Azure Firewall Prémium funkciók
Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek, például a fizetési és egészségügyi iparágak igényeinek.
A szervezetek prémium szintű készletmegőrzési egység (SKU) funkciókat használhatnak, például az IDPS-t és a TLS-vizsgálatot, hogy megakadályozzák a kártevők és vírusok terjedését a hálózatok között oldalirányú és vízszintes irányban. Az IDPS és a TLS-vizsgálat megnövekedett teljesítményigényének kielégítése érdekében Azure Firewall Premium egy hatékonyabb virtuálisgép-termékváltozatot használ. A Standard termékváltozathoz hasonlóan a Prémium termékváltozat is zökkenőmentesen skálázható 100 Gb/s-ra, és integrálható a rendelkezésre állási zónákkal a 99,99%-os szolgáltatásiszint-szerződés (SLA) támogatásához. A prémium termékváltozat megfelel a Payment Card Industry Data Security Standard (PCI DSS) környezet igényeinek.
Azure Firewall Premium a következő funkciókat tartalmazza:
- TLS-vizsgálat – visszafejti a kimenő forgalmat, feldolgozza az adatokat, majd titkosítja az adatokat, és elküldi a célnak.
- IDPS – A hálózati behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózati tevékenységek rosszindulatú tevékenységek megfigyelését, a tevékenységre vonatkozó információk naplózását, a jelentéskészítést és a letiltására tett kísérleteket.
- URL-szűrés – kibővíti Azure Firewall teljes tartománynév-szűrési funkcióját, hogy figyelembe vegye a teljes URL-címet és a további elérési utakat. Például a
www.contoso.com/a/chelyettwww.contoso.com. - Webkategóriák – a rendszergazdák engedélyezhetik vagy letilthatják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségimédia-webhelyekhez és más webhelyekhez.
TLS-vizsgálat
A TLS (Transport Layer Security) protokoll elsősorban titkosítást biztosít az adatvédelem, az integritás és a hitelesség érdekében két vagy több kommunikáló alkalmazás tanúsítványainak használatával. Az alkalmazásrétegben fut, és széles körben használják a HTTP protokoll titkosítására.
A titkosított forgalom biztonsági kockázatot jelenthet, és elrejtheti az illegális felhasználói tevékenységeket és a rosszindulatú forgalmat. Azure Firewall TLS-vizsgálat nélkül (az alábbi ábrán látható módon) nincs látható a titkosított TLS-alagútban áramló adatokra, így nem tud teljes körű védelmet biztosítani.
A második diagram azt mutatja be, hogy a Prémium Azure Firewall hogyan szünteti meg és vizsgálja meg a TLS-kapcsolatokat a HTTPS-ben végzett rosszindulatú tevékenységek észleléséhez, riasztásához és elhárításához. A tűzfal valójában két dedikált TLS-kapcsolatot hoz létre: egyet a webkiszolgálóval (contoso.com) és egy másikat az ügyféllel. Az ügyfél által megadott hitelesítésszolgáltatói tanúsítvány használatával létrehoz egy menet közbeni tanúsítványt, amely felváltja a webkiszolgáló tanúsítványát, és megosztja az ügyféllel a tűzfal és az ügyfél közötti TLS-kapcsolat létrehozásához.
Azure Firewall 
Azure Firewall TLS-vizsgálattal: 
A Azure Firewall a következő használati esetek támogatottak:
Kimenő TLS-vizsgálat
Az Azure-ban üzemeltetett belső ügyfélről az internetre küldött rosszindulatú forgalom elleni védelem érdekében.
East-West TLS-vizsgálat (magában foglalja a helyszíni hálózatról/hálózatra érkező forgalmat is)
Az Azure számítási feladatainak védelme az Azure-ból küldött potenciális rosszindulatú forgalom ellen.
Az Azure Web Application Firewall a következő használati esetet támogatja Azure Application Gateway:
Bejövő TLS-vizsgálat
Az Azure-ban üzemeltetett belső kiszolgálók vagy alkalmazások védelme az internetről vagy külső hálózatról érkező rosszindulatú kérésekkel szemben. Application Gateway végpontok közötti titkosítást biztosít.
Tipp
A TLS 1.0 és 1.1 elavult, és nem támogatott. A TLS/Secure Sockets Layer (SSL) TLS 1.0-s és 1.1-es verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitáson, nem ajánlottak. Migrálás a TLS 1.2-be a lehető leghamarabb.
