funkce Azure Firewall Standard

  • Článek
  • 8 min ke čtení

Azure Firewall Standard je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky Azure Virtual Network.

funkce Azure Firewall Standard

Azure Firewall zahrnuje následující funkce:

  • Integrovaná vysoká dostupnost
  • Zóny dostupnosti
  • Neomezená cloudová škálovatelnost
  • Pravidla filtrování plně kvalifikovaných názvů domén aplikací
  • Pravidla filtrování síťového provozu
  • Značky plně kvalifikovaných názvů domén
  • Značky služeb
  • Analýza hrozeb
  • Proxy server DNS
  • Vlastní DNS
  • FQDN v pravidlech sítě
  • Nasazení bez veřejné IP adresy v režimu vynucených tunelů
  • Podpora pro odchozí SNAT
  • Podpora DNAT u příchozích přenosů
  • Více veřejných IP adres
  • Protokolování Azure Monitor
  • Vynucené tunelování
  • Kategorie webu
  • Certifikace

Integrovaná vysoká dostupnost

Vysoká dostupnost je integrovaná, takže se nevyžadují žádné další nástroje pro vyrovnávání zatížení a nemusíte nic konfigurovat.

Zóny dostupnosti

Azure Firewall je možné během nasazení nakonfigurovat tak, aby za účelem zvýšení dostupnosti překládaly více Zóny dostupnosti. S Zóny dostupnosti se vaše dostupnost zvýší na 99,99 % provozuschopnosti. Další informace najdete ve smlouvě o úrovni služeb (SLA) Azure Firewall. Smlouva SLA s 99,99% dostupností je nabízena při výběru dvou nebo více Zóny dostupnosti.

Můžete také přidružit Azure Firewall ke konkrétní zóně jen z důvodu blízkosti, a to pomocí standardní 99,95% smlouvy SLA služby.

Za bránu firewall nasazenou ve více než jedné zóně dostupnosti nejsou žádné další náklady. S Zóny dostupnosti jsou ale spojené další náklady na příchozí a odchozí přenosy dat. Další informace najdete v podrobnostech o cenách šířky pásma.

Jak se brána firewall škáluje, vytváří instance v zónách, ve které je. Pokud je tedy brána firewall pouze v zóně 1, vytvoří se nové instance v zóně 1. Pokud je brána firewall ve všech třech zónách, vytvoří během škálování instance napříč třemi zónami.

Azure Firewall Zóny dostupnosti jsou k dispozici v oblastech, které podporují Zóny dostupnosti. Další informace najdete v tématu Oblasti, které podporují Zóny dostupnosti v Azure.

Poznámka

Zóny dostupnosti je možné nakonfigurovat pouze během nasazování. Existující bránu firewall nemůžete nakonfigurovat tak, aby zahrnovala Zóny dostupnosti.

Další informace o Zóny dostupnosti najdete v tématu Oblasti a Zóny dostupnosti v Azure.

Neomezená cloudová škálovatelnost

Azure Firewall můžete škálovat tak, jak potřebujete, abyste přizpůsobili měnícím se tokům síťového provozu, takže nemusíte vytvářet rozpočet na provoz ve špičce.

Pravidla filtrování plně kvalifikovaných názvů domén aplikací

Odchozí provoz HTTP/S můžete omezit nebo Azure SQL provoz na zadaný seznam plně kvalifikovaných názvů domén (FQDN), včetně zástupných znaků. Tato funkce nevyžaduje ukončení protokolu TLS.

Pravidla filtrování síťového provozu

Pravidla filtrování sítě můžete centrálně povolit nebo odepřít podle zdrojové a cílové IP adresy, portu a protokolu. Brána Azure Firewall je plně stavová, takže dokáže odlišit legitimní pakety pro různé typy spojení. Pravidla jsou vynucována a protokolována napříč různými předplatnými a virtuálními sítěmi.

Azure Firewall podporuje stavové filtrování síťových protokolů vrstvy 3 a vrstvy 4. Protokoly IP vrstvy 3 je možné filtrovat tak, že v pravidle sítě vyberete Libovolný protokol a jako port vyberete zástupný * znak.

