Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Firewall-Richtlinie ist die empfohlene Methode zum Konfigurieren Ihrer Azure Firewall. Sie ist eine globale Ressource, die über mehrere Azure Firewall-Instanzen hinweg in geschützten virtuellen Hubs sowie in virtuellen Hubnetzwerken verwendet werden kann. Richtlinien können regions- und abonnementübergreifend verwendet werden.
Richtlinienerstellung und -zuordnung
Eine Richtlinie kann auf verschiedene Arten erstellt und verwaltet werden, z. B. über das Azure-Portal, die REST-API, mit Vorlagen, Azure PowerShell, die CLI und Terraform.
Darüber hinaus können bereits vorhandene klassische Regeln über das Portal oder per Azure PowerShell aus Azure Firewall migriert werden, um Richtlinien zu erstellen. Weitere Informationen finden Sie unter Migrieren von Azure Firewall-Konfigurationen zu einer Azure Firewall-Richtlinie.
Richtlinien können einer oder mehreren Firewalls zugeordnet werden, die entweder in einem virtuellen WAN (erstellen eines gesicherten virtuellen Hubs) oder einem virtuellen Netzwerk (erstellen eines virtuellen Hubs) bereitgestellt werden. Firewalls können sich in einer beliebigen Region oder einem Abonnement befinden, die mit Ihrem Konto verknüpft sind.
Klassische Regeln und Richtlinien
Azure Firewall unterstützt sowohl klassische Regeln als auch Richtlinien, aber Richtlinien sind die empfohlene Konfiguration. Die folgende Tabelle enthält eine Gegenüberstellung von Richtlinien und klassische Regeln:
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | NAT, Netzwerk, Anwendungsregeln, benutzerdefinierte DNS- und DNS-Proxyeinstellungen, IP-Gruppen und Threat Intelligence-Einstellungen (einschließlich Zulassungsliste), IDPS, TLS-Überprüfung, Webkategorien, URL-Filterung | NAT, Netzwerk, Anwendungsregeln, benutzerdefinierte DNS- und DNS-Proxy-Einstellungen, IP-Gruppen und Threat Intelligence-Einstellungen (einschließlich Zulassungsliste) |
| Protects | Virtual Hubs (VWAN) und virtuelle Netzwerke | Nur virtuelle Netzwerke |
| Portal experience | Zentrale Verwaltung mithilfe von Firewall Manager | Eigenständige Firewallumgebung |
| Unterstützung mehrerer Firewalls | Die Firewallrichtlinie ist eine separate Ressource und kann firewallübergreifend verwendet werden. | Sie können Regeln manuell exportieren und importieren oder Verwaltungslösungen von Drittanbietern verwenden. |
| Pricing | Abrechnung auf der Grundlage der Firewallzuordnung. See Pricing. | Free |
| Unterstützte Bereitstellungsmechanismen | Portal, REST-API, Vorlagen, Azure PowerShell und Befehlszeilenschnittstelle | Portal, REST-API, Vorlagen, PowerShell und Befehlszeilenschnittstelle |
Basic-, Standard- und Premium-Richtlinien
Azure Firewall unterstützt Basic-, Standard- und Premium-Richtlinien. In der folgenden Tabelle werden die Unterschiede zwischen diesen Richtlinien zusammengefasst:
| Policy type | Feature support | Firewall-SKU-Unterstützung |
|---|---|---|
| Basic policy | NAT-Regeln, Netzwerkregeln, Anwendungsregeln IP Groups Threat Intelligence (Warnungen) |
Basic |
| Standard policy | NAT-Regeln, Netzwerkregeln, Anwendungsregeln Benutzerdefiniertes DNS, DNS-Proxy IP Groups Web Categories Threat Intelligence |
Standard oder Premium |
| Premium policy | Unterstützung für alle Standardfeatures sowie: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
Neue Firewallrichtlinien können entweder von Grund auf neu erstellt oder von vorhandenen Richtlinien geerbt werden. Die Vererbung ermöglicht es DevOps, lokale Firewallrichtlinien auf Basis der von der Organisation festgelegten Basisrichtlinien zu definieren.
