Megosztás a következőn keresztül:


Mi az az Azure Firewall Manager?

Az Azure Firewall Manager olyan biztonságkezelési szolgáltatás, amely központi biztonsági házirendet és útvonalkezelést biztosít a felhőalapú biztonsági szegélyek számára.

A Firewall Manager két hálózati architektúratípushoz biztosít biztonsági felügyeletet:

  • Biztonságos virtuális központ

    Az Azure Virtual WAN-központtal egy központi és küllőarchitektúrák egyszerű létrehozását lehetővé tevő, Microsoft által felügyelt erőforrás. Ha egy ilyen központhoz biztonsági és útválasztási szabályzatok vannak társítva, az biztonságos virtuális központnak minősül.

  • Központi virtuális hálózat

    Ez egy szabványos Azure-beli virtuális hálózat, amelyet saját maga hozhat létre és kezelhet. Ha a biztonsági szabályzatok egy ilyen központhoz vannak társítva, akkor azt hub virtuális hálózatnak nevezzük. Jelenleg csak az Azure Firewall Policy támogatott. A számítási feladatok kiszolgálóit és szolgáltatásait tartalmazó küllős virtuális hálózatokat társviszonyba helyezheti. Olyan különálló virtuális hálózatok tűzfalait is kezelheti, amelyek nem társviszonyban állnak küllőkkel.

A biztonságos virtuális központ és a központi virtuális hálózati architektúrák részletes összehasonlításáért tekintse meg az Azure Firewall Manager architektúrabeállításait.

firewall-manager

Az Azure Firewall Manager funkciói

Az Azure Firewall Manager a következő funkciókat kínálja:

Központi Azure Firewall üzembe helyezése és konfigurálása

Központilag üzembe helyezhet és konfigurálhat több Azure Firewall-példányt, amelyek különböző Azure-régiókra és előfizetésekre terjednek ki.

Hierarchikus szabályzatok (globális és helyi)

Az Azure Firewall Managerrel központilag kezelheti az Azure Firewall-szabályzatokat több biztonságos virtuális központban. A központi informatikai csapatok globális tűzfalszabályzatokat hozhatnak létre, amelyek a teljes szervezetre kiterjedő tűzfalszabályzatot kényszerítenek ki a csapatok között. A helyileg létrehozott tűzfalszabályzatok lehetővé teszik a DevOps önkiszolgáló modell használatát a jobb rugalmasság érdekében.

Integrálva a partneri biztonság mint szolgáltatással a fokozott biztonság érdekében

Az Azure Firewallon kívül a partnerbiztonságot szolgáltatásként (Standard kiadás CaaS) is integrálhatja, hogy nagyobb hálózati védelmet biztosítson a virtuális hálózat és a fiók internetkapcsolatai számára.

Ez a funkció csak biztonságos virtuális központ üzemelő példányokkal érhető el.

  • Virtuális hálózatok közötti forgalomszűrés (V2I)

    • Szűrje ki a kimenő virtuális hálózati forgalmat az előnyben részesített partnerbiztonsági szolgáltatóval.
    • Használjon fejlett, felhasználóbarát internetvédelmet az Azure-ban futó felhőbeli számítási feladatokhoz.
  • Ág–internet (B2I) forgalomszűrés

    Az Azure-kapcsolat és a globális disztribúció használatával egyszerűen hozzáadhat partnerszűrést az ágakhoz az internetes forgatókönyvekhez.

További információ a biztonsági partnerszolgáltatókról: Mik azok az Azure Firewall Manager biztonsági partnerszolgáltatók?

Központosított útvonalkezelés

Egyszerűen irányíthatja a forgalmat a biztonságos központba szűrés és naplózás céljából anélkül, hogy manuálisan kellene beállítania a felhasználó által definiált útvonalakat (UDR) a küllős virtuális hálózatokon.

Ez a funkció csak biztonságos virtuális központ üzemelő példányokkal érhető el.

Partnerszolgáltatókat használhat a Branch to Internet (B2I) forgalomszűréséhez, az Azure Firewall for Branch for Virtual Network (B2V), a virtuális hálózatról a virtuális hálózatra (V2V) és a virtuális hálózat internetre (V2I) történő szűréséhez.

DDoS védelmi terv

A virtuális hálózatokat társíthatja egy DDoS védelmi csomaggal az Azure Firewall Managerben. További információ: Azure DDoS Protection-csomag konfigurálása az Azure Firewall Managerrel.

