Konfigurace Azure Firewall pravidel
Pravidla NAT, pravidla sítě a pravidla aplikací pro službu můžete Azure Firewall pomocí klasických pravidel nebo zásad brány firewall. Azure Firewall ve výchozím nastavení odmítá veškerý provoz, dokud se pravidla ručně nenakonfigurují tak, aby povoloval provoz.
Zpracování pravidel pomocí klasických pravidel
Kolekce pravidel se zpracovávají v souladu s typem pravidla v pořadí podle priority, nižším číslům a vyšším číslům od 100 do 65 000. Název kolekce pravidel může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky. Musí začínat písmenem nebo číslem a končovat písmenem, číslem nebo podtržítkem. Maximální délka názvu je 80 znaků.
Je nejlepší nejprve čísly priority kolekce pravidel znaky 100 (100, 200, 300 atd.), abyste v případě potřeby měli místo pro přidání dalších kolekcí pravidel.
Zpracování pravidel pomocí zásad brány firewall
Pomocí zásad brány firewall jsou pravidla uspořádaná v kolekcích pravidel a skupinách kolekcí pravidel. Skupiny kolekcí pravidel obsahují nula nebo více kolekcí pravidel. Kolekce pravidel jsou typu NAT, Network nebo Applications. V rámci jedné skupiny pravidel můžete definovat více typů kolekce pravidel. V kolekci pravidel můžete definovat nula nebo více pravidel. Pravidla v kolekci pravidel musí být stejného typu (NAT, síť nebo aplikace).
Pravidla se zpracovávají na základě priority skupiny kolekcí pravidel a priority kolekce pravidel. Priorita je libovolné číslo od 100 (nejvyšší priorita) do 65 000 (nejnižší priorita). Nejprve se zpracují skupiny kolekcí pravidel s nejvyšší prioritou. Ve skupině kolekcí pravidel se kolekce pravidel s nejvyšší prioritou (nejnižším číslem) zpracovávají jako první.
Pokud se zásady brány firewall dědí z nadřazených zásad, mají skupiny kolekcí pravidel v nadřazených zásadách vždy přednost bez ohledu na prioritu podřízené zásady.
Poznámka
Pravidla aplikace se vždy zpracovávají po pravidlech sítě, která se zpracovávají podle pravidel DNAT bez ohledu na skupinu kolekcí pravidel, prioritu kolekce pravidel a dědičnost zásad.
Tady je příklad zásady:
| Název | Typ | Priorita | Pravidla | Zděděno od |
|---|---|---|---|---|
| BaseRCG1 | Skupina kolekcí pravidel | 200 | 8 | Nadřazená zásada |
| DNATRc1 | Kolekce pravidel DNAT | 600 | 7 | Nadřazená zásada |
| NetworkRc1 | Kolekce pravidel sítě | 800 | 1 | Nadřazená zásada |
| BaseRCG2 | Skupina kolekcí pravidel | 300 | 3 | Nadřazená zásada |
| AppRCG2 | Kolekce pravidel aplikace | 1200 | 2 | Nadřazená zásada |
| NetworkRC2 | Kolekce pravidel sítě | 1300 | 1 | Nadřazená zásada |
| ChildRCG1 | Skupina kolekcí pravidel | 300 | 5 | - |
| ChAppRC1 | Kolekce pravidel aplikace | 700 | 3 | - |
| ChNetRC1 | Kolekce pravidel sítě | 900 | 2 | - |
| ChildRCG2 | Skupina kolekcí pravidel | 650 | 9 | - |
| ChNetRC2 | Kolekce pravidel sítě | 1100 | 2 | - |
| ChAppRC2 | Kolekce pravidel aplikace | 2000 | 7 | - |
| ChDNATRC3 | Kolekce pravidel DNAT | 3000 | 2 | - |
Zpracování pravidla bude v následujícím pořadí: DNATRC1, DNATRC3, ChDNATRC3, NetworkRC1, NetworkRC2, ChNetRC1, ChNetRC2, AppRC2, ChAppRC1, ChAppRC2.
Další informace o sadách pravidel zásad brány firewall najdete v Azure Firewall sadách pravidel zásad.