Wenn eine neue Richtlinie mit einer nicht leeren übergeordneten Richtlinie erstellt wird, erbt sie alle Regelsammlungen von der übergeordneten Richtlinie. Sowohl die übergeordneten als auch die untergeordneten Richtlinien müssen sich in derselben Region befinden. Eine Firewallrichtlinie kann jedoch unabhängig davon, wo sie gespeichert ist, mit Firewalls in einer beliebigen Region verknüpft werden.
Rule inheritance
Netzwerkregelsammlungen, die von der übergeordneten Richtlinie geerbt werden, werden immer gegenüber Netzwerkregelsammlungen priorisiert, die als Teil einer neuen Richtlinie definiert sind. Gleiches gilt auch für Anwendungsregelsammlungen. Unabhängig von der Vererbung werden Netzwerkregelsammlungen vor Anwendungsregelsammlungen verarbeitet.
NAT-Regelsammlungen werden nicht geerbt, da sie für einzelne Firewalls spezifisch sind. Wenn Sie NAT-Regeln verwenden möchten, müssen Sie sie in der untergeordneten Richtlinie definieren.
Threat Intelligence-Modus und Vererbung von Positivlisten
Der Threat Intelligence-Modus wird ebenfalls von der übergeordneten Richtlinie geerbt. Sie können diese Einstellung zwar in der untergeordneten Richtlinie außer Kraft setzen, der Modus muss jedoch strenger sein. Sie können sie nicht deaktivieren. Wenn Ihre übergeordnete Richtlinie beispielsweise auf Nur Warnung festgelegt ist, kann die untergeordnete Richtlinie auf Warnen und verweigern festgelegt werden, jedoch nicht auf einen weniger strengen Modus.
Ebenso wird die Positivliste für die Bedrohungserkennung von der übergeordneten Richtlinie geerbt, und die untergeordnete Richtlinie kann zusätzliche IP-Adressen an diese Liste anfügen.
Bei der Vererbung werden alle Änderungen an der übergeordneten Richtlinie automatisch auf die zugehörigen untergeordneten Firewallrichtlinien angewendet.
Integrierte Hochverfügbarkeit
Hochverfügbarkeit ist integriert, sodass Sie nichts konfigurieren müssen. Sie können ein Azure Firewall Policy-Objekt in einer beliebigen Region erstellen und global mit mehreren Azure Firewall-Instanzen unter demselben Entra ID-Mandanten verknüpfen. Wenn die Region, in der Sie die Richtlinie erstellen, ausfällt und über eine gepaarte Region verfügt, werden die Objekt-Metadaten des ARM (Azure Resource Manager) automatisch auf die sekundäre Region übertragen. Während des Failovers oder wenn die Einzelregion ohne Paar in einem fehlerhaften Zustand verbleibt, können Sie das Azure Firewall-Richtlinienobjekt nicht ändern. Die Azure Firewall-Instanzen, die mit der Firewallrichtlinie verknüpft sind, funktionieren jedoch weiterhin. Weitere Informationen finden Sie unter Regionsübergreifende Replikation in Azure: Business Continuity & Disaster Recovery.
Pricing
Richtlinien werden basierend auf der Firewallzuordnung abgerechnet. Richtlinien mit bis zu einer Firewallzuordnung sind kostenlos. Richtlinien mit mehreren Firewallzuordnungen werden zu festen Preisen abgerechnet. Weitere Informationen finden Sie unter Preise für Azure Firewall Manager.
Next steps
- Weitere Informationen zum Bereitstellen einer Azure Firewall-Instanz – Tutorial: Schützen Ihres Cloudnetzwerks mithilfe von Azure Firewall Manager unter Verwendung des Azure-Portals
- Weitere Informationen zur Azure-Netzwerksicherheit