Azure Firewall-funkciók termékváltozat szerint

Az Azure Firewall egy felügyelt, felhőalapú hálózatbiztonsági szolgáltatás, amely Azure Virtual Network-erőforrásait védi. Három termékváltozatot kínál – alapszintű, standard és prémium – mindegyik különböző használati esetekhez és biztonsági követelményekhez lett kialakítva.

Az Azure Firewall üzembehelyezési architektúrát bemutató ábra, amely az Azure-beli virtuális hálózati erőforrásokat védi a fenyegetésektől.

Ez a cikk átfogó áttekintést nyújt az Azure Firewall összes funkciójáról, termékváltozatok szerint csoportosítva, segítve a képességek megértését és az igényeinek leginkább megfelelő verzió kiválasztását.

Funkció-összehasonlító táblázat

Az alábbi táblázat az Azure Firewall összes termékváltozatának funkcióit hasonlítja össze:

Kategória Tulajdonság Alapszintű Standard prémium
Alapvető tűzfalfunkciók Állapotalapú tűzfal (5-tuple szabály)
Hálózati címfordítás (SNAT+DNAT)
Beépített magas rendelkezésre állás
Elérhetőségi zónák
Szűrés és ellenőrzés Alkalmazásszintű FQDN-szűrés (SNI-alapú) HTTPS/SQL esetén
Hálózati szintű FQDN szűrés – minden port és protokoll
Hálózati forgalomszűrési szabályok
Webes tartalomszűrés (webkategóriák)
URL-szűrés (teljes elérési út – beleértve az SSL-lezárást is)
Kimenő TLS-lezárás (TLS továbbítási proxy)
Bejövő TLS-lezárás (TLS fordított proxy) Az Azure Application Gateway használata
Veszélyforrások elleni védelem Fenyegetésintelligencia-alapú szűrés (ismert rosszindulatú IP-címek/tartományok) Csak riasztás Riasztás és megtagadás Riasztás és megtagadás
Teljes körűen felügyelt IDPS
DNS DNS-proxy + egyéni DNS
Teljesítmény és skálázás Felhő méretezhetősége (automatikus skálázás a forgalom növekedésével) Legfeljebb 250 Mbps Akár 30 Gb/s Akár 100 Gb/s
Zsíráramlás támogatása N/A 1 Gbit/s 10 Gbit/s
Felügyelet és figyelés Központi felügyelet a Firewall Manageren keresztül
Irányelvelemzés (szabálykezelés az idő múlásával)
Teljes naplózás, beleértve a SIEM-integrációt
Szolgáltatáscímkék és teljes tartománynévcímkék az egyszerű szabályzatkezeléshez
Egyszerű DevOps-integráció REST/PowerShell/CLI/templates/Terraform használatával
Speciális hálózatkezelés Több nyilvános IP-cím Legfeljebb 250 Legfeljebb 250
Alagúthasználat kényszerítése
Nyilvános IP-cím nélküli üzembe helyezés kényszerített alagút módban
Megfelelés Tanúsítványok (PCI, SOC, ISO)
Payment Card Industry Data Security Standard (PCI DSS) megfelelőség

Az Azure Firewall alapszintű funkciói

Az Azure Firewall Basic kis- és középvállalatok (KKV-k) számára lett kialakítva, hogy az Azure-felhőkörnyezeteket alapvető védelemmel, megfizethető áron biztonságossá tegye.

Az Alapszintű tűzfalat bemutató diagram.

Alapvető alapvető funkciók

  • Beépített magas rendelkezésre állás: A magas rendelkezésre állás beépített, ezért nincs szükség további terheléselosztókra, és nincs szükség konfigurálásra.

  • Rendelkezésre állási zónák: Az Azure Firewall az üzembe helyezés során konfigurálható úgy, hogy több rendelkezésre állási zónára terjedjen ki a nagyobb rendelkezésre állás érdekében. Az Azure Firewallt egy adott zónához is társíthatja közelségi okokból.

  • Alkalmazás teljes tartományneveinek szűrési szabályai: A kimenő HTTP/S-forgalmat vagy az Azure SQL-forgalmat a teljes tartománynevek (FQDN) megadott listájára korlátozhatja, beleértve a helyettesítő kártyákat is. Ez a funkció nem igényli a Transport Layer Security (TLS) leállítását.

  • Hálózati forgalomszűrési szabályok: Központilag létrehozhat engedélyezési vagy letiltási hálózati szűrési szabályokat forrás- és cél IP-cím, port és protokoll alapján. Az Azure Firewall teljesen állapotalapú, így megkülönbözteti a különböző típusú kapcsolatokhoz tartozó megbízható csomagokat.

