Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az Azure Firewall Manager olyan biztonságkezelési szolgáltatás, amely központi biztonsági házirendet és útvonalkezelést biztosít a felhőalapú biztonsági szegélyek számára.
A Firewall Manager két hálózati architektúratípushoz biztosít biztonsági felügyeletet:
Biztonságos virtuális központ
Az Azure Virtual WAN-központ egy Microsoft által felügyelt erőforrás, amely egyszerűen teszi lehetővé a központi és küllőarchitektúrák létrehozását. Ha egy ilyen központhoz biztonsági és útválasztási szabályzatok vannak társítva, az biztonságos virtuális központnak minősül.
Központi virtuális hálózat
Ez egy szabványos Azure-beli virtuális hálózat, amelyet saját maga hozhat létre és kezelhet. Ha a biztonsági szabályzatok egy ilyen központhoz vannak társítva, akkor azt hub virtuális hálózatnak nevezzük. Jelenleg csak az Azure Firewall Policy támogatott. Összekapcsolhatja azokat a virtuális hálózatokat, amelyek a számítási feladatok kiszolgálóit és szolgáltatásait tartalmazzák. Olyan különálló virtuális hálózatok tűzfalait is kezelheti, amelyek nincsenek kapcsolatban egyetlen küllős hálózattal sem.
A biztonságos virtuális központ és a központi virtuális hálózati architektúrák részletes összehasonlításáért tekintse meg az Azure Firewall Manager architektúrabeállításait?
Az Azure Firewall Manager funkciói
Az Azure Firewall Manager a következő funkciókat kínálja:
Központi Azure Firewall üzembe helyezése és konfigurálása
Központilag üzembe helyezhet és konfigurálhat több Azure Firewall-példányt, amelyek különböző Azure-régiókra és előfizetésekre terjednek ki.
Hierarchikus szabályzatok (globális és helyi)
Az Azure Firewall Managerrel központilag kezelheti az Azure Firewall-szabályzatokat több biztonságos virtuális központban. A központi informatikai csapatok globális tűzfalszabályzatokat hozhatnak létre, amelyek a teljes szervezetre kiterjedő tűzfalszabályzatot kényszerítenek ki a csapatok között. A helyileg létrehozott tűzfalszabályzatok lehetővé teszik a DevOps önkiszolgáló modell használatát a jobb rugalmasság érdekében.
Integrálva a partneri biztonság mint szolgáltatással a fokozott biztonság érdekében
Az Azure Firewallon kívül a partnerbiztonságot szolgáltatásként (SECaaS) is integrálhatja, hogy nagyobb hálózati védelmet biztosítson a virtuális hálózat és a fiók internetkapcsolatai számára.
Ez a funkció csak biztonságos virtuális központi telepítésekkel érhető el.
Virtuális hálózatok közötti forgalomszűrés (V2I)
- Szűrje ki a kimenő virtuális hálózati forgalmat az előnyben részesített partnerbiztonsági szolgáltatóval.
- Használjon fejlett, felhasználóbarát internetvédelmet az Azure-ban futó felhőbeli számítási feladatokhoz.
Ág–internet (B2I) forgalomszűrés
Az Azure-kapcsolat és a globális disztribúció használatával egyszerűen hozzáadhat partnerszűrést a fiókirodák internetkapcsolataihoz.
További információ a biztonsági partnerszolgáltatókról: Mik azok az Azure Firewall Manager biztonsági partnerszolgáltatók?
Központosított útvonalkezelés
Egyszerűen irányíthatja a forgalmat a biztonságos központba szűrés és naplózás céljából anélkül, hogy manuálisan kellene beállítania a felhasználó által definiált útvonalakat (UDR) a küllős virtuális hálózatokon.
Ez a funkció csak biztonságos virtuális központ telepítésekkel érhető el.
Partnerszolgáltatókat használhat a Branch to Internet (B2I) forgalomszűréséhez, az Azure Firewallal együtt a Branch to Virtual Network (B2V), a virtuális hálózatból virtuális hálózatba (V2V), és a virtuális hálózatból az internetre (V2I) irányuló forgalom szűrésére.
DDoS elleni védelmi terv
A virtuális hálózatokat társíthatja egy DDoS védelmi csomaggal az Azure Firewall Managerben. További információ: Azure DDoS Protection-csomag konfigurálása az Azure Firewall Managerrel.
Webalkalmazási tűzfalszabályzatok kezelése
Központilag létrehozhat és társíthat webalkalmazási tűzfal-(WAF-) szabályzatokat az alkalmazáskézbesítési platformokhoz, beleértve az Azure Front Doort és a Azure-alkalmazás Gatewayt is. További információ: Webalkalmazási tűzfalszabályzatok kezelése.
