Azure Firewall Policy Kural Kümeleri
Firewall Policy, Azure Firewall için güvenlik ve operasyonel ayarları içeren üst düzey bir kaynaktır. Azure Firewall’un trafiği filtrelemek için kullandığı kural kümelerini yönetmek için Firewall Policy kullanabilirsiniz. Firewall Policy , aşağıdaki bileşenlerle bir hiyerarşiye dayalı olarak kural kümelerini düzenler, öncelik sırasına koyar ve işler: kural toplama grupları, kural koleksiyonları ve kurallar.
Kural koleksiyonlarını gruplamak için bir kural toplama grubu kullanılır. Azure Firewall tarafından işlenecek ilk birimdir ve değerlere göre bir öncelik sırası izlerler. Üç varsayılan kural toplama grubu vardır ve bunların öncelik değerleri tasarım gereği önceden ayarlanmıştır. Aşağıdaki sırayla işlenirler:
Kural toplama grubu adı | Öncelik |
Default DNAT (Destination Network Address Translation) rule collection group | 100 |
Default Network rule collection group | 200 |
Default Application rule collection group | 300 |
Varsayılan kural toplama gruplarını silemez veya öncelik değerlerini değiştiremezseniz de, bunların işleme sırasını farklı bir şekilde değiştirebilirsiniz. Varsayılan tasarımdan farklı bir öncelik sırası tanımlamanız gerekiyorsa, istediğiniz öncelik değerleri ile özel kural toplama grupları oluşturabilirsiniz.
Kural toplama grupları, DNAT, ağ veya uygulama türünde olabilen bir veya birden fazla kural koleksiyonu içerir. Örneğin, aynı iş yüklerine veya bir VNet’e ait kuralları bir kural toplama grubunda gruplayabilirsiniz.
Kural toplama grupları maksimum 2 Mb boyutundadır. 2 Mb’den fazlasına ihtiyacınız varsa, kuralları birden çok kural toplama grubuna bölebilirsiniz. Bir Güvenlik Duvarı İlkesi, 50 kural toplama grubu içerebilir.
Bir kural koleksiyonu, bir kural koleksiyonu grubuna aittir ve bir veya birden çok kural içerir. Güvenlik duvarı tarafından işlenen ikinci birimdir ve değerlere dayalı bir öncelik sırası izlerler. Kural koleksiyonlarının tanımlanmış bir eylemi (izin ver veya reddet) ve bir öncelik değeri olmalıdır. Tanımlanan eylem, kural koleksiyonundaki tüm kurallar için geçerlidir. Öncelik değeri, kural koleksiyonlarının işlenme sırasını belirler.
Üç tür kural koleksiyonu vardır:
- DNAT
- Network
- Application
Kural toplama türleri, üst kural toplama grubu kategorileriyle eşleşmelidir. Örneğin, bir DNAT kural koleksiyonu yalnızca bir DNAT kural toplama grubunun parçası olabilir.
Bir kural, bir kural koleksiyonuna aittir ve ağınızda hangi trafiğe izin verildiğini veya reddedildiğini belirtir. Güvenlik duvarı tarafından işlenecek üçüncü birimdir ve değerlere dayalı bir öncelik sırası izlemezler. Kurallar için işleme mantığı yukarıdan aşağıya bir yaklaşım izler. Güvenlik duvarından geçen tüm trafik, izin verme veya reddetme eşleşmesi için tanımlanmış kurallar tarafından değerlendirilir. Trafiğe izin veren bir kural yoksa, trafik varsayılan olarak reddedilir.
Uygulama kuralları için trafik, varsayılan olarak reddedilmeden önce yerleşik altyapı kuralı koleksiyonu tarafından işlenir.
Üç tür kural vardır:
- DNAT
- Network
- Application
DNAT kuralları, güvenlik duvarı genel IP adres(ler)i üzerinden gelen trafiğe izin verir veya reddeder. Genel bir IP adresinin özel bir IP adresine çevrilmesini istediğinizde bir DNAT kuralı kullanabilirsiniz. Azure Firewall genel IP adresleri, Internet’ten gelen trafiği dinlemek, trafiği filtrelemek ve bu trafiği Azure’daki dahili kaynaklara çevirmek için kullanılabilir.
Network kuralları, ağ katmanına (L3) ve taşıma katmanına (L4) dayalı olarak gelen, giden ve doğu-batı trafiğine izin verir veya reddeder.
IP adreslerine, herhangi bir bağlantı noktasına ve herhangi bir protokole göre trafiği filtrelemek istediğinizde bir network kuralı kullanabilirsiniz.
Application kuralları, uygulama katmanına (L7) bağlı olarak gelen, giden ve doğu-batı trafiğine izin verir veya reddeder. Tam etki alanı adlarına (FQDN’ler) ve HTTP/HTTPS protokollerine dayalı olarak trafiği filtrelemek istediğinizde bir application kuralı kullanabilirsiniz.