  • Teljes tartománynév címkéi: A teljes tartománynév címkéi megkönnyítik a jól ismert Azure-szolgáltatás hálózati forgalmának engedélyezését a tűzfalon keresztül. Létrehozhat például egy alkalmazásszabályt, és belefoglalhatja a Windows Update címkét, hogy a Windows Update hálózati forgalma áthaladhasson a tűzfalon.

  • Szolgáltatáscímkék: A szolgáltatáscímkék AZ IP-címelőtagok egy csoportját jelölik, így minimalizálható a biztonsági szabályok létrehozásának összetettsége. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

  • Fenyegetésintelligencia (csak riasztási mód): A fenyegetésintelligencia-alapú szűrés engedélyezhető a tűzfal számára, hogy riasztást küldhessen az ismert rosszindulatú IP-címekről és tartományokról érkező vagy felé irányuló forgalomról. Az alapszintű termékváltozatban ez a funkció csak riasztásokat biztosít, és nem tagadhatja meg a forgalmat.

  • Kimenő SNAT-támogatás: A rendszer minden kimenő virtuális hálózati forgalom IP-címét lefordítja az Azure Firewall nyilvános IP-címére (forráshálózati címfordítás). Azonosíthatja és engedélyezheti a virtuális hálózatról a távoli internetes célhelyekre irányuló forgalmat.

  • Bejövő DNST-támogatás: A rendszer lefordítja a tűzfal nyilvános IP-címére irányuló bejövő internetes hálózati forgalmat (célhálózati címfordítás), és szűri a virtuális hálózatok privát IP-címére.

  • Több nyilvános IP-cím: Több nyilvános IP-címet is társíthat a tűzfalhoz a továbbfejlesztett DNST- és SNAT-forgatókönyvekhez.

  • Azure Monitor-naplózás: Minden esemény integrálva van az Azure Monitorral, így archiválhatja a naplókat egy tárfiókba, eseményeket streamelhet az eseményközpontba, vagy elküldheti őket az Azure Monitor-naplókba.

  • Minősítések: Az Azure Firewall Basic a fizetésikártya-iparág (PCI), a szolgáltatásszervezési vezérlők (SOC) és a Nemzetközi Szabványügyi Szervezet (ISO) szabványnak megfelelő.

Alapvető korlátozások

  • Átviteli sebesség: Legfeljebb 250 Mbps
  • DNS-proxy: Nem érhető el (csak Az Azure DNS-t használja)
  • Fenyegetés-intelligencia: Csak riasztási mód (forgalom nem blokkolható)
  • Hálózati teljes tartománynév szűrése: Nem támogatott (csak az alkalmazás teljes tartománynevének szűrése)
  • Webkategóriák: Nem támogatott
  • Kényszerített bújtatás: Nem támogatott

Az Azure Firewall Standard szolgáltatásai

Az Azure Firewall Standard a 3–7. rétegbeli tűzfalfunkciókat igénylő ügyfelek számára alkalmas automatikus skálázással, amely akár 30 Gb/s-os csúcsforgalmat is képes kezelni. Olyan vállalati funkciókat tartalmaz, mint a fenyegetésfelderítés, a DNS-proxy, az egyéni DNS és a webkategóriák.

Az Azure Firewall Standard üzembe helyezését bemutató ábra továbbfejlesztett funkciókkal, például fenyegetésfelderítéssel, DNS-proxyval és hálózati szintű teljes tartománynév-szűrési képességekkel.

Alapvető standard funkciók

A Standard az összes alapszintű funkciót tartalmazza, valamint:

  • Korlátlan felhőalapú skálázhatóság: Az Azure Firewall a lehető legnagyobb mértékben képes horizontálisan felskálázni a változó hálózati forgalomhoz szükséges méretet, így nincs szükség a csúcsforgalom (akár 30 Gb/s) költségkeretére.

  • Hálózati szintű teljes tartománynevek szűrése: Teljes tartományneveket (FQDN-eket) használhat a DNS-feloldáson alapuló hálózati szabályokban. Ez a funkció lehetővé teszi a kimenő forgalom szűrését teljes tartománynevek használatával bármely TCP/UDP protokollal (beleértve az NTP-t, az SSH-t, az RDP-t stb.).

