Azure防火墙管理器策略概述
Azure防火墙管理器策略概述
Azure防火墙管理器策略是Azure防火墙的核心配置方式,它提供了一个全局资源,可以跨安全虚拟中心和中心虚拟网络中的多个Azure防火墙实例使用。策略支持多种创建和管理方式,包括Azure门户、REST API、模板、Azure PowerShell、CLI和Terraform等。本文将详细介绍Azure防火墙管理器策略的各个方面。
本文内容
建议使用防火墙策略来配置Azure防火墙。它是一个全局资源,可跨安全虚拟中心和中心虚拟网络中的多个Azure防火墙实例使用。策略跨区域和订阅工作。
策略的创建和关联
可通过多种方式创建和管理策略,其中包括Azure门户、REST API、模板、Azure PowerShell、CLI和Terraform。
还可以使用门户或Azure PowerShell迁移Azure防火墙中的现有经典规则以创建策略。有关详细信息,请参阅如何将Azure防火墙配置迁移到Azure防火墙策略。
策略可与一个或多个虚拟中心或VNet相关联。防火墙可以位于与帐户关联的任何订阅中,且可以位于任何区域中。
经典规则和策略
尽管Azure防火墙支持经典规则和策略,但策略是建议的配置。下表对策略和经典规则进行了比较:
主题 | 策略 | 经典规则 |
|---|---|---|
包含 | NAT、网络、应用程序规则、自定义DNS和DNS代理设置、IP组和威胁智能设置(包括允许列表)、IDPS、TLS检查、Web类别、URL筛选 | NAT、网络和应用程序规则、自定义DNS和DNS代理设置、IP组和威胁智能设置(包括允许列表) |
保护 | 虚拟中心和虚拟网络 | 仅虚拟网络 |
门户体验 | 使用防火墙管理器的集中式管理 | 独立的防火墙体验 |
支持多个防火墙 | 防火墙策略是可跨防火墙使用的独立资源 | 手动导出和导入规则,或使用第三方管理解决方案 |
定价 | 根据防火墙关联计费。请参阅定价。 | 免费 |
支持的部署机制 | 门户、REST API、模板、Azure PowerShell和CLI | 门户、REST API、模板、PowerShell和CLI |
基本、标准和高级版策略
Azure防火墙支持基本、标准和高级版策略。下表总结了这些策略之间的差异:
策略类型 | 功能支持 | 防火墙SKU支持 |
|---|---|---|
基本策略 | NAT规则、网络规则、应用程序规则IP组威胁情报(警报) | 基本 |
标准版策略 | NAT规则、网络规则、应用程序规则自定义DNS、DNS代理IP组Web类别威胁智能 | 标准或高级 |
高级版策略 | 支持所有标准版功能,以及:TLS检查Web类别URL筛选IDPS | 高级 |
分层策略
可以从头开始创建新策略,或者从现有策略继承策略。DevOps可以通过继承在组织规定的基本策略之上创建本地防火墙策略。
使用非空父策略创建的策略从父策略继承所有规则集合。父策略和子策略必须位于同一区域。防火墙策略可以跨区域与防火墙相关联,无论它们存储在何处。
继承自父策略的网络规则集始终优先于定义为新策略一部分的网络规则集合。相同的逻辑也适用于应用程序规则集合。但是,不管是否继承,网络规则集合始终在应用程序规则集合之前进行处理。
威胁情报模式也继承自父策略。可将威胁情报模式设置为不同的值以替代此行为,但无法禁用模式。只能使用更严格的值替代行为。例如,如果父策略设置为“仅警报”,则可将此本地策略配置为“警报并拒绝”。
与威胁智能模式一样,威胁智能允许列表继承自父策略。子策略可以将更多IP地址添加到允许列表。
NAT规则集合不是继承的,因为它们与给定的防火墙相关。
通过继承,对父策略进行的任何更改会自动应用到关联的防火墙子策略。
内置的高可用性
内置高可用性,因此无需进行任何配置。可以在任何区域创建Azure防火墙策略对象,并将其全局链接到同一Azure AD租户下的多个Azure防火墙实例。
如果创建策略的区域出现故障并具有配对区域,则ARM(Azure资源管理器)对象元数据会自动故障转移到次要区域。在故障转移期间,或者如果没有配对项的单个区域仍处于故障状态,你无法修改Azure防火墙策略对象。但是,链接到防火墙策略的Azure防火墙实例将继续运行。有关详细信息,请参阅Azure中的跨区域复制:业务连续性和灾难恢复。
定价
策略根据防火墙关联计费。存在零个或一个防火墙关联的策略是免费的。存在多个防火墙关联的策略按固定费率计费。有关详细信息,请参阅Azure防火墙管理器定价。
后续步骤
- 了解如何部署Azure防火墙 -教程:在Azure门户中使用Azure防火墙管理器保护云网络
- 详细了解Azure网络安全