Azure Güvenlik Duvarı Yöneticisi ilkesine genel bakış

Güvenlik Duvarı İlkesi, Azure Güvenlik Duvarı yapılandırmak için önerilen yöntemdir. Güvenli Sanal Hub'lar ve Hub Sanal Ağ'lerdeki birden çok Azure Güvenlik Duvarı örneğinde kullanılabilen genel bir kaynaktır. İlkeler bölgeler ve abonelikler arasında çalışır.

Azure Güvenlik Duvarı Yöneticisi ilkesi

İlke oluşturma ve ilişkilendirme

İlke, Azure portalı, REST API, şablonlar, Azure PowerShell, CLI ve Terraform gibi çeşitli yollarla oluşturulabilir ve yönetilebilir.

Ayrıca, ilkeleri oluşturmak için portalı veya Azure PowerShell'i kullanarak mevcut Klasik kuralları Azure Güvenlik Duvarı geçirebilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı yapılandırmalarını Azure Güvenlik Duvarı ilkesine geçirme.

İlkeler bir veya daha fazla sanal hub veya sanal ağ ile ilişkilendirilebilir. Güvenlik duvarı, hesabınızla ilişkili herhangi bir abonelikte ve herhangi bir bölgede olabilir.

Klasik kurallar ve ilkeler

Azure Güvenlik Duvarı hem Klasik kuralları hem de ilkeleri destekler, ancak ilkeler önerilen yapılandırmadır. Aşağıdaki tablo ilkeleri ve klasik kuralları karşılaştırır:

Konu İlke Klasik kurallar
Contains NAT, Ağ, Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil), IDPS, TLS İncelemesi, Web Kategorileri, URL Filtreleme NAT, Ağ ve Uygulama kuralları, özel DNS ve DNS proxy ayarları, IP Grupları ve Tehdit Bilgileri ayarları (izin verilenler listesi dahil)
Korur Sanal hub'lar ve Sanal Ağ Yalnızca Sanal Ağ
Portal deneyimi Güvenlik Duvarı Yöneticisi'nin kullanıldığı merkezi yönetim Tek başına güvenlik duvarı deneyimi
Birden çok güvenlik duvarı desteği Güvenlik Duvarı İlkesi, güvenlik duvarları arasında kullanılabilen ayrı bir kaynaktır Kuralları el ile dışarı ve içeri aktarma veya üçüncü taraf yönetim çözümlerini kullanma
Fiyatlandırma Güvenlik duvarı ilişkilendirmesi temelinde faturalandırılır. Bkz . Fiyatlandırma. Ücretsiz
Desteklenen dağıtım mekanizmaları Portal, REST API, şablonlar, Azure PowerShell ve CLI Portal, REST API, şablonlar, PowerShell ve CLI.

Temel, Standart ve Premium ilkeleri

Azure Güvenlik Duvarı Temel, Standart ve Premium ilkelerini destekler. Aşağıdaki tabloda bu ilkeler arasındaki fark özetlemektedir:

Politika türü Özellik desteği Güvenlik duvarı SKU desteği
Temel ilke NAT kuralları, Ağ kuralları, Uygulama kuralları
IP Grupları
Tehdit Bilgileri (uyarılar)
Temel
Standart ilke NAT kuralları, Ağ kuralları, Uygulama kuralları
Özel DNS, DNS ara sunucusu
IP Grupları
Web Kategorileri
Tehdit Bilgisi
Standart veya Premium
Premium ilke Tüm Standart özellik desteğinin yanı sıra:

TLS İncelemesi
Web Kategorileri
URL Filtreleme
IDPS
Premium

Hiyerarşik ilkeler

Yeni ilkeler sıfırdan oluşturulabilir veya mevcut ilkelerden devralınabilir. Devralma, DevOps'un kuruluş tarafından zorunlu kılınan temel ilkenin üzerinde yerel güvenlik duvarı ilkeleri oluşturmasına olanak tanır.

Boş olmayan üst ilkelerle oluşturulan ilkeler, tüm kural koleksiyonlarını üst ilkeden devralır. Üst ilke ve alt ilke aynı bölgede olmalıdır. Bir güvenlik duvarı ilkesi, nerede depolandıklarından bağımsız olarak bölgeler arasında güvenlik duvarlarıyla ilişkilendirilebilir.

Üst ilkeden devralınan ağ kuralı koleksiyonları her zaman yeni bir ilkenin parçası olarak tanımlanan ağ kuralı koleksiyonları üzerinde önceliklendirilir. Aynı mantık, uygulama kuralı koleksiyonları için de geçerlidir. Ancak, ağ kuralı koleksiyonları her zaman devralmadan bağımsız olarak uygulama kuralı koleksiyonlarından önce işlenir.

Tehdit Bilgileri modu da üst ilkeden devralınır. Bu davranışı geçersiz kılmak için tehdit bilgileri modunuzu farklı bir değere ayarlayabilirsiniz, ancak kapatamazsınız. Yalnızca daha katı bir değerle geçersiz kılmak mümkündür. Örneğin, üst ilkeniz yalnızca Uyarı olarak ayarlandıysa, bu yerel ilkeyi Uyarı ve reddetme olarak yapılandırabilirsiniz.

Tehdit Bilgileri modu gibi Tehdit Bilgileri izin verilenler listesi de üst ilkeden devralınır. Alt ilke izin verilenler listesine daha fazla IP adresi ekleyebilir.

NAT kuralı koleksiyonları belirli bir güvenlik duvarına özgü olduğundan devralınmıyor.

Devralma ile, üst ilkedeki tüm değişiklikler ilişkili güvenlik duvarı alt ilkelerine otomatik olarak uygulanır.

Yerleşik yüksek kullanılabilirlik

Yüksek kullanılabilirlik yerleşiktir, bu nedenle yapılandırmanız gereken bir şey yoktur. Herhangi bir bölgede bir Azure Güvenlik Duvarı İlkesi nesnesi oluşturabilir ve bunu aynı Azure AD kiracısı altındaki birden çok Azure Güvenlik Duvarı örneğine genel olarak bağlayabilirsiniz. İlkeyi oluşturduğunuz bölge devre dışı kalırsa ve eşleştirilmiş bir bölgeye sahipse ARM(Azure Resource Manager) nesne meta verileri otomatik olarak ikincil bölgeye yük devreder. Yük devretme sırasında veya çifti olmayan tek bölge başarısız durumda kalırsa, Azure Güvenlik Duvarı İlkesi nesnesini değiştiremezsiniz. Ancak, Güvenlik Duvarı İlkesi'ne bağlı Azure Güvenlik Duvarı örnekleri çalışmaya devam eder. Daha fazla bilgi için bkz . Azure'da bölgeler arası çoğaltma: İş sürekliliği ve olağanüstü durum kurtarma.

Fiyatlandırma

İlkeler güvenlik duvarı ilişkilendirmelerine göre faturalandırılır. Sıfır veya bir güvenlik duvarı ilişkilendirmesine sahip bir ilke ücretsizdir. Birden çok güvenlik duvarı ilişkilendirmesi olan bir ilke sabit bir oranda faturalandırılır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi Fiyatlandırması.

Sonraki adımlar