Analýza hrozeb
Pokud povolíte filtrování na základě inteligence hrozeb, mají tato pravidla nejvyšší prioritu a vždy se zpracují jako první (před pravidly sítě a aplikace). Filtrování pomocí inteligentních hrozeb může před zpracováním nakonfigurovaných pravidel odepřít provoz. Další informace najdete v tématu Azure Firewall na základě inteligence hrozeb.
IDPS
Při konfiguraci IDPS v režimu upozornění funguje modul IDPS paralelně s logikou zpracování pravidel a generuje upozornění na odpovídající podpisy pro příchozí i odchozí toky.V případě shody podpisu IDPS se do protokolů brány firewall zaprotokoluje výstraha. Vzhledem k tomu, že modul IDPS funguje paralelně s strojem pro zpracování pravidel, provoz, který je odepřen nebo povolen pravidly aplikace nebo sítě, může stále generovat další položku protokolu.
Když je IDPS nakonfigurovaný v režimu Výstraha a Odepřít, modul IDPS se aktivuje po modulu pro zpracování pravidel. Oba moduly tak generují výstrahy a můžou zablokovat vyhovující toky.
ZPROSTŘEDKOVATELŮ identity zablokuje tok v tichém procesu. Takže se na úrovni protokolu TCP neodesílají žádné RST.Vzhledem k tomu, že zprostředkovatelů identity kontroluje provoz vždy, když je pravidlo sítě/aplikace porovnáno (povolit/odepřít) a označeno v protokolech, může být zaprotokolována jiná zpráva o zápisu, kde se zprostředkovatelů identity rozhodne o zamítnutí relace z důvodu shody signatury.
Když je kontrola protokolu TLS povolená, kontrolují se nešifrovaný a šifrovaný provoz.
Odchozí připojení
Pravidla sítě a pravidla pro aplikace
Pokud konfigurujete Síťová pravidla a pravidla pro aplikace, budou se Síťová pravidla aplikována v pořadí podle priority před pravidly aplikací. Pravidla se ukončí. Takže pokud se shoda najde v síťovém pravidle, nezpracovávají se žádná další pravidla. Při konfiguraci se zprostředkovatelů identity provede na všech prodaných přenosech a na základě shody signatur, zprostředkovatelů identity může upozorňovat nebo blokovat podezřelý provoz.
Pokud se neshoduje žádné síťové pravidlo, a pokud je protokol HTTP, HTTPS nebo MSSQL, paket se pak vyhodnotí podle pravidel aplikace v pořadí podle priority.
V případě protokolu HTTP Azure Firewall vyhledá, že se pravidlo aplikace shoduje podle hlavičky hostitele. V případě protokolu HTTPS Azure Firewall vyhledá, že pravidlo aplikace odpovídá pouze SNI.
V případech protokolu HTTPS kontrolovaných protokolem HTTP i TLS ignoruje brána firewall cílovou IP adresu a použije přeloženou IP adresu DNS z hlavičky hostitele. Brána firewall očekává, že se v hlavičce hostitele načte číslo portu. v opačném případě se předpokládá standardní port 80. Pokud dojde k neshodě portů mezi skutečným portem TCP a portem v hlavičce hostitele, bude přenos vyřazený.Překlad DNS provádí Azure DNS nebo vlastním DNS, pokud je v bráně firewall nakonfigurovaný.
Poznámka
Protokoly HTTP i HTTPS (s kontrolou TLS) jsou vždycky vyplněné Azure Firewall s hlavičkou XFF (X-přesměred-for), která se rovná původní zdrojové IP adrese.
Když pravidlo aplikace obsahuje kontrolu TLS, SNI procesu, záhlaví hostitele a také adresu URL, která se bude shodovat s pravidlem.
Pokud se v pravidlech aplikací stále nenajde žádná shoda, paket se vyhodnotí na základě kolekce pravidel infrastruktury. Pokud se ještě neshodují, pak je ve výchozím nastavení povolený paket.
