Sdílet prostřednictvím


Standardní funkce služby Azure Firewall

Azure Firewall Standard je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network.

Standardní funkce služby Azure Firewall

Azure Firewall zahrnuje následující funkce:

  • Integrovaná vysoká dostupnost
  • Zóny dostupnosti
  • Neomezená cloudová škálovatelnost
  • Pravidla filtrování plně kvalifikovaných názvů domén aplikací
  • Pravidla filtrování síťového provozu
  • Značky plně kvalifikovaných názvů domén
  • Značky služeb
  • Analýza hrozeb
  • Proxy server DNS
  • Vlastní DNS
  • FQDN v pravidlech sítě
  • Nasazení bez veřejné IP adresy v režimu vynucených tunelů
  • Podpora pro odchozí SNAT
  • Podpora DNAT u příchozích přenosů
  • Více veřejných IP adres
  • Protokolování Azure Monitor
  • Vynucené tunelování
  • Kategorie webů
  • Certifikace

Porovnání funkcí služby Azure Firewall pro všechny skladové položky brány firewall najdete v tématu Volba správné skladové položky služby Azure Firewall podle vašich potřeb.

Integrovaná vysoká dostupnost

Vysoká dostupnost je integrovaná, takže nejsou potřeba žádné další nástroje pro vyrovnávání zatížení a není potřeba nic konfigurovat.

Zóny dostupnosti

Azure Firewall je možné nakonfigurovat během nasazování tak, aby se více Zóny dostupnosti pro zajištění vyšší dostupnosti. S Zóny dostupnosti se vaše dostupnost zvyšuje na 99,99 % doby provozu. Další informace najdete v smlouvě o úrovni služeb (SLA) služby Azure Firewall. Smlouva SLA s 99,99% dostupností se nabízí, když jsou vybrány dva nebo více Zóny dostupnosti.

Službu Azure Firewall můžete také přidružit ke konkrétní zóně z důvodů blízkosti pomocí smlouvy SLA standardu služby 99,95 %.

Za bránu firewall nasazenou ve více než jedné zóně dostupnosti nejsou žádné další poplatky. Microsoft také oznámil, že Azure nebude účtovat poplatky za přenos dat mezi zónami dostupnosti bez ohledu na to, jestli ve svých prostředcích Azure používáte privátní nebo veřejné IP adresy.

Jak se brána firewall škáluje, vytváří instance v zónách, ve které je. Takže pokud je brána firewall pouze v zóně 1, vytvoří se nové instance v zóně 1. Pokud je brána firewall ve všech třech zónách, vytvoří instance napříč třemi zónami při škálování.

Azure Firewall Zóny dostupnosti jsou dostupné v oblastech, které podporují Zóny dostupnosti. Další informace najdete v tématu Oblasti, které podporují Zóny dostupnosti v Azure.

Poznámka:

Zóny dostupnosti je možné nakonfigurovat pouze během nasazení. Existující bránu firewall nemůžete nakonfigurovat tak, aby zahrnovala Zóny dostupnosti.

Další informace o Zóny dostupnosti najdete v tématu Oblasti a Zóny dostupnosti v Azure.

Neomezená cloudová škálovatelnost

Azure Firewall může vertikálně navýšovat kapacitu tak, jak potřebujete, aby vyhovoval měnícím se tokům síťového provozu, takže pro špičku provozu nemusíte rozpočetovat.

Pravidla filtrování plně kvalifikovaných názvů domén aplikací

Odchozí provoz HTTP/S nebo provoz Azure SQL můžete omezit na zadaný seznam plně kvalifikovaných názvů domén (FQDN), včetně zástupných znaků. Tato funkce nevyžaduje ukončení protokolu TLS.

Následující video ukazuje, jak vytvořit pravidlo aplikace:

Pravidla filtrování síťového provozu

Můžete centrálně vytvořit pravidla pro povolení nebo blokování podle zdrojové a cílové IP adresy, portu a protokolu. Brána Azure Firewall je plně stavová, takže dokáže odlišit legitimní pakety pro různé typy spojení. Pravidla jsou vynucována a protokolována napříč různými předplatnými a virtuálními sítěmi.

Azure Firewall podporuje stavové filtrování síťových protokolů vrstvy 3 a vrstvy 4. Protokoly IP vrstvy 3 je možné filtrovat tak , že v pravidle sítě vyberete libovolný protokol a vyberete zástupný znak * portu.

Značky plně kvalifikovaných názvů domén

Značky plně kvalifikovaného názvu domény usnadňují povolení dobře známého síťového provozu služby Azure přes vaši bránu firewall. Řekněme například, že chcete povolit síťové přenosy z webu Windows Update přes bránu firewall. Můžete vytvořit pravidlo aplikace a zahrnout značku webu Windows Update. Teď je možný síťový přenos z webu Windows Update přes vaši bránu firewall.

