Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely különösen érzékeny és szabályozott környezetekhez, például a fizetési és egészségügyi iparágakhoz használható.
Ez az útmutató részletes megvalósítási információkat nyújt az Azure Firewall Premium szolgáltatásaihoz. Az Azure Firewall összes szolgáltatásának termékváltozatonkénti magas szintű összehasonlításáért tekintse meg az Azure Firewall termékváltozatonkénti funkcióit.
A szervezetek olyan prémium termékváltozat-funkciókat használhatnak, mint az IDPS és a TLS-ellenőrzés, hogy megakadályozzák a kártevők és vírusok terjesztését a hálózatok között. A funkciók megnövekedett teljesítményigényének kielégítése érdekében az Azure Firewall Premium egy hatékonyabb virtuálisgép-termékváltozatot használ. A Standard termékváltozathoz hasonlóan a Prémium termékváltozat akár 100 Gb/s-os skálázásra is képes, és integrálható a rendelkezésre állási zónákkal a 99,99-% SLA támogatásához. A prémium termékváltozat megfelel a Payment Card Industry Data Security Standard (PCI DSS) követelményeinek.
Az Azure Firewall Premium a következő speciális funkciókat tartalmazza:
- TLS-ellenőrzés: Visszafejti a kimenő forgalmat, feldolgozza, majd újra titkosítja és elküldi a célhelyre.
- IDPS: Figyeli a hálózati tevékenységeket a rosszindulatú tevékenységekért, naplózza az adatokat, jelentéseket készít róla, és opcionálisan letiltja azt.
- URL-szűrés: Kibővíti az FQDN-szűrést, hogy figyelembe vegye a teljes URL-címet, beleértve a további elérési utakat is.
- Webkategóriák: Engedélyezi vagy letiltja a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejátékhoz vagy a közösségi médiához.
Az Azure Firewall összes termékváltozata közötti teljes funkció-összehasonlításhoz lásd a Azure Firewall funkciókat termékváltozatok szerint.
TLS-vizsgálat
A TLS (Transport Layer Security) protokoll titkosítást biztosít az adatvédelem, az integritás és a hitelesség érdekében a kommunikáló alkalmazások közötti tanúsítványok használatával. Titkosítja a HTTP-forgalmat, amely elrejtheti az illegális felhasználói tevékenységeket és a rosszindulatú forgalmat.
TLS-ellenőrzés nélkül az Azure Firewall nem látja az adatokat a titkosított TLS-alagútban, korlátozva annak védelmi képességeit. Az Azure Firewall Premium azonban leállítja és ellenőrzi a TLS-kapcsolatokat a HTTPS rosszindulatú tevékenységeinek észlelése, riasztása és enyhítése érdekében. Két TLS-kapcsolatot hoz létre: egyet a webkiszolgálóval, a másikat az ügyféllel. Az ügyfél által biztosított hitelesítésszolgáltatói tanúsítvány használatával létrehoz egy menet közbeni tanúsítványt a webkiszolgáló tanúsítványának cseréjéhez, és megosztja azt az ügyféllel a TLS-kapcsolat létrehozásához.
Azure Firewall TLS-ellenőrzés nélkül:
Azure Firewall TLS-ellenőrzéssel:
Az Azure Firewall a következő használati eseteket támogatja:
- Kimenő TLS-ellenőrzés: Védelmet nyújt az Azure-ban üzemeltetett belső ügyfélről az internetre küldött rosszindulatú forgalom ellen.
- East-West TLS-vizsgálat: Védi az Azure-számítási feladatokat az Azure-ban küldött potenciális rosszindulatú forgalomtól, beleértve a helyszíni hálózatra vagy onnan érkező forgalmat is.
Az Azure Web Application Firewall a következő használati esetet támogatja Azure-alkalmazás Gatewayen:
- Bejövő TLS-vizsgálat: Védi az Azure-ban üzemeltetett belső kiszolgálókat vagy alkalmazásokat az internetről vagy külső hálózatról érkező rosszindulatú kérésekkel szemben. Az Application Gateway végpontok közötti titkosítást biztosít.