A prémium szintű köztes hitelesítésszolgáltatói tanúsítványokkal kapcsolatos Azure Firewall további információkért lásd: Azure Firewall Premium-tanúsítványok.
IDPS
A hálózati behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózat rosszindulatú tevékenységek megfigyelését, a tevékenységre vonatkozó információk naplózását, a jelentéskészítést és a letiltására tett kísérleteket.
Azure Firewall Premium aláírásalapú IDPS-t biztosít, amely lehetővé teszi a támadások gyors észlelését bizonyos minták, például a hálózati forgalom bájtütemezései vagy a kártevők által használt ismert rosszindulatú utasítássorozatok keresésével. Az IDPS-aláírások alkalmazás- és hálózati szintű forgalomra (3–7. réteg), teljes körűen felügyeltek és folyamatosan frissülnek. Az IDPS alkalmazható a bejövő, küllős (kelet-nyugati) és kimenő forgalomra. A küllős (kelet-nyugati) küllős forgalom magában foglalja azokat a forgalmat, amelyek egy helyszíni hálózatról vagy oda mennek. Az IDPS privát IP-címtartományait a Privát IP-címtartományok előzetes verzió funkcióval konfigurálhatja. További információ: IDPS Privát IP-tartományok.
Az Azure Firewall aláírások/szabálykészletek a következők:
- A tényleges kártevők ujjlenyomatának, a parancsok és vezérlés, a biztonsági rés kiaknázása, valamint a hagyományos megelőzési módszerek által kihagyott vad rosszindulatú tevékenységek hangsúlyozása.
- Több mint 58 000 szabály több mint 50 kategóriában.
- A kategóriák közé tartoznak a kártevők parancsai és vezérlése, az adathalászat, a trójaiak, a botnetek, az információs események, a biztonsági rések, a SCADA hálózati protokollok, a biztonsági rések kihasználása kit tevékenység stb.
- Naponta 20–40 új szabály jelenik meg.
- Alacsony hamis pozitív értékelés a legkorszerűbb kártevőészlelési technikák, például a globális érzékelő hálózati visszajelzési hurok használatával.
Az IDPS lehetővé teszi a nem titkosított forgalomhoz tartozó összes porton és protokollon belüli támadások észlelését. Ha azonban a HTTPS-forgalmat meg kell vizsgálni, Azure Firewall a TLS-ellenőrzési funkciójával visszafejtheti a forgalmat, és hatékonyabban észlelheti a rosszindulatú tevékenységeket.
Az IDPS-megkerülési lista lehetővé teszi, hogy ne szűrje a forgalmat a bypass listában megadott IP-címekre, tartományokra és alhálózatokra.
IDPS privát IP-címtartományok
A Premium IDPS Azure Firewall privát IP-címtartományokkal azonosítja, hogy a forgalom bejövő, kimenő vagy belső (kelet-nyugati). A rendszer minden aláírást adott forgalomirányra alkalmaz az aláírási szabályok táblázatában látható módon. Alapértelmezés szerint csak az IANA RFC 1918 által meghatározott tartományok minősülnek magánhálózati IP-címeknek. Így a privát IP-címtartományból egy privát IP-címtartományba küldött forgalom belsőnek minősül. A magánhálózati IP-címek módosításához mostantól igény szerint egyszerűen szerkesztheti, eltávolíthatja vagy felveheti a tartományokat.
IDPS-aláírási szabályok
Az IDPS-aláírási szabályok lehetővé teszik a következőt:
Szabjon testre egy vagy több aláírást, és váltson letiltott, riasztási vagy riasztási és megtagadási módra.
Ha például hamis pozitív értéket kap, ha egy hibás aláírás miatt Azure Firewall blokkol egy jogos kérést, használhatja a hálózati szabályok naplóiból származó aláírásazonosítót, és beállíthatja az IDPS-módot kikapcsolva. Ez azt eredményezi, hogy a „hibás” aláírás figyelmen kívül lesz hagyva, és feloldja a téves pozitív problémát.
Ugyanezt a finomhangolási eljárást alkalmazhatja olyan aláírásokhoz is, amelyek túl sok alacsony prioritású riasztást hoznak létre, ezáltal zavarják a magas prioritású riasztások láthatóságát.
Holisztikus nézet a teljes 55 000 aláírásról
Intelligens keresés
Lehetővé teszi, hogy a teljes aláírási adatbázisban bármilyen attribútum alapján keressen. Megkeresheti például az adott CVE-azonosítót, hogy kiderítse, milyen aláírások gondoskodnak erről a CVE-ről, ha beírja az azonosítót a keresősávba.
