Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Criteri Firewall è una risorsa di primo livello che contiene impostazioni operative e di sicurezza per Firewall di Azure. Consente di gestire i set di regole usati da Firewall di Azure per filtrare il traffico. La politica del firewall organizza, assegna priorità ed elabora i set di regole in base a una gerarchia con i componenti seguenti: gruppi di raccolte di regole, raccolte di regole e regole.
Gruppi di collezione di regole
Usare un gruppo di raccolte di regole per raggruppare le raccolte di regole. Si tratta della prima unità elaborata dal firewall e segue un ordine di priorità basato sui valori. Esistono tre gruppi di raccolta regole predefiniti con valori di priorità preimpostati. Il firewall li elabora nell'ordine seguente:
| Nome del gruppo di raccolta regole | Priorità |
|---|---|
| Collezione di regole predefinite per la DNAT (Destination Network Address Translation) | 100 |
| Gruppo di raccolta regole di rete predefinito | 200 |
| Gruppo di collezione di regole dell'applicazione predefinito | 300 |
Anche se non è possibile eliminare i gruppi di raccolta regole predefiniti o modificarne i valori di priorità, è possibile modificare l'ordine di elaborazione creando gruppi di raccolta regole personalizzati con i valori di priorità desiderati. In questo caso, non usare i gruppi di raccolta regole predefiniti. Usare invece solo quelli personalizzati per definire la logica di elaborazione.
I gruppi di raccolta regole contengono una o più raccolte regole, che possono essere di tipo DNAT, rete o applicazione. Ad esempio, è possibile raggruppare le regole appartenenti agli stessi carichi di lavoro o a una rete virtuale in un gruppo di raccolte regole.
Per i limiti delle dimensioni del gruppo di regole, consultare limiti, quote e vincoli di sottoscrizione e servizio di Azure.
Raccolte di regole
Una raccolta regole appartiene a un gruppo di raccolte regole e contiene una o più regole. Si tratta della seconda unità elaborata dal firewall e segue un ordine di priorità basato sui valori. Ogni raccolta di regole deve avere un'azione definita (consenti o nega) e un valore di priorità. L'azione si applica a tutte le regole all'interno della raccolta e il valore di priorità determina l'ordine in cui vengono elaborate le raccolte regole.
Sono disponibili tre tipi di raccolte di regole:
- DNAT (Canale DNAT)
- Rete
- Applicazione
I tipi di regola devono corrispondere alla categoria di collezione di regole principale. Ad esempio, una regola DNAT può far parte solo di una raccolta di regole DNAT.
Regole
Una regola appartiene a una raccolta di regole e specifica il traffico consentito o negato nella rete. È la terza unità elaborata dal firewall e non segue un ordine di priorità in base ai valori. Il firewall elabora le regole in un approccio dall'alto verso il basso, valutando tutto il traffico rispetto alle regole definite per determinare se corrisponde a una condizione di autorizzazione o negazione. Se nessuna regola consente il traffico, viene negato per impostazione predefinita.
La raccolta di regole di infrastruttura predefinita elabora il traffico per le regole dell'applicazione prima di negarlo per impostazione predefinita.
Entrata e uscita
Una regola del firewall in ingresso protegge la rete dalle minacce provenienti dall'esterno della rete (il traffico proveniente da Internet) che tenta di infiltrarsi verso l'interno.
Una regola del firewall in uscita protegge dal traffico dannoso proveniente internamente (il traffico proveniente da un indirizzo IP privato all'interno di Azure) e viaggiando verso l'esterno. Questa protezione comporta in genere il traffico proveniente dalle risorse di Azure reindirizzate attraverso il firewall prima di raggiungere una destinazione.
Tipi di regola
Esistono tre tipi di regole:
- DNAT
- Rete
- Applicazione
Regole DNAT
Le regole DNAT gestiscono il traffico in ingresso attraverso uno o più indirizzi IP pubblici del firewall. Usare una regola DNAT per convertire un indirizzo IP pubblico in un indirizzo IP privato. Gli indirizzi IP pubblici di Firewall di Azure possono restare in ascolto del traffico in ingresso da Internet, filtrarlo e convertirlo in risorse interne di Azure.
Regole di rete
Le regole di rete controllano il traffico in ingresso, in uscita e ad est-ovest in base al livello di rete (L3) e al livello di trasporto (L4). Usare una regola di rete per filtrare il traffico in base a indirizzi IP, porte e protocolli.
Regole di applicazione
Le regole applicative gestiscono il traffico in uscita e il traffico interno al data center (east-west) in base al livello applicativo (L7). Usare una regola dell'applicazione per filtrare il traffico in base a nomi di dominio completi (FQDN), URL e protocolli HTTP/HTTPS.
Passaggi successivi
- Per altre informazioni sul modo in cui Firewall di Azure elabora le regole, vedere Configurare le regole di Firewall di Azure.