A kapcsolódó információkért lásd:
Tip
A TLS 1.0 és 1.1 elavult, és nem támogatott. Ezek a verziók sebezhetőnek bizonyultak. Bár továbbra is a visszamenőleges kompatibilitás érdekében dolgoznak, nem ajánlott. Migrálás a TLS 1.2-be a lehető leghamarabb.
Az Azure Firewall prémium szintű köztes hitelesítésszolgáltatói tanúsítványkövetelményeiről további információt az Azure Firewall Premium tanúsítványai című témakörben talál.
A TLS-ellenőrzéssel kapcsolatos további információkért lásd : POC létrehozása TLS-vizsgálathoz az Azure Firewallban.
Betörésérzékelő és Megelőző Rendszer (IDPS)
A hálózati behatolásészlelő és -megelőző rendszer (IDPS) figyeli a hálózatot a rosszindulatú tevékenységekért, naplózza az adatokat, jelentéseket készít róla, és opcionálisan letiltja azt.
Az Azure Firewall Premium aláírásalapú IDPS-t kínál a támadások gyors észleléséhez bizonyos minták, például a hálózati forgalom bájtütemezései vagy a kártevők által használt ismert rosszindulatú utasítássorozatok azonosításával. Ezek az IDPS-aláírások alkalmazás- és hálózati szintű forgalomra is érvényesek (3–7. réteg). Ezek teljes mértékben felügyeltek és folyamatosan frissülnek. Az IDPS alkalmazható a bejövő, küllős (East-West) és kimenő forgalomra, beleértve a helyszíni hálózatba irányuló vagy onnan érkező forgalmat is. Az IDPS privát IP-címtartományait a Privát IP-tartományok funkcióval konfigurálhatja. További információ: IDPS Private IP-tartományok.
Az Azure Firewall-aláírások/szabálykészletek a következők:
- Összpontosítson a tényleges kártevők, a parancsok és a vezérlés azonosítására, a biztonsági készletek és a hagyományos módszerek által kihagyott rosszindulatú tevékenységek azonosítására.
- Több mint 67 000 szabály több mint 50 kategóriában, beleértve a kártevők parancsait és vezérlését, az adathalászatot, a trójaiakat, a botneteket, az információs eseményeket, a biztonsági réseket, az SCADA hálózati protokollokat és a kit-tevékenységek kihasználását.
- Naponta 20–40 új szabály jelenik meg.
- Alacsony hamis pozitív arány fejlett kártevőészlelési technikákkal, például a globális érzékelőhálózat visszajelzési ciklusával.
Az IDPS észleli a nem titkosított forgalom összes portja és protokollja elleni támadásokat. HTTPS-forgalomvizsgálat esetén az Azure Firewall a TLS-ellenőrzési funkciójával visszafejtheti a forgalmat, és hatékonyabban észlelheti a rosszindulatú tevékenységeket.
Megjegyzés:
Az aláírási módok felülbírálásával és a csendes elcsendesítések elkerüléséhez szükséges fontos korlátozásokkal kapcsolatos útmutatásért lásd: Felülbírálási viselkedés és korlátozások.
Az IDPS bypass listával kizárhat bizonyos IP-címeket, tartományokat és alhálózatokat a szűrésből. Vegye figyelembe, hogy a kerülő lista nem az adatátviteli teljesítmény javítására szolgál, mivel a tűzfal teljesítménye továbbra is a használati eset függvénye. További információ itt található: Azure Firewall teljesítménye.
IDPS Privát IP-tartományok
Az Azure Firewall Premium IDPS-ben a privát IP-címtartományok határozzák meg, hogy a forgalom bejövő, kimenő vagy belső (East-West). A rendszer minden aláírást adott forgalmi irányokra alkalmaz az aláírási szabályok táblázatában leírtak szerint. Alapértelmezés szerint csak az IANA RFC 1918 által meghatározott tartományok minősülnek magánhálózati IP-címeknek. A magánhálózati IP-címtartományok közötti forgalom belsőnek minősül. Igény szerint egyszerűen szerkesztheti, eltávolíthatja vagy hozzáadhatja a magánhálózati IP-címtartományokat.