Az IDPS-aláírási szabályok a következő tulajdonságokkal rendelkeznek:
| Oszlop | Leírás |
|---|---|
| Aláírás azonosítója | Az egyes aláírások belső azonosítója. Ez az azonosító Azure Firewall hálózati szabályok naplóiban is megjelenik. |
| Mód | Azt jelzi, hogy az aláírás aktív-e vagy sem, valamint azt, hogy a tűzfal elveti-e a megfelelő forgalmat, vagy riasztásokat küld-e. Az alábbi aláírási mód felülbírálhatja az IDPS módot - Letiltva: Az aláírás nincs engedélyezve a tűzfalon. - Riasztás: Gyanús forgalom észlelésekor riasztások jelennek meg. - Riasztás és megtagadás: Riasztásokat kap, és a gyanús forgalom le van tiltva. Néhány aláírási kategória "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásuknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek ezt felülbírálhatják úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. Megjegyzés: Az IDPS-riasztások a portálon hálózati szabálynapló-lekérdezéssel érhetők el. |
| Súlyosság | Minden aláíráshoz tartozik egy súlyossági szint és hozzárendelt prioritás, amely jelzi annak valószínűségét, hogy az aláírás tényleges támadás. - Alacsony (3. prioritás): A rendellenes esemény olyan esemény, amely általában nem fordul elő egy hálózaton, vagy a rendszer naplózza az információs eseményeket. A támadás valószínűsége alacsony. - Közepes (2. prioritás): Az aláírás gyanús jellegű támadást jelez. A rendszergazdának további vizsgálatot kell végeznie. - Magas (1. prioritás): A támadási aláírások azt jelzik, hogy súlyos jellegű támadást indítottak. Kevés a valószínűsége annak, hogy a csomagoknak törvényes célja van. |
| Irány | Az a forgalomirány, amelyre az aláírás érvényes. - Bejövő: Az aláírás csak az internetről érkező és a konfigurált magánhálózati IP-címtartományba irányuló forgalomra vonatkozik. - Kimenő: Az aláírás csak a konfigurált magánhálózati IP-címtartományból az internetre küldött forgalomra vonatkozik. - Kétirányú: Az aláírás minden forgalomirányra érvényes. |
| Group | A csoport neve, amelyhez az aláírás tartozik. |
| Leírás | A következő három részből épül fel: - Kategória neve: Az aláíráshoz tartozó kategórianév Azure Firewall IDPS-aláírási szabálykategóriákban leírtak szerint. - Az aláírás magas szintű leírása - CVE-azonosító (nem kötelező) abban az esetben, ha az aláírás egy adott CVE-hez van társítva. |
| Protokoll | Az aláíráshoz társított protokoll. |
| Forrás-/célportok | Az aláíráshoz társított portok. |
| Legutóbbi frissítés | Az aláírás bevezetésének vagy módosításának utolsó dátuma. |
URL-szűrés
Az URL-szűrés kiterjeszti Azure Firewall teljes tartománynév-szűrési képességét, hogy egy teljes URL-címet figyelembe vegyünk. Például a www.contoso.com/a/c helyett www.contoso.com.
AZ URL-szűrés HTTP- és HTTPS-forgalomra is alkalmazható. A HTTPS-forgalom vizsgálatakor Azure Firewall Premium a TLS-ellenőrzési funkciójával visszafejtheti a forgalmat, és kinyerheti a cél URL-címet annak ellenőrzéséhez, hogy engedélyezve van-e a hozzáférés. A TLS-vizsgálathoz az alkalmazásszabály szintjén kell bejelentkezni. Ha engedélyezve van, URL-címeket használhat a HTTPS-szűréshez.
Webkategóriák
A webes kategóriák lehetővé teszik a rendszergazdák számára, hogy engedélyezik vagy megtagadják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségi webhelyekhez és más webhelyekhez. A webkategóriákat a Azure Firewall Standard is tartalmazza, de Azure Firewall Prémium verzióban finomhangoltabb. A standard termékváltozatban a teljes tartománynév alapján egyező webkategóriák funkcióval ellentétben a prémium szintű termékváltozat a HTTP- és HTTPS-forgalom teljes URL-címe alapján megegyezik a kategóriával.
Fontos
A Microsoft a következő néhány hétben egy frissített és új webes tartalomszűrési kategóriacsatornára vált. Ez részletesebb és további alkategóriákat tartalmaz.