Značky služeb

Značka služby představuje skupinu předpon IP adres, které pomáhají minimalizovat složitost vytváření pravidel zabezpečení. Nemůžete vytvořit vlastní značku služby ani určit, které IP adresy jsou součástí značky. Společnost Microsoft spravuje předpony adres obsažené ve značce služby a automaticky aktualizuje značku služby při změně adresy.

Analýza hrozeb

Filtrování na základě analýzy hrozeb je možné povolit pro bránu firewall, aby upozorňovala a odepíral provoz ze známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.

Proxy server DNS

S povoleným proxy serverem DNS může Azure Firewall zpracovávat a předávat dotazy DNS z virtuálních sítí na požadovaný server DNS. Tato funkce je zásadní a vyžaduje spolehlivé filtrování plně kvalifikovaného názvu domény v pravidlech sítě. Proxy server DNS můžete povolit v nastavení služby Azure Firewall a zásad brány firewall. Další informace o proxy serveru DNS najdete v tématu Nastavení DNS služby Azure Firewall.

Vlastní DNS

Vlastní DNS umožňuje nakonfigurovat službu Azure Firewall tak, aby používala vlastní server DNS, a zároveň zajistit, aby se odchozí závislosti brány firewall stále přeložily s Azure DNS. V nastavení DNS služby Azure Firewall a zásad brány firewall můžete nakonfigurovat jeden server DNS nebo více serverů. Další informace o vlastním DNS najdete v tématu Nastavení DNS služby Azure Firewall.

Azure Firewall může také překládat názvy pomocí Azure Privátní DNS. Virtuální síť, ve které se nachází brána Azure Firewall, musí být propojená s privátní zónou Azure. Další informace najdete v tématu Použití služby Azure Firewall jako služby předávání DNS se službou Private Link.

FQDN v pravidlech sítě

Plně kvalifikované názvy domén (FQDN) můžete použít v pravidlech sítě na základě překladu DNS ve službě Azure Firewall a zásadách brány firewall.

Zadané plně kvalifikované názvy domén v kolekcích pravidel se přeloží na IP adresy na základě nastavení DNS brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí plně kvalifikovaných názvů domén s libovolným protokolem TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Vzhledem k tomu, že tato funkce je založená na překladu DNS, důrazně doporučujeme povolit proxy serveru DNS, abyste zajistili, že překlad ip adres je konzistentní s vašimi chráněnými virtuálními počítači a bránou firewall.

Nasazení služby Azure Firewall bez veřejné IP adresy v režimu vynuceného tunelu

Služba Azure Firewall vyžaduje veřejnou IP adresu pro provozní účely. I když jsou nasazení zabezpečená, některá nasazení raději nezpřístupňují veřejnou IP adresu přímo na internetu.

V takových případech můžete službu Azure Firewall nasadit v režimu vynuceného tunelu. Tato konfigurace vytvoří síťovou kartu pro správu, kterou azure firewall používá pro své operace. Síť Cesta k datům tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování na jinou bránu firewall nebo blokovat.

Režim vynuceného tunelu nejde nakonfigurovat za běhu. Bránu firewall můžete znovu nasadit, nebo můžete pomocí zařízení zastavení a spuštění znovu nakonfigurovat existující bránu Azure Firewall v režimu vynuceného tunelu. Brány firewall nasazené v zabezpečených centrech se vždy nasazují v režimu vynucených tunelů.

Podpora pro odchozí SNAT

Veškeré IP adresy pro odchozí provoz z virtuálních sítí se překládají na veřejnou IP adresu brány Azure Firewall na základě zdroje (SNAT). Můžete identifikovat a povolit provoz pocházející z vaší virtuální sítě do vzdálených internetových cílů. Pokud má Azure Firewall nakonfigurovaných několik veřejných IP adres pro poskytování odchozího připojení, použije podle potřeby veřejné IP adresy na základě dostupných portů. Náhodně vybere první veřejnou IP adresu a použije pouze další dostupnou veřejnou IP adresu, jakmile nebude možné provést žádná další připojení z aktuální veřejné IP adresy kvůli vyčerpání portů SNAT.

Ve scénářích, ve kterých máte vysokou propustnost nebo vzory dynamického provozu, doporučujeme použít Azure NAT Gateway. Azure NAT Gateway dynamicky vybírá veřejné IP adresy pro poskytování odchozího připojení. Další informace o integraci služby NAT Gateway se službou Azure Firewall najdete v tématu Škálování portů SNAT pomocí služby Azure NAT Gateway.

Azure NAT Gateway je možné použít se službou Azure Firewall přidružením služby NAT Gateway k podsíti služby Azure Firewall. Pokyny k této konfiguraci najdete v kurzu Integrace služby NAT Gateway se službou Azure Firewall.

