Mi az Azure Firewall?
Itt megismerheti az Azure Firewall és az Azure Firewall Manager alapjait. Ez az áttekintés segít eldönteni, hogy az Azure Firewall és az Azure Firewall Manager megfelel-e a Contoso hálózati biztonsági stratégiájának.
Az Azure Firewall áttekintése
Az Azure Firewall egy felhőalapú biztonsági szolgáltatás, amely megvédi az Azure-beli virtuális hálózati erőforrásokat a bejövő és kimenő fenyegetésektől. A következő néhány szakaszban megismerheti az Azure Firewall alapjait és főbb funkcióit.
Mi az a tűzfal?
A tűzfal egy hálózati biztonsági funkció, amely egy megbízható hálózat és egy nem megbízható hálózat, például az internet között helyezkedik el. A tűzfal feladata az összes bejövő és kimenő hálózati forgalom elemzése. Az elemzés alapján a tűzfal vagy engedélyezi a forgalmat, vagy tagadja a forgalmat. Ideális esetben a tűzfal minden jogszerű forgalmat engedélyez, miközben megtagadja a rosszindulatú forgalmat, például a kártevőket és a behatolási kísérleteket.
Alapértelmezés szerint a legtöbb tűzfal megtagadja az összes bejövő és kimenő forgalmat. Amikor egy tűzfal elemzi a hálózati forgalmat, ellenőrzi, hogy teljesülnek-e bizonyos feltételek, mielőtt lehetővé teszi a forgalom áthaladását. Ezek a feltételek lehetnek egy megadott IP-cím, teljes tartománynév, hálózati port, hálózati protokoll vagy bármilyen kombináció.
Ezek a feltételek együttesen definiálnak egy tűzfalszabályt. Előfordulhat, hogy egy tűzfalnak csak egyetlen szabálya van, de a legtöbb tűzfal számos szabálysal van konfigurálva. Csak a tűzfal szabályainak megfelelő hálózati forgalom haladhat át.
Egyes tűzfalak hardveralapúak, és tűzfalként működő eszközökben találhatók. Más tűzfalak olyan szoftverprogramok, amelyek általános célú számítástechnikai eszközökön futnak.
Mi az Azure Firewall?
Az Azure Firewall egy felhőalapú tűzfalszolgáltatás. A legtöbb konfigurációban az Azure Firewall egy központi virtuális hálózaton belül van kiépítve. A küllős virtuális hálózatokra és a helyszíni hálózatra érkező és onnan érkező forgalom áthalad a tűzfalon a központi hálózattal.
Az internetre irányuló és az onnan érkező összes forgalom alapértelmezés szerint le van tagadva. A forgalom csak akkor engedélyezett, ha különböző teszteket végez, például a konfigurált tűzfalszabályokat.
Megjegyzés:
Az Azure Firewall nem csak az internetre irányuló és az onnan érkező forgalom esetén működik, hanem belsőleg is. A belső forgalomszűrés magában foglalja a küllők közötti forgalmat és a hibrid felhőbeli forgalmat a helyszíni hálózat és az Azure-beli virtuális hálózat között.
Az Azure Firewall Standard főbb funkciói
Az alábbi táblázat az Azure Firewall Standard főbb funkcióit sorolja fel.
| Funkció | Leírás |
|---|---|
| Forráshálózati címfordítás (SNAT) | A rendszer minden kimenő forgalmat az Azure Firewall-példány privát IP-címére küld. Az egyes forrás virtuális gépek IP-címe az Azure Firewall-példány statikus nyilvános IP-címére lesz lefordítva. Az összes külső célhelyen úgy tűnik, hogy a hálózati forgalom egyetlen nyilvános IP-címről származik. |
| Célhálózati címfordítás (DNAT) | A külső forrásokból érkező összes bejövő forgalom az Azure Firewall-példány nyilvános IP-címére kerül. Az engedélyezett forgalom a virtuális hálózaton lévő célerőforrás privát IP-címére lesz lefordítva. |
| Alkalmazásszabályok | A teljes tartománynevek listájára irányuló kimenő forgalmat korlátozó szabályok. Engedélyezheti például, hogy a kimenő forgalom hozzáférjen egy adott SQL-adatbázispéldány teljes tartománynevéhez. |
| Hálózatszabályok | A bejövő és kimenő forgalomra vonatkozó szabályok a hálózati paraméterek alapján. Ezek a paraméterek tartalmazzák a célhelyet vagy a forrás IP-címét; a hálózati port; és a hálózati protokollt. |
| Fenyegetésészlelési intelligencia | Szűri a bejövő és kimenő forgalmat a Microsoft fenyegetésfelderítési szabályai alapján, amelyek ismert rosszindulatú IP-címeket és tartományneveket határoznak meg. Az Azure Firewall két fenyegetésintelligencia-mód egyikével konfigurálható: riasztást kaphat, ha a forgalom meghiúsul egy fenyegetésintelligencia-szabályon, vagy figyelmezteti Önt, és megtagadja a forgalmat. |
| Állapotalapú | A hálózati csomagokat nem csak egyenként, hanem kontextusban is megvizsgálja. Ha egy vagy több csomag váratlanul érkezik az aktuális forgalom miatt, az Azure Firewall rosszindulatúként kezeli a csomagokat, és tagadja őket. |
| Alagúthasználat kényszerítése | Lehetővé teszi az Azure Firewall számára, hogy az összes kimenő forgalmat egy megadott hálózati erőforráshoz irányozza át, nem pedig közvetlenül az internetre. A hálózati erőforrás lehet egy helyszíni hardveres tűzfal vagy egy hálózati virtuális berendezés, amely feldolgozza a forgalmat, mielőtt engedélyezi az interneten való áthaladását. |
