabályok feldolgozása a szabálytípusnak megfelelően történik.

Hálózati szabályok és alkalmazások szabályai

Először a hálózati szabályokat, majd az alkalmazásszabályokat alkalmazza a rendszer. A szabályok megszűnnek. Ha tehát egyezés található a hálózati szabályokban, akkor az alkalmazásszabályok nem lesznek feldolgozva. Ha nincs egyező hálózati szabály, és ha a csomagprotokoll HTTP/HTTPS, akkor az alkalmazásszabályok kiértékelik a csomagot. Ha továbbra sem található egyezés, a rendszer kiértékeli a csomagot az infrastruktúraszabály-gyűjtemény alapján. Ha még mindig nincs egyezés, akkor a rendszer alapértelmezés szerint megtagadja a csomagot.

Általános szabályfeldolgozási logika

Példa a feldolgozási logikára

Példaforgatókönyv: három szabálycsoport létezik egy Azure Firewall-szabályzatban. Minden szabálycsoport alkalmazás- és hálózati szabályok sorozatával rendelkezik.

Szabály végrehajtási sorrendje

Az ábrán látható ábrán először a hálózati szabályok lesznek végrehajtva, majd az Alkalmazásszabályok az Azure Firewall szabályfeldolgozási logikája miatt, amely szerint a hálózati szabályok mindig végrehajtási prioritással rendelkeznek az alkalmazásszabályok előtt.

NAT-szabályok

A bejövő internetkapcsolat a célhálózati címfordítás (DNAT) konfigurálásával engedélyezhető az Azure Firewall DNST-sel való bejövő forgalom szűrése az Azure Portal használatával című cikkben leírtak szerint. A hálózati szabályok előtt a NAT-szabályok elsőbbséget élveznek. Ha talál egyezést, a forgalom a DNAT-szabálynak megfelelően lesz lefordítva, és a tűzfal engedélyezi. A forgalmat tehát nem kell más hálózati szabályok további feldolgozásával feldolgozni. Biztonsági okokból az ajánlott módszer egy adott internetes forrás hozzáadása a DNST hálózathoz való hozzáférésének engedélyezéséhez és a helyettesítő karakterek használatának elkerüléséhez.

A rendszer nem alkalmazza az alkalmazásszabályokat a bejövő kapcsolatokra. Ha tehát a bejövő HTTP/S forgalmat szeretné szűrni, akkor a webalkalmazási tűzfalat (WAF) kell használnia. További információ: Mi az Az Azure Web Application Firewall?

Örökölt szabályok

A szülőszabályzattól örökölt hálózati szabálygyűjtemények mindig elsőbbséget kapnak az új szabályzat részeként definiált hálózati szabálygyűjtemények előtt. Ugyanez a logika az alkalmazásszabály-gyűjteményekre is vonatkozik. A hálózati szabálygyűjtemények azonban mindig feldolgozásra kerülnek az alkalmazásszabály-gyűjtemények előtt, örökléstől függetlenül.

Alapértelmezés szerint a szabályzat örökli a szülőszabályzat fenyegetésfelderítési módját. Ezt a viselkedést felülbírálhatja úgy, hogy a fenyegetésintelligencia-módot egy másik értékre állítja a szabályzatbeállítások lapon. Csak szigorúbb értékkel lehet felülbírálni. Ha például a szülőházirend csak Riasztás értékre van állítva, konfigurálhatja ezt a helyi házirendet riasztásra és elutasításra, de nem kapcsolhatja ki.

Következő lépések