IDPS-aláírási szabályok
Az IDPS-aláírási szabályok lehetővé teszik a következőt:
- Az aláírásokat úgy szabhatja testre, hogy a módjukat Letiltott, Riasztás vagy Riasztás és tiltás állapotra váltja. Akár 10 000 IDPS-szabályt is testre szabhatsz.
- Ha például egy hibás aláírás miatt egy jogos kérés le van tiltva, letilthatja az aláírást a hálózati szabályok naplóinak azonosítójával a hamis pozitív probléma megoldásához.
- A magas prioritású riasztások láthatóságának javítása érdekében finomhangolja a túlzottan alacsony prioritású riasztásokat generáló aláírásokat.
- Az összes 67 000 aláírás megtekintése.
- Az intelligens kereséssel attribútumok( például CVE-ID) alapján kereshet aláírásokat.
Az IDPS-aláírási szabályok a következő tulajdonságokkal rendelkeznek:
| Column | Leírás |
|---|---|
| Aláírás azonosítója | Az egyes aláírások belső azonosítója az Azure Firewall hálózati szabályainak naplóiban is látható. |
| Mode | Azt jelzi, hogy az aláírás aktív-e, és hogy a tűzfal elesik-e vagy riasztásokat küld-e a megfelelő forgalomról. Módok: - Letiltva: Az aláírás nincs engedélyezve. - Riasztás: Gyanús forgalomra vonatkozó riasztások. - Riasztás és elutasítás: Riasztások és letiltja a gyanús forgalmat. Egyes aláírások alapértelmezés szerint "Csak riasztás" típusúak, de a "Riasztás és elutasítás" értékre szabhatók. Az aláírási módot a következő határozza meg: 1. Házirend mód – A szabályzat IDPS-módjából származik. 2. Szülőházirend – A szülőházirend IDPS-módjából származik. 3. Felülírt – A felhasználó által testre szabott. 4. Rendszer – A rendszer "Csak riasztás" értékre állítja a kategória miatt, de felül lehet bírálni. Az IDPS-riasztások a portálon hálózati szabálynapló-lekérdezéssel érhetők el. |
| Súlyosság | Azt jelzi, hogy az aláírás tényleges támadás-e: - Alacsony (3. prioritás):Alacsony valószínűség, információs események. - Közepes (2. prioritás):: Gyanús, vizsgálatot igényel. - Magas (1. prioritás): Súlyos támadás, nagy valószínűség. |
| Irány | Forgalomirány, amelyre az aláírás vonatkozik: - Bejövő: Az internettől a privát IP-címtartományig. - Kimenő: A privát IP-címtartománytól az internetig. - Belső: A privát IP-címtartományon belül. - Belső/Bejövő: A privát IP-címtartománytól vagy az internettől a privát IP-címtartományig. - Belső/Kimenő: A privát IP-címtartománytól a privát IP-címtartományig vagy az internetig. - Bármely: Bármely forgalomirányra alkalmazva. |
| Csoport | A csoport neve, amelyhez az aláírás tartozik. |
| Leírás | Includes: - Kategória neve: Az aláírás kategóriája. - Magas szintű leírás. - CVE-ID (nem kötelező): Társított CVE. |
| Protokoll | Az aláíráshoz társított protokoll. |
| Forrás-/célportok | Az aláíráshoz társított portok. |
| Legutóbbi frissítés | Az aláírás utolsó bevezetésének vagy módosításának dátuma. |
Az IDPS-sel kapcsolatos további információkért lásd: Azure Firewall IDPS használata tesztmeghajtón.
URL-szűrés
Az URL-szűrés kibővíti az Azure Firewall teljes tartománynév-szűrési képességét, hogy figyelembe vegye a teljes URL-címet, például www.contoso.com/a/c nem csak www.contoso.com.
AZ URL-szűrés http- és HTTPS-forgalomra is alkalmazható. A HTTPS-forgalom vizsgálatakor az Azure Firewall Premium a TLS ellenőrzési funkciójával fejti vissza a forgalmat, kinyeri a cél URL-címet, és ellenőrzi, hogy engedélyezett-e a hozzáférés. A TLS-ellenőrzést az alkalmazásszabály szintjén kell engedélyezni. Ha engedélyezve van, az URL-címek felhasználhatók a HTTPS-forgalom szűrésére.
