Теги службы Брандмауэра Azure

  • Статья

Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности. Создать собственный тег службы или задать IP-адреса, которые будут входить в тег, нельзя. Корпорация Майкрософт управляет префиксами адресов, заключенными в теге службы, и автоматически обновляет тег службы при изменении адресов.

Теги службы Брандмауэра Azure можно использовать в поле назначения правил сети. Вы можете их использовать вместо определенных IP-адресов.

Поддерживаемые теги службы

Брандмауэр Azure поддерживает следующие теги службы для использования в правилах сети Брандмауэр Azure:

  • Теги для различных служб Майкрософт и Azure, перечисленных в тегах службы виртуальной сети.
  • Теги необходимых IP-адресов служб Office365, разделенные по продуктам и категориям Office365. В правилах необходимо определить порты TCP/UDP. Дополнительные сведения см. в статье "Использование Брандмауэр Azure для защиты Office 365".

Настройка

Брандмауэр Azure поддерживает настройку тегов служб с помощью PowerShell, Azure CLI или портала Azure.

Настройка с помощью Azure PowerShell

В этом примере мы изменим Брандмауэр Azure с помощью классических правил. Сначала необходимо получить контекст для созданного ранее экземпляра Брандмауэр Azure.

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

Затем нужно создать новое правило. В качестве места назначения можно указать текстовое значение тега службы, который вы хотите использовать, как уже говорилось выше.

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

Далее необходимо обновить переменную, содержащую определение Брандмауэра Azure, с помощью созданных правил сети.

$azFirewall.NetworkRuleCollections.add($ruleCollection)

Наконец, необходимо зафиксировать изменения правил сети в работающем экземпляре Брандмауэра Azure.

Set-AzFirewall -AzureFirewall $azfirewall

Следующие шаги

Дополнительные сведения о правилах Брандмауэра Azure см. в статье Логика обработки правил Брандмауэра Azure.