  • Fenyegetésfelderítés (riasztás és megtagadás):: A fenyegetésintelligencia-alapú szűrés lehetővé teszi a tűzfal számára az ismert rosszindulatú IP-címekről és tartományokból érkező vagy onnan érkező forgalom riasztását és letiltását. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

  • DNS-proxy: Ha engedélyezve van a DNS-proxy, az Azure Firewall feldolgozhatja és továbbíthatja a DNS-lekérdezéseket a virtuális hálózatokról a kívánt DNS-kiszolgálóra. Ez a funkció kulcsfontosságú a hálózati szabályok megbízható FQDN szűréshez.

  • Egyéni DNS: Az egyéni DNS lehetővé teszi az Azure Firewall konfigurálását saját DNS-kiszolgáló használatára, miközben biztosítja, hogy a tűzfal kimenő függőségei továbbra is feloldva legyenek az Azure DNS-sel. Egyetlen DNS-kiszolgálót vagy több kiszolgálót is konfigurálhat.

  • Kényszerített bújtatás: Úgy konfigurálhatja az Azure Firewallt, hogy az internethez kötött összes forgalmat egy kijelölt következő ugrásra irányozza ahelyett, hogy közvetlenül az internetre lép. Használhat például egy helyszíni peremhálózati tűzfalat vagy más hálózati virtuális berendezést (NVA) a hálózati forgalom feldolgozásához, mielőtt az átkerül az internetre.

  • Nyilvános IP-cím nélküli üzembe helyezés kényszerített alagút módban: Az Azure Firewall kényszerített alagút módban telepíthető, amely létrehoz egy felügyeleti hálózati adaptert, amelyet az Azure Firewall használ a műveletekhez. A bérlői datapath-hálózat konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható vagy blokkolható.

  • Webkategóriák: A webkategóriák lehetővé teszik a rendszergazdák számára, hogy engedélyezik vagy megtagadják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségimédia-webhelyekhez és más webhelyekhez. A Standardban a kategorizálás csak teljes tartománynéven alapul.

  • Továbbfejlesztett több nyilvános IP-támogatás: Legfeljebb 250 nyilvános IP-címet társíthat a tűzfalhoz.

Standard korlátozások a Prémiumhoz képest

  • TLS-vizsgálat: Nem támogatott
  • IDPS: Nem támogatott
  • URL-szűrés: Nem támogatott (csak teljes tartománynév szűrése)
  • Speciális webkategóriák: Csak alapszintű teljes tartománynév-alapú kategorizálás
  • Teljesítmény: Legfeljebb 30 Gb/s és 100 Gb/s premium esetén

Prémium szintű Azure Firewall-funkciók

Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely különösen érzékeny és szabályozott környezetekhez, például a fizetési és egészségügyi iparágakhoz használható. Az összes standard szolgáltatást és speciális biztonsági képességeket tartalmazza.

Az Azure Firewall Prémium szintű üzembe helyezését bemutató ábra fejlett biztonsági funkciókkal, beleértve a TLS-ellenőrzést, az IDPS-képességeket, az URL-szűrést és a vállalati környezetek fokozott veszélyforrások elleni védelmét.

Főbb prémium funkciók

A Premium tartalmazza az összes Standard funkciót, valamint:

  • TLS-ellenőrzés: Visszafejti a kimenő forgalmat, feldolgozza, majd újra titkosítja és elküldi a célhelyre. Az Azure Firewall Premium leállítja és ellenőrzi a TLS-kapcsolatokat a HTTPS rosszindulatú tevékenységeinek észlelése, riasztása és enyhítése érdekében. Két TLS-kapcsolatot hoz létre: egyet a webkiszolgálóval, a másikat az ügyféllel.

    • Kimenő TLS-ellenőrzés: Védelmet nyújt az Azure-ban üzemeltetett belső ügyfélről az internetre küldött rosszindulatú forgalom ellen.
    • East-West TLS-vizsgálat: Védi az Azure-számítási feladatokat az Azure-ban küldött potenciális rosszindulatú forgalomtól, beleértve a helyszíni hálózatra vagy onnan érkező forgalmat is.

  • IDPS (Behatolásészlelési és megelőzési rendszer):: A hálózati behatolásészlelő és -megelőző rendszer (IDPS) figyeli a hálózatot a rosszindulatú tevékenységekért, naplózza az adatokat, jelentéseket készít róla, és opcionálisan letiltja azt. Az Azure Firewall Premium a következőkkel kínál aláírásalapú IDPS-t:

    • Több mint 67 000 szabály több mint 50 kategóriában
    • Napi 20–40 új szabály
    • Alacsony hamis pozitív arány fejlett kártevőészlelési technikákkal
    • Legfeljebb 10 000 IDPS-szabály testreszabásának támogatása
    • Privát IP-tartományok konfigurációja a forgalomirány meghatározásához

  • URL-szűrés: Kibővíti az Azure Firewall teljes tartománynév-szűrési funkcióját, hogy figyelembe vegye a teljes URL-címet, például www.contoso.com/a/c nem csak www.contoso.com. Ha engedélyezve van a TLS-vizsgálat, az URL-szűrés http- és HTTPS-forgalomra is alkalmazható.

