Freigeben über


Azure Firewall Standard-Features

Azure Firewall Standard ist ein verwalteter, Cloud-basierter Netzwerksicherheitsdienst, der Ihre virtuellen Azure-Netzwerkressourcen schützt.

Azure Firewall Standard-Features

Azure Firewall bietet die folgenden Features:

  • Integrierte Hochverfügbarkeit
  • Verfügbarkeitszonen
  • Uneingeschränkte Cloudskalierbarkeit
  • FQDN-Anwendungsfilterregeln
  • Filterregeln für den Netzwerkdatenverkehr
  • FQDN-Tags
  • Diensttags
  • Bedrohungsanalyse
  • DNS-Proxy
  • Benutzerdefinierter DNS
  • FQDN in Netzwerkregeln
  • Bereitstellungz ohne öffentliche IP-Adresse im Forced Tunnel Mode
  • SNAT-Unterstützung für ausgehenden Datenverkehr
  • DNAT-Unterstützung für eingehenden Datenverkehr
  • Mehrere öffentliche IP-Adressen
  • Azure Monitor-Protokollierung
  • Tunnelerzwingung
  • Webkategorien
  • Zertifizierungen

Einen Vergleich der Azure Firewall-Funktionen für alle Firewall-SKUs finden Sie unter Auswählen der richtigen Azure Firewall-SKU für Ihre Anforderungen.

Integrierte Hochverfügbarkeit

Hochverfügbarkeit ist integriert, sodass keine zusätzlichen Lastenausgleichsmodule erforderlich sind und Sie nichts konfigurieren müssen.

Verfügbarkeitszonen

Zur Erhöhung der Verfügbarkeit kann Azure Firewall während der Bereitstellung so konfiguriert werden, dass mehrere Verfügbarkeitszonen abgedeckt werden. Mit Verfügbarkeitszonen erhöht sich die Verfügbarkeit auf eine Betriebszeit von 99,99 %. Weitere Informationen finden Sie in der Vereinbarung zum Servicelevel (SLA) für Azure Firewall. Die SLA für 99,99 % Betriebszeit wird angeboten, wenn zwei oder mehr Verfügbarkeitszonen ausgewählt werden.

Unter Verwendung der Standard-SLA des Diensts von 99,95 % können Sie Azure Firewall außerdem aus Gründen der Nähe einer bestimmten Zone zuordnen.

Es fallen keine zusätzlichen Kosten für Firewalls an, die in mehreren Verfügbarkeitszonen bereitgestellt werden. Darüber hinaus hat Microsoft angekündigt, dass Azure keine Gebühren für die verfügbarkeitszonenübergreifende Datenübertragung in Rechnung stellt, unabhängig davon, ob Sie private oder öffentliche IP-Adressen für Ihre Azure-Ressourcenverwenden.

Wenn die Firewall skaliert wird, werden Instanzen in den Zonen erstellt, in der sie sich befindet. Wenn sich die Firewall also nur in Zone 1 befindet, werden neue Instanzen in Zone 1 erstellt. Wenn sich die Firewall in allen drei Zonen befindet, werden Instanzen für den drei Zonen erstellt, während sie skaliert wird.

Verfügbarkeitszonen für Azure Firewall sind in Regionen verfügbar, die Verfügbarkeitszonen unterstützen. Weitere Informationen finden Sie unter Regionen, die Verfügbarkeitszonen in Azure unterstützen.

Hinweis

Verfügbarkeitszonen können nur während der Bereitstellung konfiguriert werden. Für eine vorhandene Firewall können keine Verfügbarkeitszonen konfiguriert werden.

Weitere Informationen zu Verfügbarkeitszonen finden Sie unter Was sind Verfügbarkeitszonen in Azure?.

Uneingeschränkte Cloudskalierbarkeit

Azure Firewall kann so weit skaliert werden, wie es erforderlich ist, um den sich ändernden Netzwerkverkehrsströmen gerecht zu werden, sodass Sie kein Budget für Ihren Spitzenverkehr einplanen müssen.

FQDN-Anwendungsfilterregeln

Sie können den ausgehenden HTTP/S-Datenverkehr oder Azure SQL-Datenverkehr auf eine angegebene Liste vollqualifizierter Domänennamen (FQDNs) einschließlich Platzhalter beschränken. Dieses Feature erfordert keine TLS-Terminierung.