Značky plně kvalifikovaných názvů domén

Značky plně kvalifikovaného názvu domény usnadňují povolení dobře známého síťového provozu služby Azure přes bránu firewall. Řekněme například, že chcete povolit síťové přenosy z webu Windows Update přes bránu firewall. Můžete vytvořit pravidlo aplikace a zahrnout značku webu Windows Update. Teď je možný síťový přenos z webu Windows Update přes vaši bránu firewall.

Značky služeb

Značka služby představuje skupinu předpon IP adres, které pomáhají minimalizovat složitost vytváření pravidel zabezpečení. Nemůžete vytvořit vlastní značku služby ani určit, které IP adresy budou součástí značky. Předpony adres zahrnuté ve značce služby spravuje Microsoft, a pokud se adresy změní, automaticky značku služby aktualizuje.

Analýza hrozeb

Filtrování na základě analýzy hrozeb je možné povolit, aby brána firewall upozorňovala a odepírá provoz ze známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.

DNS proxy

S povoleným proxy serverem DNS můžou Azure Firewall zpracovávat a předávat dotazy DNS z Virtual Network na požadovaný server DNS. Tato funkce je zásadní a vyžaduje spolehlivé filtrování plně kvalifikovaných názvů domén v pravidlech sítě. Proxy server DNS můžete povolit v nastavení Azure Firewall a zásad brány firewall. Další informace o proxy serveru DNS najdete v tématu Azure Firewall nastavení DNS.

Vlastní DNS

Vlastní DNS umožňuje nakonfigurovat Azure Firewall tak, aby používaly vlastní server DNS, a zároveň zajistit, aby se odchozí závislosti brány firewall stále přeložily pomocí Azure DNS. V nastavení DNS Azure Firewall a zásady brány firewall můžete nakonfigurovat jeden server DNS nebo více serverů. Další informace o vlastním DNS najdete v tématu Azure Firewall nastavení DNS.

Azure Firewall může také překládat názvy pomocí Azure Privátní DNS. Virtuální síť, ve které se nachází Azure Firewall, musí být propojená s privátní zónou Azure. Další informace najdete v tématu Použití Azure Firewall jako služby pro předávání DNS s Private Link.

FQDN v pravidlech sítě

Plně kvalifikované názvy domén (FQDN) můžete použít v pravidlech sítě na základě překladu DNS v Azure Firewall a zásadách brány firewall.

Zadané plně kvalifikované názvy domén v kolekcích pravidel se přeloží na IP adresy na základě nastavení DNS brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí plně kvalifikovaných názvů domén s libovolným protokolem TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Vzhledem k tomu, že je tato funkce založená na překladu DNS, důrazně doporučujeme povolit proxy server DNS, aby byl překlad IP adres konzistentní s chráněnými virtuálními počítači a bránou firewall.

Nasazení Azure Firewall bez veřejné IP adresy v režimu vynuceného tunelu

Služba Azure Firewall vyžaduje veřejnou IP adresu pro provozní účely. I když jsou zabezpečená, některá nasazení raději nezpřístupňují veřejnou IP adresu přímo na internetu.

V takových případech můžete Azure Firewall nasadit v režimu vynuceného tunelového propojení. Tato konfigurace vytvoří síťovou kartu pro správu, kterou Azure Firewall používá pro své operace. Síť Tenant Datapath je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokovat.

Režim vynuceného tunelování nejde za běhu nakonfigurovat. Bránu firewall můžete buď znovu nasadit, nebo pomocí zařízení Stop and Start překonfigurovat existující Azure Firewall v režimu vynuceného tunelu. Brány firewall nasazené ve službě Secure Hubs se vždy nasazují v režimu vynucené tunelové propojení.

Podpora pro odchozí SNAT

Veškeré IP adresy pro odchozí provoz z virtuálních sítí se překládají na veřejnou IP adresu brány Azure Firewall na základě zdroje (SNAT). Můžete identifikovat a povolit provoz pocházející z vaší virtuální sítě do vzdálených internetových cílů. Azure Firewall nepodporuje SNAT, pokud je cílovou IP adresou rozsah privátních IP adres podle dokumentu IANA RFC 1918.

Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnet. Můžete nakonfigurovat Azure Firewall tak, aby rozsah veřejných IP adres nebyl SNAT. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Využití portů SNAT můžete monitorovat v metrikách Azure Firewall. Další informace a naše doporučení k využití portů SNAT najdete v dokumentaci k protokolům a metrikám brány firewall.