  • Speciális webkategóriák: Lehetővé teszi vagy letiltja a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejátékhoz vagy a közösségi médiához, fokozott részletességgel. A standardtól eltérően, amely csak a teljes tartományneveket vizsgálja, a Premium a HTTP- és HTTPS-forgalom teljes URL-címe alapján egyezik meg a kategóriákkal.

    Ha például az Azure Firewall elfog egy HTTPS-kérést a következőhöz www.google.com/news:

    • Tűzfal standard: Csak az FQDN rész kerül vizsgálatra, így www.google.com kategorizálva van keresőmotorként
    • Prémium szintű tűzfal: A teljes URL-cím megvizsgálva van, így www.google.com/newsa hírek kategóriába tartozik

  • Nagyobb teljesítmény: Az Azure Firewall Premium egy hatékonyabb virtuálisgép-termékváltozatot használ, és akár 100 Gb/s-os skálázást is képes elvégezni 10 Gb/s nagy áteresztőképességű kapcsolat támogatásával.

  • PCI DSS-megfelelőség: A prémium termékváltozat megfelel a Payment Card Industry Data Security Standard (PCI DSS) követelményeinek, így alkalmassá válik a fizetésikártya-adatok feldolgozására.

Csak prémium szintű képességek

  • IDPS privát IP-címtartományok: Privát IP-címtartományok konfigurálása annak megállapításához, hogy a forgalom bejövő, kimenő vagy belső (East-West)
  • IDPS-aláírási szabályok: Az aláírások testreszabása letiltott, riasztási vagy riasztási és megtagadási módjuk módosításával
  • Webkategória-keresés: A teljes tartománynév vagy URL-cím kategóriájának azonosítása a webkategória-ellenőrzés funkcióval
  • Kategóriamódosítási kérelmek: Olyan teljes tartománynevek vagy URL-címek kategóriamódosításainak kérése, amelyeknek különböző kategóriákba kell tartoznia
  • TLS-ellenőrzési tanúsítványkezelés: Az ügyfél által biztosított hitelesítésszolgáltatói tanúsítványok támogatása a TLS-vizsgálathoz

Általános funkciók az összes termékváltozatban

Beépített magas rendelkezésre állás, valamint elérhetőségi zónák

Az Azure Firewall összes termékváltozata a következőket tartalmazza:

  • Beépített magas rendelkezésre állás extra terheléselosztók nélkül
  • A rendelkezésre állási zónák üzembe helyezésének támogatása a megnövekedett rendelkezésre állás érdekében
  • Nincs többletköltség a több rendelkezésre állási zónában történő üzembe helyezéshez

Hálózati címfordítás (NAT)

Minden termékváltozat támogatása:

  • Forrás NAT (SNAT):: Minden kimenő virtuális hálózati forgalom IP-címe le lesz fordítva az Azure Firewall nyilvános IP-címére
  • Cél NAT (DNAT): A tűzfal nyilvános IP-címére irányuló bejövő internetes hálózati forgalom le lesz fordítva, és privát IP-címekre lesz szűrve

Felügyelet és figyelés

Az összes termékváltozat a következőket tartalmazza:

  • Azure Monitor-integráció: Minden esemény integrálva van az Azure Monitorral naplózás és monitorozás céljából
  • Azure Firewall-munkafüzet: Rugalmas vászon az Azure Firewall adatelemzéséhez
  • Központi felügyelet: Az Azure Firewall Manager támogatása
  • Szabályzatelemzés: Szabálykezelés és -elemzés idővel
  • DevOps-integráció: REST/PowerShell/CLI/templates/Terraform-támogatás

Megfelelőség és tanúsítványok

Minden termékváltozat a következő:

  • A PCI (Payment Card Industry) szabványnak megfelelő
  • A szolgáltatásszervezési vezérlők (SOC) kompatibilisek
  • A Nemzetközi Szabványügyi Szervezet (ISO) szabványnak megfelelő

A Premium emellett PCI DSS-megfelelőséget biztosít a fizetési feldolgozási környezetekhez.

Következő lépések

  • Last updated on