Poznámka
Síťová pravidla je možné nakonfigurovat pro protokol TCP, UDP, protokol ICMP nebo jakýkoli protokol IP. Jakýkoli protokol IP zahrnuje všechny protokoly IP, jak jsou definované v dokumentu čísla protokolů (IANA) (Internet Assigned Numbers Authority). Pokud je cílový port explicitně nakonfigurovaný, pravidlo se převede na pravidlo TCP + UDP. Do 9. listopadu 2020, všech navržených protokolů TCP, UDP a ICMP. Proto jste mohli nakonfigurovat pravidlo před tímto datem pomocí Protocol = any a cílovými porty = ' * '. Pokud nechcete povolit žádný protokol IP, který je aktuálně definovaný, upravte pravidlo tak, aby explicitně nakonfigurovalo požadované protokoly (TCP, UDP nebo ICMP).
Příchozí připojení
Pravidla DNAT a Síťová pravidla
Příchozí připojení k Internetu můžete povolit konfigurací překladu cílové sítě (DNAT), jak je popsáno v kurzu: filtrování příchozího provozu pomocí Azure firewall DNAT pomocí Azure Portal. Pravidla překladu adres (NAT) se aplikují přednostně před pravidly sítě. Pokud se najde shoda, přidá se implicitní odpovídající síťové pravidlo, které povolí přeložený provoz. Z bezpečnostních důvodů je doporučený postup přidat konkrétní internetový zdroj, který umožní DNAT přístup k síti a vyhnout se používání zástupných znaků.
Pro příchozí připojení se nepoužijí pravidla aplikací. Takže pokud chcete filtrovat příchozí přenosy HTTP/S, měli byste použít Firewall webových aplikací (WAF). Další informace najdete v tématu co je firewall webových aplikací Azure?
Příklady
Následující příklady znázorňují výsledky některých z těchto kombinací pravidel.
Příklad 1
Připojení k google.com je povolené z důvodu odpovídajícího síťového pravidla.
Síťové pravidlo
- Akce: Povolit
| name | Protokol | Typ zdroje | Zdroj | Cílový typ | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Povolení – Web | TCP | IP adresa | * | IP adresa | * | 80,443 |
Pravidlo aplikace
- Akce: Deny
| name | Typ zdroje | Zdroj | Protokol:port | Cílové plně kvalifikované názvy domén |
|---|---|---|---|---|
| Odepřít – Google | IP adresa | * | http: 80, https: 443 | google.com |
Výsledek
Připojení k google.com je povoleno, protože paket se shoduje s pravidlem " Povolení-webové sítě". Zpracování pravidla se v tomto okamžiku zastaví.
Příklad 2
Přenosy SSH se zamítly, protože kolekce síťových pravidel s vyšší prioritou je blokuje.
Kolekce pravidel sítě 1
- Název: Allow-Collection
- Priorita: 200
- Akce: Povolit
| name | Protokol | Typ zdroje | Zdroj | Cílový typ | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Povolení – SSH | TCP | IP adresa | * | IP adresa | * | 22 |
Kolekce pravidel sítě 2
- Název: Deny-Collection
- Priorita: 100
- Akce: Deny
| name | Protokol | Typ zdroje | Zdroj | Cílový typ | Cílová adresa | Cílové porty |
|---|---|---|---|---|---|---|
| Odepřít – SSH | TCP | IP adresa | * | IP adresa | * | 22 |
Výsledek
Připojení SSH jsou odepřena, protože ji blokuje kolekce pravidel sítě s vyšší prioritou. Zpracování pravidel se v tuto chvíli zastaví.
Změny pravidel
Pokud změníte pravidlo tak, aby odepřete dříve povolený provoz, všechny relevantní existující relace se zahodí.
Chování 3-way handshake
Jako stavová služba Azure Firewall protokolu TCP 3-way handshake pro povolený provoz ze zdroje do cíle.Například Z VNet-A do VNet-B.
Vytvoření pravidla povolení z VNet-A do VNet-B neznamená, že jsou povolená nová iniciovaná připojení z virtuální sítě VNet-B do VNet-A.
V důsledku toho není potřeba vytvářet explicitní pravidlo zamítnutí z VNet-B do VNet-A. Pokud vytvoříte toto pravidlo odepření, přerušíte 3sekudový handshake z počátečního pravidla povolení z VNet-A do VNet-B.