Régiónkénti elérhetőség
Az Azure Firewall-szabályzatok több régióban is használhatók. Létrehozhat például egy szabályzatot az USA nyugati régiójában, és használhatja az USA keleti régiójában.
Ismert problémák
Az Azure Firewall Manager az alábbi ismert problémákat tapasztalja:
| Probléma | Leírás | Mitigáció |
|---|---|---|
| Forgalom felosztása | A Microsoft 365 és az Azure Nyilvános PaaS-forgalom felosztása jelenleg nem támogatott. Így a V2I-hez vagy a B2I-hez tartozó partnerszolgáltató kiválasztása az Összes Azure Public PaaS- és Microsoft 365-forgalmat is elküldi a partnerszolgáltatáson keresztül. | A forgalom felosztásának vizsgálata a központban. |
| Az alapelveknek ugyanabban a régióban kell lenniük, mint a helyi házirend. | Hozza létre az összes helyi házirendet ugyanabban a régióban, ahol az alapházirend található. Továbbra is alkalmazhatja az egyik régióban létrehozott szabályzatot egy másik régióból származó biztonságos központban. | Kivizsgálás |
| Hubok közötti forgalom szűrése biztonságos virtuális központi telepítésekben | A Routing Intent funkció támogatja két biztonságos virtuális központ közötti kommunikáció szűrését. | Engedélyezze az útválasztási szándékot a Virtual WAN Hubon az Inter-hub értékének Engedélyezett beállításával az Azure Firewall Managerben. A funkcióval kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját . Az egyetlen virtuális WAN-útválasztási konfiguráció, amely lehetővé teszi a központközi forgalom szűrését, az útválasztási szándék. |
| Kétszintű forgalomkezelés privát forgalomszűrés engedélyezésével | Ha az útválasztási szándék engedélyezve van, az Azure Firewall biztonságos hub-forgatókönyvekben vizsgálhatja az ág-ág forgalmát. | Engedélyezze az útválasztási szándékot a Virtual WAN Hubon az Inter-hub opciót Engedélyezett állapotba állítva az Azure Firewall Managerben. A funkcióval kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját . Az egyetlen virtual WAN-útválasztási konfiguráció, amely lehetővé teszi az ágak közötti privát forgalmat, az az útválasztási cél. |
| Az azonos virtuális WAN-t használó biztonságos virtuális központoknak ugyanabban az erőforráscsoportban kell lenniük. | Ez a viselkedés ma a Virtual WAN Hubshoz igazodik. | Hozzon létre több virtuális WAN-ot, hogy a biztonságos virtuális központok különböző erőforráscsoportokban hozhatók létre. |
| A tömeges IP-cím hozzáadása sikertelen | Ha több nyilvános IP-címet ad hozzá, a biztonságos központ tűzfala sikertelen állapotba kerül. | Adjon hozzá kisebb nyilvános IP-cím-növekményeket. Például egyszerre 10-et adhat hozzá. |
| Biztonságos virtuális központokkal a DDoS Protection nem támogatott. | A DDoS Protection nincs integrálva a vWAN-okkal. | Kivizsgálás Mostantól hozzárendelheti a bérlőiben létrehozott nyilvános IP-címet a biztonságos központokhoz. A nyilvános IP-címek konfigurálhatók az Azure DDoS Protection használatával. További információ: Ügyfél által biztosított nyilvános IP-címtámogatás a védett központokban (előzetes verzió). |
| A tevékenységnaplók nem teljes mértékben támogatottak | A tűzfalszabályzat jelenleg nem támogatja a tevékenységnaplókat. | Kivizsgálás |
| A nem teljes mértékben támogatott szabályok leírása | A tűzfalszabályzat nem jeleníti meg a szabályok leírását egy ARM-exportálásban. | Kivizsgálás |
| Az Azure Firewall Manager felülírja a statikus és egyéni útvonalakat, ami állásidőt okoz a virtuális WAN-hubban. | Ne használja az Azure Firewall Managert az egyéni vagy statikus útvonalakkal konfigurált üzemelő példányok beállításainak kezelésére. A Firewall Manager frissítései felülírhatják a statikus vagy egyéni útvonalbeállításokat. | Ha statikus vagy egyéni útvonalakat használ, a Virtual WAN lapon kezelheti a biztonsági beállításokat, és elkerülheti a konfigurációt az Azure Firewall Manager használatával. További információkért lásd: Forgatókönyv: Azure Firewall – egyéni. |
Következő lépések
- Learn modul: Bevezetés az Azure Firewall Manager használatába
- Az Azure Firewall Manager üzembe helyezésének áttekintése
- Tudnivalók a biztonságos virtuális központokról
- További információ az Azure hálózati biztonságáról