Das folgende Video zeigt, wie Sie eine Anwendungsregel erstellen:

Filterregeln für den Netzwerkdatenverkehr

Sie können Netzwerkfilterregeln zum Zulassen oder Verweigern nach Quell- und Ziel-IP-Adresse, Port und Protokoll zentral erstellen. Azure Firewall ist vollständig zustandsbehaftet, sodass zwischen legitimen Paketen für verschiedene Arten von Verbindungen unterschieden werden kann. Regeln werden übergreifend für mehrere Abonnements und virtuelle Netzwerke erzwungen und protokolliert.

Azure Firewall unterstützt die zustandsbehaftete Filterung von Layer 3- und Layer 4-Netzwerkprotokollen. Layer-3-IP-Protokolle können gefiltert werden, indem Sie in der Netzwerkregel beliebiges Protokoll auswählen und den Platzhalter * für den Port wählen.

FQDN-Tags

FQDN-Tags erleichtern das Zulassen des Netzwerkdatenverkehrs von bekannten Azure-Diensten durch die Firewall. Angenommen, Sie möchten Netzwerkdatenverkehr von Windows Update durch die Firewall zulassen. Sie erstellen eine entsprechende Anwendungsregel, und schließen das Windows Update-Tag ein. Jetzt kann der Netzwerkdatenverkehr von Windows Update durch Ihre Firewall fließen.

Diensttags

Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen und soll die Komplexität bei der Erstellung von Sicherheitsregeln verringern. Sie können weder ein eigenes Diensttag erstellen noch angeben, welche IP-Adressen in einem Tag enthalten sind. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.

Bedrohungsanalyse

Das Filtern auf Basis von Threat Intelligence kann für Ihre Firewall aktiviert werden, damit diese Sie vor Datenverkehr von und zu bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed.

DNS-Proxy

Wenn der DNS-Proxy aktiviert ist, kann Azure Firewall DNS-Abfrage von einem oder mehreren virtuellen Netzwerken verarbeiten und an den gewünschten DNS-Server weiterleiten. Diese Funktion ist für eine zuverlässige FQDN-Filterung in Netzwerkregeln unerlässlich. Sie können den DNS-Proxy in den Einstellungen von Azure Firewall und Firewall-Richtlinien aktivieren. Weitere Informationen zum DNS-Proxy finden Sie unter Azure Firewall DNS-Einstellungen.

Benutzerdefinierter DNS

Mit Custom DNS können Sie Azure Firewall so konfigurieren, dass Ihr eigener DNS-Server verwendet wird, während gleichzeitig sichergestellt wird, dass die ausgehenden Abhängigkeiten der Firewall weiterhin über Azure DNS aufgelöst werden. Sie können einen einzelnen DNS-Server oder mehrere Server in den DNS-Einstellungen von Azure Firewall und Firewall-Richtlinien konfigurieren. Weitere Informationen über benutzerdefiniertes DNS finden Sie unter Azure Firewall DNS-Einstellungen.

Azure Firewall kann Namen auch über Azure Private DNS auflösen. Das virtuelle Netzwerk, in dem sich die Azure Firewall befindet, muss mit der Azure Private Zone verbunden sein. Weitere Informationen finden Sie unter Verwendung von Azure Firewall als DNS-Forwarder mit Private Link.

FQDN in Netzwerkregeln

Sie können vollständig qualifizierte Domänennamen (FQDNs) in Netzwerkregeln verwenden, die auf der DNS-Auflösung in Azure Firewall und Firewall-Richtlinien basieren.

Die in Ihren Regelsammlungen angegebenen FQDNs werden anhand der DNS-Einstellungen Ihrer Firewall in IP-Adressen übersetzt. Mit dieser Funktion können Sie ausgehenden Datenverkehr anhand von FQDNs mit beliebigen TCP/UDP-Protokollen filtern (einschließlich NTP, SSH, RDP und mehr). Da diese Funktion auf der DNS-Auflösung basiert, wird dringend empfohlen, den DNS-Proxy zu aktivieren, um sicherzustellen, dass die Namensauflösung mit Ihren geschützten virtuellen Maschinen und der Firewall konsistent ist.

Azure Firewall ohne öffentliche IP-Adresse im Modus "Erzwungener Tunnel" einrichten

Der Azure Firewall-Dienst benötigt für den Betrieb eine öffentliche IP-Adresse. Auch wenn sie sicher sind, ziehen es einige Einrichtungen vor, eine öffentliche IP-Adresse nicht direkt ins Internet zu stellen.

