Azure Güvenlik duvarı kurallarını yapılandırmaConfigure Azure Firewall rules

Azure Güvenlik duvarında NAT kurallarını, ağ kurallarını ve uygulama kurallarını yapılandırabilirsiniz.You can configure NAT rules, network rules, and applications rules on Azure Firewall. Kural koleksiyonları, kural türüne göre öncelik sırasına göre işlenir ve 100 ' den 65.000 ' ye kadar daha yüksek sayılara daha düşük sayılar.Rule collections are processed according to the rule type in priority order, lower numbers to higher numbers from 100 to 65,000. Bir kural koleksiyonu adı yalnızca harf, sayı, alt çizgi, nokta veya kısa çizgi içerebilir.A rule collection name can have only letters, numbers, underscores, periods, or hyphens. Bir harf veya sayı ile başlamalı ve bir harf, sayı veya alt çizgi ile bitmelidir.It must begin with a letter or number, and end with a letter, number, or underscore. En büyük ad uzunluğu 80 karakterdir.The maximum name length is 80 characters.

İlk olarak kural koleksiyonu öncelik numaralarınızı 100 artışlara (100, 200, 300, vb.) göre boşluk, gerekirse daha fazla kural koleksiyonu eklemek için yeriniz olması gerekir.It's best to initially space your rule collection priority numbers in 100 increments (100, 200, 300, and so on) so you have room to add more rule collections if needed.

Not

Tehdit zekası tabanlı filtreleme 'yi etkinleştirirseniz, bu kurallar en yüksek önceliktir ve ilk olarak her zaman işlenir.If you enable threat intelligence-based filtering, those rules are highest priority and are always processed first. Tehdit bilgileri filtreleme, yapılandırılmış kuralların işlenmeden önce trafiği reddedebilir.Threat-intelligence filtering may deny traffic before any configured rules are processed. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı tehdit zekası tabanlı filtreleme.For more information, see Azure Firewall threat intelligence-based filtering.

Giden bağlantıOutbound connectivity

Ağ kuralları ve uygulama kurallarıNetwork rules and applications rules

Ağ kurallarını ve uygulama kurallarını yapılandırırsanız, ağ kuralları uygulama kurallarından önce öncelik sırasına göre uygulanır.If you configure network rules and application rules, then network rules are applied in priority order before application rules. Kurallar sonlandırılıyor.The rules are terminating. Bu nedenle bir ağ kuralında eşleşme bulunursa, başka hiçbir kural işlenmez.So if a match is found in a network rule, no other rules are processed. Ağ kuralı eşleşmesi yoksa ve protokol HTTP, HTTPS veya MSSQL ise, paket daha sonra öncelik sırasıyla uygulama kuralları tarafından değerlendirilir.If there's no network rule match, and if the protocol is HTTP, HTTPS, or MSSQL, then the packet is then evaluated by the application rules in priority order. Hala eşleşme bulunamazsa paket, altyapı kuralı koleksiyonunagöre değerlendirilir.If still no match is found, then the packet is evaluated against the infrastructure rule collection. Hala eşleşme yoksa, paket varsayılan olarak reddedilir.If there's still no match, then the packet is denied by default.

Ağ kuralı ProtokolüNetwork rule protocol

Ağ kuralları TCP, UDP, ICMP veya herhangi bir IP protokolü için yapılandırılabilir.Network rules can be configured for TCP, UDP, ICMP, or Any IP protocol. Herhangi bir IP protokolü, Internet atanmış numaralar yetkilisi (IANA) protokol numaraları belgesinde tanımlanan tüm IP protokollerini içerir.Any IP protocol includes all the IP protocols as defined in the Internet Assigned Numbers Authority (IANA) Protocol Numbers document. Bir hedef bağlantı noktası açıkça yapılandırıldıysa, kural bir TCP + UDP kuralına çevrilir.If a destination port is explicitly configured, then the rule is translated to a TCP+UDP rule.

9 Kasım 2020 tarihinden önce, herhangi bir TCP veya UDP ya da ICMP.Before November 9, 2020 Any meant TCP, or UDP, or ICMP. Bu nedenle, protokol = any ve hedef bağlantı noktaları = ' * ' ile bu tarihten önce bir kural yapılandırmış olabilirsiniz.So, you might have configured a rule before that date with Protocol = Any, and destination ports = '*'. Gerçekten tanımlanmış olan herhangi bir IP protokolüne izin vermeyi düşünmüyorsanız, istediğiniz protokolleri (TCP, UDP veya ıCMP) açıkça yapılandırmak için kuralı değiştirin.If you don't actually intend to allow any IP protocol as currently defined, then modify the rule to explicitly configure the protocol(s) you want (TCP, UDP, or ICMP).

