Jak funguje Azure Firewall

  • 10 min

Znáte základní funkce služby Azure Firewall i Azure Firewall Manageru. Teď se podíváme, jak tyto technologie fungují, abychom zajistili zabezpečení vašich prostředků Azure. Tyto informace vám pomůžou vyhodnotit, jestli je Azure Firewall správným nástrojem pro strategii zabezpečení sítě společnosti Contoso.

Jak Azure Firewall chrání virtuální síť Azure

Abyste pochopili, jak Azure Firewall chrání vaši virtuální síť, vědí, že existují dvě klíčové charakteristiky pro každé nasazení služby Azure Firewall:

  • Instance brány firewall má veřejnou IP adresu, do které se odesílá veškerý příchozí provoz.
  • Instance brány firewall má privátní IP adresu, do které se odesílá veškerý odchozí provoz.

To znamená, že veškerý provoz – příchozí a odchozí – prochází bránou firewall. Ve výchozím nastavení brána firewall odepře přístup ke všemu. Vaším úkolem je nakonfigurovat bránu firewall s podmínkami, za kterých je provoz povolený přes bránu firewall. Každá podmínka se nazývá pravidlo a každé pravidlo použije jednu nebo více kontrol dat. Průchozí je pouze provoz, který předává všechna pravidla brány firewall.

Způsob správy síťového provozu ve službě Azure Firewall závisí na tom, odkud provoz pochází:

  • Pro povolený příchozí provoz azure firewall používá DNAT k překladu veřejné IP adresy brány firewall na privátní IP adresu příslušného cílového prostředku ve virtuální síti.
  • Pro povolený odchozí provoz azure Firewall používá K překladu zdrojové IP adresy zdrojovou IP adresu na veřejnou IP adresu brány firewall.

Poznámka:

Azure Firewall používá SNAT jenom v případech, kdy je cílová IP adresa mimo vaši virtuální síť. Pokud cílová IP adresa pochází z privátního adresního prostoru vaší virtuální sítě, Azure Firewall pro provoz nepoužívá SNAT.

Kde azure Firewall zapadá do virtuální sítě

Aby služba Azure Firewall efektivně dělala svou úlohu, musíte ji nastavit jako bariéru mezi důvěryhodnou sítí, kterou chcete chránit, a nedůvěryhodnou sítí, která nabízí potenciální hrozby. Azure Firewall nejčastěji nasazujete jako bariéru mezi virtuální sítí Azure a internetem.

Azure Firewall je nejlépe nasazený pomocí hvězdicové síťové topologie s následujícími vlastnostmi:

  • Virtuální síť, která funguje jako centrální bod připojení. Tato síť je virtuální síť rozbočovače.
  • Jedna nebo více virtuálních sítí, které jsou v partnerském vztahu k centru. Tyto partnerské vztahy jsou paprskové virtuální sítě a slouží ke zřizování serverů úloh.

Instanci brány firewall nasadíte do podsítě virtuální sítě centra a nakonfigurujete veškerý příchozí a odchozí provoz tak, aby procházel bránou firewall.

K nastavení instance služby Azure Firewall použijte následující obecné kroky:

  1. Vytvořte virtuální síť centra, která zahrnuje podsíť pro nasazení brány firewall.
  2. Vytvořte paprskové virtuální sítě a jejich podsítě a servery.
  3. Vytvoření partnerského vztahu mezi hvězdicovou sítí
  4. Nasaďte bránu firewall do podsítě centra.
  5. Pro odchozí provoz vytvořte výchozí trasu, která odesílá provoz ze všech podsítí na privátní IP adresu brány firewall.
  6. Nakonfigurujte bránu firewall s pravidly pro filtrování příchozího a odchozího provozu.

Typy pravidel služby Azure Firewall

Následující tabulka popisuje tři typy pravidel, která můžete vytvořit pro bránu firewall Azure.

Typ pravidla Popis
NAT Přeloží a vyfiltruje příchozí internetový provoz na základě veřejné IP adresy brány firewall a zadaného čísla portu. Pokud chcete například povolit připojení ke vzdálené ploše virtuálního počítače, můžete použít pravidlo PŘEKLADU adres (NAT) k překladu veřejné IP adresy brány firewall a portu 3389 na privátní IP adresu virtuálního počítače.
Aplikace Filtrování provozu na základě plně kvalifikovaného názvu domény Můžete například použít pravidlo aplikace, které povoluje odchozí provoz pro přístup k instanci služby Azure SQL Database pomocí plně kvalifikovaného názvu domény server10.database.windows.net.
Síť Filtrování provozu na základě jednoho nebo několika následujících tří parametrů sítě: IP adresa, port a protokol. Můžete například použít síťové pravidlo, které povolí odchozí provoz pro přístup ke konkrétnímu serveru DNS na zadané IP adrese pomocí portu 53.

Network diagram of an external computer requesting a remote desktop connection with a virtual machine. It shows Azure Firewall translating its public IP address to the virtual machine's private IP address.

Důležité

Azure Firewall používá pravidla v pořadí priority. Pravidla založená na analýze hrozeb mají vždy nejvyšší prioritu a zpracovávají se jako první. Potom se pravidla použijí podle typu: pravidla překladu adres (NAT), pak pravidla sítě a pravidla aplikace. V rámci každého typu se pravidla zpracovávají podle hodnot priority, které přiřadíte při vytváření pravidla, od nejnižší hodnoty po nejvyšší hodnotu.

Možnosti nasazení služby Azure Firewall

Azure Firewall nabízí mnoho funkcí navržených tak, aby usnadnila vytváření a správu pravidel. Následující tabulka shrnuje tyto funkce.

Funkce Popis
FQDN Název domény hostitele nebo jedné nebo více IP adres. Přidání plně kvalifikovaného názvu domény do pravidla aplikace umožňuje přístup k této doméně. Při použití plně kvalifikovaného názvu domény v pravidlu aplikace můžete použít zástupné znaky, například *.google.com.
Značka plně kvalifikovaného názvu domény Skupina známých plně kvalifikovaných názvů domén Microsoftu Přidání značky plně kvalifikovaného názvu domény do pravidla aplikace umožňuje odchozí přístup k plně kvalifikovaným názvům domén značky. Existují značky plně kvalifikovaného názvu domény pro služba Windows Update, Azure Virtual Desktop, diagnostiku Windows, Azure Backup a další. Microsoft spravuje značky plně kvalifikovaného názvu domény a nedají se upravovat ani vytvářet.
Značka služby Skupina předpon IP adres souvisejících s konkrétní službou Azure Přidání značky služby do síťového pravidla umožňuje přístup ke službě reprezentované značkou. Existují značky služeb pro desítky služeb Azure, mezi které patří Azure Backup, Azure Cosmos DB, Logic Apps a další. Microsoft spravuje značky služeb a není možné je upravovat ani vytvářet.
Skupiny IP adres Skupina IP adres, například 10.2.0.0/16 nebo 10.1.0.0-10.1.0.31. Skupinu IP adres můžete použít jako zdrojovou adresu v překladu adres (NAT) nebo v pravidle aplikace nebo jako zdrojovou nebo cílovou adresu v pravidle sítě.
Vlastní DNS Vlastní server DNS, který překládá názvy domén na IP adresy. Pokud místo Azure DNS používáte vlastní server DNS, musíte také nakonfigurovat bránu Azure Firewall jako proxy server DNS.
Proxy server DNS Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS, což znamená, že všechny požadavky DNS klientů procházejí bránou firewall před přechodem na server DNS.