In solchen Fällen können Sie Azure Firewall im Modus Erzwungener Tunnel einsetzen. Mit dieser Konfiguration wird eine Verwaltungs-NIC erstellt, die von der Azure Firewall für ihre Operationen verwendet wird. Das Tenant Datapath-Netzwerk kann ohne öffentliche IP-Adresse konfiguriert werden, und der Internetverkehr kann zu einer anderen Firewall getunnelt oder blockiert werden.

Der erzwungene Tunnelmodus kann während der Laufzeit nicht konfiguriert werden. Sie können die Firewall entweder neu bereitstellen oder die Stopp- und Startfunktion verwenden, um eine vorhandene Azure Firewall im erzwungenen Tunnelmodus neu zu konfigurieren. Firewalls, die in Secure Hubs eingesetzt werden, werden immer im Modus Erzwungener Tunnel eingesetzt.

SNAT-Unterstützung für ausgehenden Datenverkehr

Alle IP-Adressen für ausgehenden Datenverkehr des virtuellen Netzwerks werden in die öffentliche IP-Adresse der Azure Firewall übersetzt (Source Network Address Translation). Sie können Datenverkehr aus Ihrem virtuellen Netzwerk an Remoteziele im Internet identifizieren und zulassen. Wenn in Azure Firewall mehrere öffentliche IP-Adressen für die Bereitstellung ausgehender Konnektivität konfiguriert sind, werden die öffentlichen IP-Adressen nach Bedarf basierend auf verfügbaren Ports verwendet. Die erste öffentliche IP-Adresse wird nach dem Zufallsprinzip ausgewählt, und es wird nur die nächste verfügbare öffentliche IP-Adresse verwendet, wenn keine weiteren Verbindungen von der aktuellen öffentlichen IP-Adresse aufgrund von SNAT-Portauslastung mehr hergestellt werden können.

In Szenarien mit hohem Durchsatz oder dynamischen Datenverkehrsmustern wird die Verwendung von Azure NAT Gateway empfohlen. Azure NAT Gateway wählt öffentliche IP-Adressen dynamisch aus, um ausgehende Verbindungen bereitzustellen. Weitere Informationen zum Integrieren von NAT Gateway in Azure Firewall finden Sie unter Skalieren von SNAT-Ports mit Azure NAT Gateway.

Azure NAT Gateway kann mit Azure Firewall verwendet werden, indem NAT Gateway dem Azure Firewall-Subnetz zugeordnet wird. Anleitungen zu dieser Konfiguration finden Sie im Tutorial Integrieren von NAT Gateway in Azure Firewall.

Azure Firewall verfügt nicht über SNAT, wenn die Ziel-IP ein privater IP-Bereich gemäß IANA RFC 1918 ist.

Wenn Ihre Organisation einen öffentlichen IP-Adressbereich für private Netzwerke verwendet, leitet Azure Firewall den Datenverkehr per SNAT an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet weiter. Sie können Azure Firewall so konfigurieren, dass Ihr öffentlicher IP-Adressbereich nicht per SNAT weitergeleitet wird. Weitere Informationen finden Sie unter Azure Firewall SNAT – private Adressbereiche.

Sie können die SNAT-Port Auslastung in Azure Firewall-Metriken überwachen. Weitere Informationen finden Sie in der Dokumentation zu Firewall-Protokollen und -Metrikenin unserer Empfehlung zur Verwendung von SNAT-Ports.

Ausführlichere Informationen über das NAT-Verhalten von Azure Firewall finden Sie unter Azure Firewall NAT-Verhalten.

DNAT-Unterstützung für eingehenden Datenverkehr

Der eingehende Internet-Netzwerkdatenverkehr zur öffentlichen IP-Adresse Ihrer Firewall wird in die privaten IP-Adressen in Ihren virtuellen Netzwerken übersetzt (Ziel-Netzwerkadressübersetzung, DNAT) und gefiltert.

Mehrere öffentliche IP-Adressen

Sie können Ihrer Firewall mehrere öffentliche IP-Adressen (bis zu 250) zuordnen.