Ennek eredményeképpen a következő webkategóriák már nem érhetők el:
- Gyermek nem megfelelő, üdvözlőlapok és iskolai csalás.
Emellett a kategóriaellenőrzési és a kategóriamódosítási funkciók ideiglenesen le vannak tiltva a következő néhány hónapban. Ez a cikk akkor frissül, amikor ezek a funkciók visszatérnek.
A probléma elhárításához javasoljuk, hogy a kritikus webhelyeket (FQDN-eket és URL-címeket) közvetlenül az alkalmazásszabályokban konfigurálja a Azure Portal/Azure PowerShell/CLI-n keresztül biztonsági másolatként. További információ: Azure Firewall üzembe helyezése és konfigurálása a Azure Portal használatával.
A webkategória-naplózás továbbra is a várt módon fog működni. A besorolási viselkedés egyéb jelentős változásait nem jelezzük előre, de javasoljuk, hogy jelentsen kategorizálási problémákat, vagy kérjen kategóriaellenőrzést a Microsoft Azure-támogatás keresztül.
Ha például Azure Firewall elfog egy HTTPS-kérést a számárawww.google.com/news, a következő kategorizálás várható:
Firewall Standard – a rendszer csak az FQDN részt vizsgálja meg, ezért
www.google.comkeresőmotorként van kategorizálva.Premium tűzfal – a teljes URL-cím megvizsgálva van, így
www.google.com/newsa hírek kategóriába tartozik.
A kategóriák a felelősség, a nagy sávszélesség, az üzleti használat, a termelékenység csökkenése, az általános szörfözés és a kategorizálatlan kategóriák súlyossága alapján vannak rendezve. A webkategóriák részletes leírását a Azure Firewall webkategóriák című témakörben találja.
Webkategória naplózása
Az alkalmazásnaplókban megtekintheti a webes kategóriák alapján szűrt forgalmat. A Webkategóriák mező csak akkor jelenik meg, ha explicit módon lett konfigurálva a tűzfalszabályzat-alkalmazásszabályokban. Ha például nem rendelkezik olyan szabállyal, amely kifejezetten tagadja a keresőmotorokat, és egy felhasználó arra kéri, hogy lépjen www.bing.com, csak egy alapértelmezett megtagadási üzenet jelenik meg a webes kategóriák üzenete helyett. Ennek az az oka, hogy a webkategória nincs explicit módon konfigurálva.
Kategóriakivételeket
A webkategória-szabályok alól kivételeket hozhat létre. Hozzon létre egy külön engedélyezési vagy megtagadási szabálygyűjteményt magasabb prioritással a szabálygyűjtemény-csoportban. Konfigurálhat például egy olyan szabálygyűjteményt, amely a 100-ás prioritást engedélyezi www.linkedin.com , egy olyan szabálygyűjteménysel, amely megtagadja a 200-ás prioritású közösségi hálózatkezelést . Ez kivételt hoz létre az előre definiált közösségi hálózati webkategória esetében.
Webkategória-keresés
A Webkategória-ellenőrzés funkcióval azonosíthatja, hogy egy adott teljes tartománynév vagy URL-cím melyik kategóriába tartozik. Ennek használatához válassza a Webkategóriák lapot a Tűzfalházirend-beállítások területen. Ez akkor hasznos, ha alkalmazásszabályokat határoz meg a célforgalomhoz.
Fontos
A Webkategória-ellenőrzés funkció használatához a felhasználónak a Microsoft.Network/azureWebCategories/getwebcategory/action hozzáféréssel kell rendelkeznie az előfizetési szinthez, nem pedig az erőforráscsoport szintjéhez.
Kategóriaváltás
A Tűzfalházirend-beállításokWebkategóriák lapján kérhet kategóriamódosítást, ha:
úgy véli, hogy egy teljes tartománynévnek vagy URL-címnek más kategóriába kell tartoznia
vagy
nem kategorizált teljes tartománynévhez vagy URL-címhez javasolt kategóriával rendelkezik
A kategóriaváltozási jelentés elküldése után egy jogkivonatot kap az értesítésekben, amely jelzi, hogy megkaptuk a feldolgozásra vonatkozó kérést. A jogkivonat keresőmezőbe való beírásával ellenőrizheti, hogy a kérés folyamatban van-e, megtagadva vagy jóváhagyva van-e. Ehhez mentse a jogkivonat azonosítóját.
Támogatott régiók
A Azure Firewall támogatott régióiért lásd: Régiónként elérhető Azure-termékek.