Webkategóriák
A webes kategóriák lehetővé teszik a rendszergazdák számára, hogy engedélyezik vagy megtagadják a felhasználók hozzáférését bizonyos webhelyekhez, például a szerencsejátékokhoz vagy a közösségi médiához. Bár ez a funkció az Azure Firewall Standard és a Premium szolgáltatásban is elérhető, a Prémium termékváltozat részletesebb vezérlést biztosít a kategóriáknak a HTTP- és HTTPS-forgalom teljes URL-címe alapján történő egyeztetésével.
Az Azure Firewall Premium webkategóriái csak tűzfalszabályzatokban érhetők el. Győződjön meg arról, hogy a szabályzat termékváltozata megegyezik a tűzfalpéldány termékváltozatának. Egy Prémium szintű tűzfalpéldányhoz például prémium szintű tűzfalszabályzatra van szükség.
Ha például az Azure Firewall elfog egy HTTPS-kérést a következőhöz www.google.com/news:
- A Firewall Standard csak a teljes tartománynevet vizsgálja,
www.google.comkategorizálva. - A Premium tűzfal megvizsgálja a teljes URL-címet,
www.google.com/newskategorizálja.
A kategóriák súlyosság szerint vannak rendszerezve a felelősség, a nagy sávszélesség, az üzleti használat, a termelékenység csökkenése, az általános szörfözés és az uncategorized alatt. Részletes leírásért tekintse meg az Azure Firewall webes kategóriáit.
Webkategória naplózása
A webes kategóriák szerint szűrt forgalom naplózása az alkalmazásnaplókban történik. A Webes kategóriák mező csak akkor jelenik meg, ha explicit módon van konfigurálva a tűzfalszabályzat-alkalmazás szabályaiban. Ha például egyetlen szabály sem tagadja meg kifejezetten a keresőmotorokat és a felhasználói kéréseket www.bing.com, csak egy alapértelmezett megtagadási üzenet jelenik meg.
Kategória-kivételek
A webkategória-szabályok kivételeit úgy hozhatja létre, hogy külön engedélyezési vagy letiltási szabálygyűjteményeket konfigurál magasabb prioritással. Például engedélyezze www.linkedin.com a 100-as prioritással, és tiltsa le a 200-as prioritású közösségi hálózatokat, hogy kivételt hozzon létre a közösségi hálózatok kategóriájára.
Webkategória-keresés
Azonosítsa a teljes tartománynév vagy URL-cím kategóriáját a Tűzfalszabályzat beállításai területen található Webkategória-ellenőrzés funkcióval. Ez segít meghatározni a célforgalomra vonatkozó alkalmazásszabályokat.
Fontos
A webkategória-ellenőrzés funkció használatához a felhasználónak Microsoft.Network/azureWebCategories/* hozzáféréssel kell rendelkeznie az előfizetés szintjén.
Kategóriamódosítás
A Tűzfalházirend-beállításokWebkategóriák lapján kérhet kategóriamódosítást, ha úgy véli, hogy egy teljes tartománynévnek vagy URL-címnek más kategóriába kell tartoznia, vagy javaslatot kell adnia egy kategorizálatlan teljes tartománynévre vagy URL-címre. A kategóriamódosítási jelentés elküldése után azonosítót kap a kérés állapotának nyomon követéséhez.
A TLS-leállítást nem támogató webkategóriák
Bizonyos webes forgalom, például az alkalmazottak állapotadatai, adatvédelmi és megfelelőségi okokból nem fejthetők vissza TLS-leállítással. A következő webkategóriák nem támogatják a TLS-leállítást:
- Education
- Finance
- Államigazgatás
- Egészség és gyógyszer
Az adott URL-címek TLS-megszakításának támogatásához manuálisan vegye fel őket az alkalmazásszabályokba. Adja hozzá www.princeton.edu például a webhely engedélyezéséhez.
Támogatott régiók
AzOknak a régióknak a listáját, ahol az Azure Firewall elérhető, tekintse meg a régiónként elérhető Azure-termékeket.