Dies ermöglicht die folgenden Szenarien:

  • DNAT: Sie können mehrere Standardportinstanzen auf Ihre Back-End-Server übersetzen. Wenn Sie beispielsweise über zwei öffentliche IP-Adressen verfügen, können Sie den TCP-Port 3389 (RDP) für beide IP-Adressen übersetzen.
  • SNAT: Für ausgehende SNAT-Verbindungen stehen mehr Ports zur Verfügung, sodass die Gefahr einer Überlastung des SNAT-Ports verringert wird. Aktuell wählt Azure Firewall die öffentliche IP-Quelladresse für eine Verbindung nach dem Zufallsprinzip aus. Wenn Sie in Ihrem Netzwerk über eine nachgeschaltete Filterung verfügen, müssen Sie alle öffentlichen IP-Adressen zulassen, die mit Ihrer Firewall verbunden sind. Verwenden Sie ggf. ein Präfix für öffentliche IP-Adressen, um diese Konfiguration zu vereinfachen.

Weitere Informationen zu NAT-Verhalten finden Sie unter Azure Firewall NAT-Verhalten.

Azure Monitor-Protokollierung

Alle Ereignisse sind in Azure Monitor integriert, sodass Sie Protokolle in einem Speicherkonto archivieren sowie Ereignisse an Ihren Event Hub streamen oder an Azure Monitor-Protokolle senden können. Azure Monitor-Protokollbeispiele finden Sie unter Azure Monitor-Protokolle für Azure Firewall.

Weitere Informationen finden Sie im Tutorial: Überwachen von Azure Firewall-Protokollen und -Metriken.

Azure Firewall Workbook bietet einen flexiblen Bereich für die Azure Firewall-Datenanalyse. Sie können damit umfangreiche visuelle Berichte innerhalb des Azure-Portals erstellen. Weitere Informationen finden Sie unter Überwachen von Protokollen mit Azure Firewall Workbook.

Tunnelerzwingung

Sie können Azure Firewall so konfigurieren, dass der gesamte Internetdatenverkehr an den festgelegten nächsten Hop weitergeleitet wird, statt dass er direkt ins Internet verläuft. Sie können zum Beispiel eine Edge-Firewall oder eine andere virtuelle Netzwerk-Appliance (NVA) vor Ort einsetzen, um den Netzwerkverkehr zu verarbeiten, bevor er ins Internet weitergeleitet wird. Weitere Informationen finden Sie unter Azure Firewall-Tunnelerzwingung.

Webkategorien

Mithilfe von Webkategorien können Administratoren den Benutzerzugriff auf Websitekategorien, z. B. Glücksspiel- oder Social Media-Websites, zulassen oder verweigern. Webkategorien sind in Azure Firewall Standard enthalten. Azure Firewall Premium bietet jedoch feinere Anpassungsmöglichkeiten. Im Gegensatz zu den Funktionen für Webkategorien in der Standard-SKU, bei denen der Abgleich der Kategorie anhand des FQDN erfolgt, werden die Kategorien bei der Premium-SKU anhand der gesamten URL abgeglichen (sowohl HTTP- als auch HTTPS-Datenverkehr). Weitere Informationen zu Azure Firewall Premium finden Sie unter Features von Azure Firewall Premium.

Wenn Azure Firewall z. B. eine HTTPS-Anforderung für www.google.com/news abfängt, wird die folgende Kategorisierung erwartet:

  • Firewall Standard: Nur der Teil mit dem vollqualifizierten Domänennamen (FQDN) wird untersucht, und www.google.com wird als Suchmaschine kategorisiert.

  • Firewall Premium: Die gesamte URL wird untersucht, sodass www.google.com/news als News kategorisiert wird.

Die Kategorien werden basierend auf dem Schweregrad in Haftung, Hohe Bandbreite, Geschäftliche Nutzung, Produktivitätsverlust, Allgemeines Surfen und Nicht kategorisiert unterteilt.

Kategorieausnahmen

Sie können Ausnahmen für Ihre Webkategorisierungsregeln erstellen. Erstellen Sie innerhalb der Regelsammlungsgruppe eine separate Sammlung mit Zulassungs- oder Verweigerungsregeln mit einer höheren Priorität. Sie können beispielsweise eine Regelsammlung konfigurieren, die www.linkedin.com mit Priorität 100 zulässt, und eine Regelsammlung, die Soziale Netzwerke mit der Priorität 200 verweigert. Dadurch wird eine Ausnahme für die vordefinierte Webkategorie Soziale Netzwerke erstellt.

Zertifizierungen

Azure Firewall ist mit PCI (Payment Card Industry), SOC (Service Organization Controls) und ISO (International Organization for Standardization) konform. Weitere Informationen finden Sie unter Azure Firewall-Konformitätszertifizierungen.

Nächste Schritte