Tjänsttaggar för Azure Firewall

  • Artikel

En tjänsttagg representerar en grupp IP-adressprefix och används i syfte att minska komplexiteten vid skapande av säkerhetsregler. Du kan inte skapa en egen tjänsttagg eller ange vilka IP-adresser som ingår i en tagg. Microsoft hanterar adressprefixen som omfattar tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresser ändras.

Azure Firewall-tjänsttaggar kan användas i målfältet för nätverksregler. Du kan använda dem i stället för specifika IP-adresser.

Tjänsttaggar som stöds

Azure Firewall stöder följande tjänsttaggar som ska användas i Azure Firewall Network-regler:

  • Taggar för olika Microsoft- och Azure-tjänster som anges i tjänsttaggar för virtuella nätverk.
  • Taggar för nödvändiga IP-adresser för Office365-tjänster, uppdelade efter Office365-produkt och kategori. Du måste definiera TCP/UDP-portarna i dina regler. Mer information finns i Använda Azure Firewall för att skydda Office 365.

Konfiguration

Azure Firewall stöder konfiguration av tjänsttaggar via PowerShell, Azure CLI eller Azure-portalen.

Konfigurera via Azure PowerShell

I det här exemplet gör vi en ändring i en Azure Firewall med hjälp av klassiska regler. Vi måste först hämta kontexten till vår tidigare skapade Azure Firewall-instans.

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

Sedan måste vi skapa en ny regel. För målet kan du ange textvärdet för den tjänsttagg som du vill använda, som tidigare nämnts.

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

Sedan måste vi uppdatera variabeln som innehåller vår Azure Firewall-definition med de nya nätverksregler som vi skapade.

$azFirewall.NetworkRuleCollections.add($ruleCollection)

Slutligen måste vi checka in ändringar i nätverksregeln i azure firewall-instansen som körs.

Set-AzFirewall -AzureFirewall $azfirewall

Nästa steg

Mer information om Azure Firewall-regler finns i Bearbetningslogik för Azure Firewall-regler.