Gelen bağlantıInbound connectivity

NAT kurallarıNAT rules

Gelen Internet bağlantısı , öğretici: Azure Güvenlik Duvarı ile gelen trafiği Azure Portal kullanarakhedef ağ adresi çevirisi (DNAT) yapılandırılarak etkinleştirilebilir.Inbound Internet connectivity can be enabled by configuring Destination Network Address Translation (DNAT) as described in Tutorial: Filter inbound traffic with Azure Firewall DNAT using the Azure portal. NAT kuralları ağ kurallarından önce öncelik olarak uygulanır.NAT rules are applied in priority before network rules. Bir eşleşme bulunursa, çevrilmiş trafiğe izin veren örtülü olarak karşılık gelen bir ağ kuralı eklenir.If a match is found, an implicit corresponding network rule to allow the translated traffic is added. Güvenlik nedenleriyle önerilen yaklaşım, ağ için DNAT erişimine izin vermek ve joker karakter kullanmaktan kaçınmak üzere belirli bir internet kaynağı eklemektir.For security reasons, the recommended approach is to add a specific internet source to allow DNAT access to the network and avoid using wildcards.

Uygulama kuralları gelen bağlantılar için uygulanmıyor.Application rules aren't applied for inbound connections. Bu nedenle, gelen HTTP/S trafiğini filtrelemek istiyorsanız, Web uygulaması güvenlik duvarını (WAF) kullanmanız gerekir.So if you want to filter inbound HTTP/S traffic, you should use Web Application Firewall (WAF). Daha fazla bilgi için bkz. Azure Web uygulaması güvenlik duvarı nedir?For more information, see What is Azure Web Application Firewall?

ÖrneklerExamples

Aşağıdaki örneklerde, bu kural birleşimlerinin bazılarının sonuçları gösterilmektedir.The following examples show the results of some of these rule combinations.

Örnek 1Example 1

Eşleşen bir ağ kuralı nedeniyle google.com bağlantısına izin verilir.Connection to google.com is allowed because of a matching network rule.

Ağ kuralıNetwork rule

  • Eylem: İzin VerAction: Allow
namename ProtokolProtocol Kaynak türüSource type KaynakSource Hedef türüDestination type Hedef adresDestination address Hedef bağlantı noktalarıDestination ports
Web 'e izin verAllow-web TCPTCP IP AdresiIP address * IP AdresiIP address * 80,44380,443

Uygulama kuralıApplication rule

  • Eylem: ReddetAction: Deny
namename Kaynak türüSource type KaynakSource Protokol:Bağlantı NoktasıProtocol:Port Hedef FQDN 'LerTarget FQDNs
Reddet-GoogleDeny-google IP AdresiIP address * http: 80, https: 443http:80,https:443 google.comgoogle.com

SonuçResult

Paket Allow-Web Network kuralıyla eşleştiğinden, Google.com bağlantısına izin verilir.The connection to google.com is allowed because the packet matches the Allow-web network rule. Kural işleme bu noktada durdu.Rule processing stops at this point.

Örnek 2Example 2

Daha yüksek öncelikli bir ağ kuralı koleksiyonu ENGELLEDIĞI için SSH trafiği reddedildi.SSH traffic is denied because a higher priority Deny network rule collection blocks it.

Ağ kuralı koleksiyonu 1Network rule collection 1

  • Ad: Izin ver-koleksiyonName: Allow-collection
  • Öncelik: 200Priority: 200
  • Eylem: İzin VerAction: Allow
namename ProtokolProtocol Kaynak türüSource type KaynakSource Hedef türüDestination type Hedef adresDestination address Hedef bağlantı noktalarıDestination ports
SSH 'ye izin verAllow-SSH TCPTCP IP AdresiIP address * IP AdresiIP address * 2222

Ağ kuralı koleksiyonu 2Network rule collection 2

  • Ad: reddetme-koleksiyonName: Deny-collection
  • Öncelik: 100Priority: 100
  • Eylem: ReddetAction: Deny
namename ProtokolProtocol Kaynak türüSource type KaynakSource Hedef türüDestination type Hedef adresDestination address Hedef bağlantı noktalarıDestination ports
Deny-SSHDeny-SSH TCPTCP IP AdresiIP address * IP AdresiIP address * 2222

SonuçResult

Daha yüksek öncelikli bir ağ kuralı koleksiyonu tarafından engellediği için SSH bağlantıları reddedilir.SSH connections are denied because a higher priority network rule collection blocks it. Kural işleme bu noktada durdu.Rule processing stops at this point.

Kural değişiklikleriRule changes

Önceden izin verilen trafiğe izin vermek için bir kural değiştirirseniz, varsa ilgili mevcut oturumlar bırakılır.If you change a rule to deny previously allowed traffic, any relevant existing sessions are dropped.

Sonraki adımlarNext steps