Azure Firewall se neschová, pokud je cílová IP adresa privátním rozsahem IP adres na IANA RFC 1918.

Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall bude směrovat provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Využití portů SNAT můžete monitorovat v metrikách služby Azure Firewall. Další informace a naše doporučení týkající se využití portů SNAT najdete v dokumentaci k protokolům brány firewall a metrikám.

Podrobnější informace o chování překladu adres (NAT) služby Azure Firewall najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.

Podpora DNAT u příchozích přenosů

Příchozí internetový síťový provoz do veřejné IP adresy brány firewall se přeloží (překlad cílových síťových adres) a vyfiltruje se na privátní IP adresy ve vašich virtuálních sítích.

Více veřejných IP adres

K bráně firewall můžete přidružit několik veřejných IP adres (až 250).

To umožňuje následující scénáře:

  • DNAT – Na back-endové servery můžete přeložit několik standardních instancí portů. Například pokud máte dvě veřejné IP adresy, můžete pro obě IP adresy překládat port TCP 3389 (RDP).
  • SNAT – Pro odchozí připojení SNAT je k dispozici více portů, což snižuje potenciál vyčerpání portů SNAT. V tuto chvíli Azure Firewall náhodně vybere zdrojovou veřejnou IP adresu, kterou se má použít pro připojení. Pokud ve své síti využíváte následné filtrování, musíte povolit všechny veřejné IP adresy přidružené k vaší bráně firewall. Pokud chcete tuto konfiguraci zjednodušit, zvažte použití předpony veřejné IP adresy.

Další informace o chování překladu adres (NAT) najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.

Protokolování Azure Monitor

Všechny události jsou integrované se službou Azure Monitor a umožňují archivovat protokoly do účtu úložiště, streamovat události do centra událostí nebo je odesílat do protokolů služby Azure Monitor. Ukázky protokolů služby Azure Monitor najdete v protokolech služby Azure Monitor pro službu Azure Firewall.

Další informace najdete v tématu Kurz: Monitorování protokolů a metrik brány Azure Firewall.

Sešit služby Azure Firewall poskytuje flexibilní plátno pro analýzu dat služby Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav na webu Azure Portal. Další informace najdete v tématu Monitorování protokolů pomocí sešitu služby Azure Firewall.

Vynucené tunelování

Službu Azure Firewall můžete nakonfigurovat tak, aby směrovat veškerý internetový provoz do určeného dalšího segmentu směrování místo přímého přechodu na internet. Můžete mít například místní hraniční bránu firewall nebo jiné síťové virtuální zařízení pro zpracování síťového provozu před předáním do internetu. Další informace najdete v tématu Vynucené tunelování ve službě Azure Firewall.

Kategorie webů

Webové kategorie umožňují správcům povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou weby s hazardem, weby sociálních médií a další. Webové kategorie jsou zahrnuté ve službě Azure Firewall Standard, ale v Azure Firewall Premium je to jemněji vyladěné. Na rozdíl od funkce webových kategorií ve skladové posílané jednotce Standard, která odpovídá kategorii založené na plně kvalifikovaném názvu domény, odpovídá skladová položka Premium kategorii podle celé adresy URL provozu HTTP i HTTPS. Další informace o službě Azure Firewall Premium najdete v tématu Funkce služby Azure Firewall Premium.

Pokud například Azure Firewall zachytí požadavek HTTPS, www.google.com/newsočekává se následující kategorizace:

  • Standard brány firewall – zkoumá se pouze část plně kvalifikovaného názvu domény, takže www.google.com je kategorizována jako vyhledávací web.

  • Brána firewall Premium – úplná adresa URL je prozkoumána, takže www.google.com/news je zařazena do kategorií jako Zprávy.

Kategorie jsou uspořádány na základě závažnosti v rámci Odpovědnosti, Vysoká šířka pásma, Obchodní použití, Ztráta produktivity, Obecné Surfování a Nezařazeno.

Výjimky kategorií

Můžete vytvářet výjimky pravidel kategorií webu. Vytvořte samostatnou kolekci pravidel povolení nebo zamítnutí s vyšší prioritou v rámci skupiny kolekcí pravidel. Můžete například nakonfigurovat kolekci pravidel, která umožňuje www.linkedin.com s prioritou 100, s kolekcí pravidel, která zakazuje sociální sítě s prioritou 200. Tím se vytvoří výjimka pro předdefinovanou webovou kategorii sociálních sítí .

Certifikace

Azure Firewall je standard PCI (Payment Card Industry), Service Organization Controls (SOC) a International Organization for Standardization (ISO). Další informace najdete v tématu Certifikace dodržování předpisů služby Azure Firewall.

Další kroky