Webalkalmazási tűzfalszabályzatok kezelése

Központilag létrehozhat és társíthat webalkalmazási tűzfal-(WAF-) szabályzatokat az alkalmazáskézbesítési platformokhoz, beleértve az Azure Front Doort és a Azure-alkalmazás Gatewayt is. További információ: Webalkalmazási tűzfalszabályzatok kezelése.

Régiónkénti elérhetőség

Az Azure Firewall-szabályzatok több régióban is használhatók. Létrehozhat például egy szabályzatot az USA nyugati régiójában, és használhatja az USA keleti régiójában.

Ismert problémák

Az Azure Firewall Manager az alábbi ismert problémákat tapasztalja:

Probléma Leírás Kockázatcsökkentés
Forgalom felosztása A Microsoft 365 és az Azure Nyilvános PaaS-forgalom felosztása jelenleg nem támogatott. Így a V2I-hez vagy a B2I-hez tartozó partnerszolgáltató kiválasztása az Összes Azure Public PaaS- és Microsoft 365-forgalmat is elküldi a partnerszolgáltatáson keresztül. A forgalom felosztásának vizsgálata a központban.
Az alapszabályzatnak a helyi házirenddel megegyező régióban kell lennie Hozza létre az összes helyi házirendet ugyanabban a régióban, mint az alapházirend. Továbbra is alkalmazhatja az egyik régióban létrehozott szabályzatot egy másik régióból származó biztonságos központban. Kivizsgálás
Központközi forgalom szűrése biztonságos virtuális központ üzemelő példányaiban Az Útválasztási szándék funkció támogatja a biztonságos virtuális központ és a biztonságos virtuális központ közötti kommunikáció szűrését. Engedélyezze az útválasztási szándékot a Virtual WAN Hubon az Inter-Hub beállításával az Azure Firewall Managerben. A funkcióval kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját . Az egyetlen virtuális WAN-útválasztási konfiguráció, amely lehetővé teszi a központközi forgalom szűrését, az útválasztási szándék.
Elágaztatási forgalom elágaztatása a privát forgalom szűrésének engedélyezésével Ha az útválasztási szándék engedélyezve van, az Azure Firewall biztonságos hub-forgatókönyvekben vizsgálhatja az ág-ág forgalmát. Engedélyezze az útválasztási szándékot a Virtual WAN Hubon az Inter-Hub beállításával az Azure Firewall Managerben. A funkcióval kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját . Az egyetlen virtual WAN-útválasztási konfiguráció, amely lehetővé teszi az ág számára a privát forgalom elágaztatásához, az útválasztási szándék.
Az azonos virtuális WAN-t használó biztonságos virtuális központoknak ugyanabban az erőforráscsoportban kell lenniük. Ez a viselkedés ma a Virtual WAN Hubshoz igazodik. Hozzon létre több virtuális WAN-ot, hogy a biztonságos virtuális központok különböző erőforráscsoportokban hozhatók létre.
A tömeges IP-cím hozzáadása sikertelen Ha több nyilvános IP-címet ad hozzá, a biztonságos központ tűzfala sikertelen állapotba kerül. Adjon hozzá kisebb nyilvános IP-cím-növekményeket. Például egyszerre 10-et adhat hozzá.
A DDoS Protection nem támogatott biztonságos virtuális központokkal A DDoS Protection nincs integrálva a vWAN-okkal. Kivizsgálás
A tevékenységnaplók nem támogatottak teljes mértékben A tűzfalszabályzat jelenleg nem támogatja a tevékenységnaplókat. Kivizsgálás
A nem teljes mértékben támogatott szabályok leírása A tűzfalszabályzat nem jeleníti meg a szabályok leírását egy ARM-exportálásban. Kivizsgálás
Az Azure Firewall Manager felülírja a statikus és egyéni útvonalakat, amelyek állásidőt okoznak a virtuális WAN-központban. Ne használja az Azure Firewall Managert az egyéni vagy statikus útvonalakkal konfigurált üzemelő példányok beállításainak kezelésére. A Firewall Manager Frissítések esetleg felülírhatják a statikus vagy egyéni útvonalbeállításokat. Ha statikus vagy egyéni útvonalakat használ, a Virtual WAN lapon kezelheti a biztonsági beállításokat, és elkerülheti a konfigurációt az Azure Firewall Manager használatával.

További információ : Forgatókönyv: Azure Firewall – egyéni.

Következő lépések