Tag del servizio Firewall di Azure
Un tag di servizio rappresenta un gruppo di prefissi di indirizzo IP che consente di ridurre al minimo la complessità nella creazione di regole di sicurezza. Non è possibile creare un tag di servizio personalizzato, né specificare quali indirizzi IP sono inclusi all'interno di un tag. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi.
I tag del servizio Firewall di Azure possono essere usati nel campo di destinazione delle regole di rete. È possibile usarli al posto di indirizzi IP specifici.
Tag di servizio supportati
Firewall di Azure supporta i tag di servizio seguenti da usare nelle regole di rete Firewall di Azure:
- Tag per vari servizi Microsoft e Azure elencati nei tag del servizio di rete virtuale.
- Tag per gli indirizzi IP necessari dei servizi di Office365, suddivisi in base al prodotto e alla categoria di Office365. È necessario definire le porte TCP/UDP nelle regole. Per altre informazioni, vedere Usare Firewall di Azure per proteggere Office 365.
Configurazione
Firewall di Azure supporta la configurazione dei tag di servizio tramite PowerShell, l'interfaccia della riga di comando di Azure o l'portale di Azure.
Configurare tramite Azure PowerShell
In questo esempio è prima necessario ottenere il contesto nell'istanza di Firewall di Azure creata in precedenza.
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
Successivamente, è necessario creare una nuova regola. Per Destinazione è possibile specificare il valore di testo del tag di servizio che si desidera sfruttare, come indicato in precedenza.
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
È quindi necessario aggiornare la variabile contenente la definizione di Firewall di Azure con le nuove regole di rete create.
$azFirewall.NetworkRuleCollections.add($ruleCollection)
Infine, è necessario eseguire il commit delle modifiche della regola di rete all'istanza di Firewall di Azure in esecuzione.
Set-AzFirewall -AzureFirewall $azfirewall
Passaggi successivi
Per altre informazioni sulle regole di Firewall di Azure, vedere Logica di elaborazione delle regole del Firewall di Azure.