Partilhar via


Visão geral da política do Azure Firewall Manager

A Política de Firewall é o método recomendado para configurar o Firewall do Azure. É um recurso global que pode ser usado em várias instâncias do Firewall do Azure em Hubs Virtuais Seguros e Redes Virtuais de Hub. As políticas funcionam em todas as regiões e assinaturas.

Política do Azure Firewall Manager

Criação de políticas e associação

Uma política pode ser criada e gerenciada de várias maneiras, incluindo o portal do Azure, API REST, modelos, Azure PowerShell, CLI e Terraform.

Você também pode migrar regras Clássicas existentes do Firewall do Azure usando o portal ou o Azure PowerShell para criar políticas. Para obter mais informações, consulte Como migrar configurações do Firewall do Azure para a política do Firewall do Azure.

As políticas podem ser associadas a um ou mais hubs virtuais ou VNets. O firewall pode estar em qualquer assinatura associada à sua conta e em qualquer região.

Regras e políticas clássicas

O Firewall do Azure dá suporte a regras e políticas clássicas, mas as políticas são a configuração recomendada. A tabela a seguir compara políticas e regras clássicas:

Assunto Política Regras clássicas
Contains NAT, Rede, Regras de aplicação, definições personalizadas de DNS e proxy DNS, Grupos IP e definições de Inteligência de Ameaças (incluindo lista de permissões), IDPS, Inspeção TLS, Categorias Web, Filtragem de URL Regras de NAT, Rede e Aplicação, definições personalizadas de DNS e proxy DNS, Grupos IP e definições de Inteligência de Ameaças (incluindo lista de permissões)
Protege Hubs virtuais e redes virtuais Apenas Redes Virtuais
Experiência do portal Gerenciamento central usando o Firewall Manager Experiência de firewall independente
Suporte a vários firewalls A Política de Firewall é um recurso separado que pode ser usado em firewalls Exporte e importe regras manualmente ou use soluções de gerenciamento de terceiros
Preços Cobrado com base na associação de firewall. Consulte Preços. Gratuito
Mecanismos de implantação suportados Portal, API REST, modelos, Azure PowerShell e CLI Portal, API REST, modelos, PowerShell e CLI.

Políticas Basic, Standard e Premium

O Firewall do Azure dá suporte às políticas Básica, Standard e Premium. A tabela a seguir resume a diferença entre essas políticas:

Tipo de política Suporte de funcionalidades Suporte a SKU de firewall
Política de base Regras de NAT, Regras de rede, Regras de aplicação
Grupos IP
Threat Intelligence (alertas)
Básica
Política padrão Regras de NAT, Regras de rede, Regras de aplicação
DNS personalizado, proxy DNS
Grupos IP
Categorias Web
Informações sobre Ameaças
Standard ou Premium
Política Premium Todo o suporte a recursos padrão, além de:

Inspeção TLS
Categorias Web
Filtragem de URL
IDPS
Premium

Políticas hierárquicas

Novas políticas podem ser criadas do zero ou herdadas de políticas existentes. A herança permite que o DevOps crie políticas de firewall locais sobre a política base obrigatória da organização.

As políticas criadas com políticas pai não vazias herdam todas as coleções de regras da política pai. A política pai e a política filho devem estar na mesma região. Uma política de firewall pode ser associada a firewalls em todas as regiões, independentemente de onde estão armazenados.

As coleções de regras de rede herdadas de uma política pai são sempre priorizadas em relação às coleções de regras de rede definidas como parte de uma nova política. A mesma lógica também se aplica às coleções de regras de aplicativo. No entanto, as coleções de regras de rede são sempre processadas antes das coleções de regras de aplicativo, independentemente da herança.

O modo de Inteligência de Ameaças também é herdado da política pai. Você pode definir o modo de inteligência de ameaças para um valor diferente para substituir esse comportamento, mas não pode desativá-lo. Só é possível substituir com um valor mais estrito. Por exemplo, se sua política pai estiver definida como Somente alerta, você poderá configurar essa política local como Alertar e negar.

Como o modo de Inteligência de Ameaças, a lista de permissões do Threat Intelligence é herdada da política pai. A política filho pode adicionar mais endereços IP à lista de permissões.

As coleções de regras NAT não são herdadas porque são específicas de um determinado firewall.

Com a herança, todas as alterações na política pai são aplicadas automaticamente às políticas filhas de firewall associadas.

Elevada disponibilidade incorporada

A alta disponibilidade está integrada, portanto, não há nada que você precise configurar. Você pode criar um objeto de Política de Firewall do Azure em qualquer região e vinculá-lo globalmente a várias instâncias do Firewall do Azure sob o mesmo locatário do Azure AD. Se a região onde você cria a Política ficar inativa e tiver uma região emparelhada, os metadados do objeto ARM (Azure Resource Manager) farão failover automaticamente para a região secundária. Durante o failover, ou se a região única sem par permanecer em um estado de falha, você não poderá modificar o objeto de Política de Firewall do Azure. No entanto, as instâncias do Firewall do Azure vinculadas à Política de Firewall continuam a operar. Para obter mais informações, consulte Replicação entre regiões no Azure: continuidade de negócios e recuperação de desastres.

Preços

As políticas são cobradas com base em associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada a uma taxa fixa. Para obter mais informações, consulte Preços do Azure Firewall Manager.

Próximos passos