In che modo funziona Gestione firewall di Azure

Completato 100 XP

In questa unità viene illustrato il funzionamento di Gestione firewall e le attività che è possibile eseguire con esso. Si esamina anche il funzionamento delle regole del criterio firewall. Come descritto in precedenza, il criterio è l'elemento su cui si basa Gestione firewall. I criteri vengono creati e associati alle istanze di Firewall di Azure in hub virtuali protetti o reti virtuali hub.

Il diagramma seguente mostra una configurazione tipica. Include un amministratore dell'organizzazione che crea e associa i criteri al livello principale. Questi criteri sono associati sia a un hub virtuale protetto che a due reti virtuali hub. L'amministratore locale può anche configurare e associare i criteri a una delle reti virtuali hub.

Diagramma che mostra una configurazione tipica di Gestione firewall, in cui un amministratore aziendale e un amministratore locale creano e associano le proprietà come descritto in precedenza.

I criteri firewall di Azure sono costituiti da regole e impostazioni che controllano il traffico nelle risorse protette. In questa unità si apprenderà:

  • Criteri, regole e impostazioni di intelligence sulle minacce di Firewall di Azure.
  • Elaborazione delle regole.
  • Attività che possono essere eseguite con Gestione firewall.

Definizione di regole per il criterio firewall di Azure

La tabella seguente descrive le impostazioni e le raccolte di regole per il criterio firewall di Azure.

Raccolta o impostazione di regole Descrizione
Impostazioni dell'intelligence sulle minacce Abilita il filtro dei criteri di Firewall di Azure in base all'intelligence sulle minacce, in modo da avvisare l'utente in caso di traffico potenzialmente dannoso. Consentono anche di rifiutare il traffico da e verso indirizzi IP e domini noti come dannosi.
Raccolta di regole NAT Consente di configurare le regole di DNAT (Destination Network Address Translation) di Firewall di Azure. Queste regole traslano e filtrano il traffico Internet in ingresso nelle subnet di Azure.
Raccolta di regole di rete Gestisce il traffico non HTTP/S che passa attraverso il firewall.
Raccolta di regole dell'applicazione Gestisce il traffico HTTP/S che passa attraverso il firewall.

Prima di tutto è necessario decidere quali regole sono necessarie per gestire il traffico. È quindi possibile usare Gestione firewall per creare e configurare i criteri firewall di Azure contenenti queste regole, come illustrato nella figura seguente.

Screenshot del pannello di intelligence sulle minacce nel portale di Azure all'interno di un criterio firewall.

Modalità di elaborazione delle regole

In realtà, una regola NAT è una regola di gestione che indirizza il traffico da indirizzi IP pubblici a privati nelle risorse di Azure. Quando un firewall elabora le regole definite di un criterio, sono le regole di rete e dell'applicazione a determinare se il traffico è consentito. Il processo seguente descrive in che modo queste regole vengono elaborate rispetto al traffico:

  1. Le regole di intelligence sulle minacce vengono elaborate prima delle regole NAT, di rete o dell'applicazione. Quando si stabiliscono le regole, è possibile configurare uno dei due comportamenti seguenti:

    • Genera un avviso quando viene attivata la regola (modalità predefinita).
    • Attiva un avviso e rifiuta il traffico quando viene attivata la regola.
  2. Successivamente vengono elaborate le regole NAT che determinano la connettività in ingresso alle risorse specificate nelle reti virtuali.

Nota

Se viene trovata una corrispondenza, viene aggiunta in modo implicito una regola di rete corrispondente per consentire il traffico convertito.

  1. Successivamente vengono applicate le regole di rete. Se una regola di rete corrisponde al traffico, tale regola viene applicata. Non vengono controllate altre regole.
  2. Se nessuna regola di rete corrisponde e il traffico è HTTP/S, vengono applicate le regole dell'applicazione.
  3. Se nessuna regola dell'applicazione corrisponde, il traffico viene confrontato con la raccolta di regole dell'infrastruttura.
  4. Se non vi è ancora alcuna corrispondenza per il traffico, il traffico viene rifiutato in modo implicito.

Nota

Le raccolte di regole dell'infrastruttura definiscono nomi di dominio completi (FQDN) che sono consentiti per impostazione predefinita. Questi FQDN sono specifici di Azure.

Usare Gestione firewall

Gestione firewall consente di:

  • Definire le regole per il filtro del traffico tra più istanze di Firewall di Azure in hub virtuali protetti e reti virtuali hub.
  • Associare un criterio firewall di Azure a reti virtuali nuove o esistenti. Questa associazione applica criteri firewall coerenti tra più reti virtuali hub.
  • Associare un criterio firewall di Azure o un provider del partner di sicurezza ad hub virtuali nuovi o esistenti. Questa associazione applica criteri di sicurezza e routing coerenti tra più hub.
  • Associare criteri di Web application firewall a una piattaforma di distribuzione delle applicazioni (il servizio Frontdoor di Azure o il gateway applicazione di Azure).
  • Associare le reti virtuali a un piano di protezione DDoS.

Nella figura seguente un amministratore distribuisce un firewall con un criterio firewall per una rete virtuale esistente.

Screenshot del pannello Reti virtuali in Gestione firewall. L'amministratore ha selezionato una rete virtuale esistente.


Unità successiva: Quando usare Gestione firewall di Azure

Indietro Prossima