Azure Güvenlik Duvarı kural işleme mantığı

Azure Güvenlik Duvarı NAT kuralları, ağ kuralları ve uygulama kuralları vardır. Kurallar kural türüne göre işlenir.

Ağ kuralları ve uygulama kuralları

Önce ağ kuralları, ardından uygulama kuralları uygulanır. Kurallar sonlandırıcı. Bu nedenle ağ kurallarında bir eşleşme bulunursa uygulama kuralları işlenmez. Hiçbir ağ kuralı eşleşmiyorsa ve paket protokolü HTTP/HTTPS ise, uygulama kuralları paketi değerlendirir. Hala eşleşme bulunmazsa paket, altyapı kuralı koleksiyonuna göre değerlendirilir. Hala eşleşme yoksa paket varsayılan olarak reddedilir.

Genel kural işleme mantığı

İşleme mantığı örneği

Örnek senaryo: Azure Güvenlik Duvarı İlkesinde üç kural koleksiyonu grubu vardır. Her kural koleksiyonu grubunun bir dizi uygulama ve ağ kuralı vardır.

Kural yürütme sırası

Resimli diyagramda önce ağ kuralları yürütülür, ardından Azure Güvenlik Duvarı kural işleme mantığının ağ kurallarının uygulama kurallarından önce her zaman yürütme önceliğine sahip olduğunu belirten uygulama kuralları gelir.

NAT kuralları

Gelen İnternet bağlantısı, Azure portalını kullanarak gelen trafiği Azure Güvenlik Duvarı DNAT ile filtreleme bölümünde açıklandığı gibi Hedef Ağ Adresi Çevirisi (DNAT) yapılandırılarak etkinleştirilebilir. NAT kuralları, ağ kuralları öncesinde öncelikli olarak uygulanır. Eşleşme bulunursa, trafik DNAT kuralına göre çevrilir ve güvenlik duvarı tarafından izin verilir. Bu nedenle trafik, diğer ağ kuralları tarafından daha fazla işlemeye tabi değildir. Güvenlik nedeniyle önerilen yaklaşım, ağa DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak için belirli bir İnternet kaynağı eklemektir.

Uygulama kuralları gelen bağlantılar için uygulanmaz. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız Web Uygulaması Güvenlik Duvarı (WAF) kullanmalısınız. Daha fazla bilgi için bkz. Azure Web Uygulaması Güvenlik Duvarı nedir?

Devralınan kurallar

Üst ilkeden devralınan ağ kuralı koleksiyonları, yeni ilkenizin parçası olarak tanımlanan ağ kuralı koleksiyonlarından önce her zaman önceliklendirilir. Aynı mantık, uygulama kuralı koleksiyonları için de geçerlidir. Ancak, ağ kuralı koleksiyonları her zaman devralmadan bağımsız olarak uygulama kuralı koleksiyonlarından önce işlenir.

Varsayılan olarak, ilkeniz üst ilke tehdit bilgileri modunu devralır. Tehdit Bilgileri modunuzu ilke ayarları sayfasında farklı bir değere ayarlayarak bu davranışı geçersiz kılabilirsiniz. Yalnızca daha katı bir değerle geçersiz kılmak mümkündür. Örneğin, üst ilkeniz yalnızca Uyarı olarak ayarlandıysa, bu yerel ilkeyi Uyarı ve reddetme olarak yapılandırabilirsiniz, ancak kapatamazsınız.

Sonraki adımlar