Podpora DNAT u příchozích přenosů

Příchozí internetový síťový provoz na veřejnou IP adresu brány firewall se přeloží (překlad cílových síťových adres) a vyfiltruje se na privátní IP adresy ve vašich virtuálních sítích.

Více veřejných IP adres

K bráně firewall můžete přidružit několik veřejných IP adres (až 250).

To umožňuje následující scénáře:

  • DNAT – na back-endové servery můžete přeložit několik instancí standardních portů. Například pokud máte dvě veřejné IP adresy, můžete pro obě IP adresy překládat port TCP 3389 (RDP).
  • SNAT – pro odchozí připojení SNAT jsou k dispozici další porty, což snižuje riziko vyčerpání portů SNAT. V tuto chvíli Azure Firewall náhodně vybere zdrojovou veřejnou IP adresu, kterou chcete použít pro připojení. Pokud ve své síti využíváte následné filtrování, musíte povolit všechny veřejné IP adresy přidružené k vaší bráně firewall. Pokud chcete tuto konfiguraci zjednodušit, zvažte použití předpony veřejné IP adresy .

Protokolování Azure Monitor

Všechny události jsou integrované se službou Azure Monitor a umožňují archivovat protokoly do účtu úložiště, streamovat události do centra událostí nebo je odesílat do protokolů služby Azure Monitor. Ukázky protokolů služby Azure Monitor najdete v tématu Protokoly služby Azure Monitor pro Azure Firewall.

Další informace najdete v tématu Kurz: Monitorování protokolů a metrik Azure Firewall.

Azure Firewall Workbook poskytuje flexibilní plátno pro analýzu dat Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav v rámci Azure Portal. Další informace najdete v tématu Monitorování protokolů pomocí Azure Firewall sešitu.

Vynucené tunelování

Můžete nakonfigurovat Azure Firewall tak, aby směrovali veškerý provoz směřující na internet do určeného dalšího segmentu směrování místo přímého přechodu na internet. Můžete mít například místní hraniční bránu firewall nebo jiné síťové virtuální zařízení pro zpracování síťového provozu před jeho předáním do internetu. Další informace najdete v tématu Azure Firewall vynucené tunelování.

Kategorie webu

Webové kategorie umožňují správcům povolit nebo odepřít přístup uživatelů ke kategoriím webů, jako jsou weby s hazardními hrami, weby sociálních médií a další. Webové kategorie jsou součástí Azure Firewall Standard, ale v Azure Firewall Premium jsou vyladěnější. Na rozdíl od funkce webových kategorií v skladové pouce Standard, která odpovídá kategorii na základě plně kvalifikovaného názvu domény, SKU Premium odpovídá kategorii podle celé adresy URL pro provoz HTTP i HTTPS. Další informace o Azure Firewall Premium najdete v tématu funkce Azure Firewall Premium.

Pokud například Azure Firewall zachytí požadavek HTTPS pro www.google.com/news, očekává se následující kategorizace:

  • Firewall Standard – prozkoumá se pouze část plně kvalifikovaného názvu domény, takže www.google.com se bude kategorizovat jako vyhledávací web.

  • Firewall Premium – prověří se úplná adresa URL, takže www.google.com/news se bude kategorizovat jako Zprávy.

Kategorie jsou uspořádané podle závažnosti v kategoriích Odpovědnost, Vysoká šířka pásma, Obchodní využití, Ztráta produktivity, Obecné surfování a Nezařazeno do kategorie.

Výjimky kategorií

Můžete vytvářet výjimky z pravidel webových kategorií. Vytvořte samostatnou kolekci pravidel povolení nebo zamítnutí s vyšší prioritou v rámci skupiny kolekcí pravidel. Můžete například nakonfigurovat kolekci pravidel, která umožňuje www.linkedin.com s prioritou 100, s kolekcí pravidel, která zakazuje sociální sítě s prioritou 200. Tím se vytvoří výjimka pro předem definovanou kategorii webu sociální sítě .

Certifikace

Azure Firewall jsou kompatibilní se standardem PCI (Payment Card Industry), Service Organization Controls (SOC) a ISO (International Organization for Standardization). Další informace najdete v tématu Azure Firewall certifikace dodržování předpisů.

Další kroky