| Címketámogatás | Az Azure Firewall a egyszerűbb szabálykonfiguráció érdekében támogatja a szolgáltatáscímkéket és az FQDN-címkéket. A szolgáltatáscímkék olyan szöveges entitások, amelyek egy Azure-szolgáltatást jelölnek. Az AzureCosmosDB például az Azure Cosmos DB szolgáltatás szolgáltatáscímkéje. Az FQDN-címkék olyan szöveges entitások, amelyek a népszerű Microsoft-szolgáltatások társított tartománynevek egy csoportját jelölik. A WindowsVirtualDesktop például az Azure Virtual Desktop-forgalom teljes tartománynév-címkéje. |
| DNS-proxy | Ha engedélyezve van a DNS-proxy, az Azure Firewall feldolgozhatja és továbbíthatja a DNS-lekérdezéseket egy virtuális hálózat(ok)ból a kívánt DNS-kiszolgálóra. |
| Custom DNS | Lehetővé teszi az Azure Firewall konfigurálását a saját DNS-kiszolgáló használatára, miközben biztosítja, hogy a tűzfal kimenő függőségei továbbra is feloldva legyenek az Azure DNS-sel. |
| Web categories | A webkategóriák funkció lehetővé teszi a rendszergazdák számára, hogy engedélyezik vagy megtagadják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségimédia-webhelyekhez és más webhelyekhez. |
| Figyelés | Az Azure Firewall naplózza az összes bejövő és kimenő hálózati forgalmat, és elemezheti az eredményként kapott naplókat az Azure Monitor, a Power BI, az Excel és más eszközök használatával. |
Mi az Az Azure Firewall Premium?
Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek, például a fizetési és egészségügyi iparágak igényeinek.
Az Azure Firewall Premium főbb funkciói
Az alábbi táblázat az Azure Firewall Premium főbb funkcióit sorolja fel.
| Funkció | Leírás |
|---|---|
| TLS-vizsgálat | Visszafejti a kimenő forgalmat, feldolgozza az adatokat, majd titkosítja az adatokat, és elküldi azokat a célhelyre. |
| IDPS | A hálózati behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózati tevékenységek rosszindulatú tevékenységek monitorozását, a tevékenység naplóadatainak naplózását, a jelentéskészítést, és opcionálisan a letiltására tett kísérleteket. |
| URL-szűrés | Kibővíti az Azure Firewall teljes tartománynév-szűrési funkcióját, hogy teljes URL-címet vegyünk figyelembe. Például ahelyett, www.contoso.com/a/c hogy www.contoso.com. |
| Web categories | Rendszergazda istratorok engedélyezhetik vagy megtagadhatják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségi oldalakhoz és más webhelyekhez. A webes kategóriák finomhangolhatók az Azure Firewall Premiumban. |
Mi az az Azure Firewall Basic?
Az Azure Firewall Basic kis- és közepes méretű (SMB) ügyfelek számára készült az Azure-felhőkörnyezetek biztonságossá tételéhez. Megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet.
Az Azure Firewall Basic hasonló a Firewall Standardhoz, de a következő fő korlátozásokkal rendelkezik:
- Csak a fenyegetés inteles riasztási módját támogatja.
- Kijavítottuk a skálázási egységet a szolgáltatás két virtuálisgép-háttérpéldányon való futtatásához.
- 250 Mb/s becsült átviteli sebességgel rendelkező környezetekhez ajánlott.
Az Azure Firewall Manager áttekintése
Az Azure Firewall Manager központi konfigurációs és felügyeleti pontot biztosít több Azure Firewall-példányhoz. Az Azure Firewall Managerrel létrehozhat egy vagy több tűzfalszabályzatot, és gyorsan alkalmazhatja őket több tűzfalra.
Mi az a tűzfalszabályzat?
Egy Azure Firewall konfigurálása bonyolult lehet. Előfordulhat például, hogy a tűzfal több szabálygyűjteménysel is konfigurálható. A gyűjtemény a következő elemek bármelyikének vagy mindegyikének kombinációja:
- Egy vagy több hálózati címfordítási (NAT) szabály
- Egy vagy több hálózati szabály
- Egy vagy több alkalmazásszabály
Ha más tűzfalbeállításokat, például egyéni DNS-t és fenyegetésfelderítési szabályokat is tartalmaz, az egyetlen tűzfal konfigurálása nagy terhet jelenthet. A teher hozzáadása két gyakori hálózati biztonsági forgatókönyv:
- A hálózati architektúrákhoz több tűzfal szükséges.
- Azt szeretné, hogy az egyes tűzfalak a mindenkire vonatkozó alapszintű biztonsági szabályokat, valamint a kijelölt csoportokra, például fejlesztőkre, adatbázis-felhasználókra és a marketingosztályra vonatkozó speciális szabályokat is implementálják.
Az ilyen és hasonló tűzfalforgatókönyvek kezelésének egyszerűbbé tétele érdekében tűzfalszabályzatokat implementálhat. A tűzfalszabályzat olyan Azure-erőforrás, amely egy vagy több NAT-, hálózati és alkalmazásszabály-gyűjteményt tartalmaz. Emellett egyéni DNS-beállításokat, fenyegetésfelderítési beállításokat és egyebeket is tartalmaz.
A lényeg az, hogy az Azure egy tűzfalszabályzat nevű erőforrást kínál. A létrehozott tűzfalszabályzat az erőforrás egy példánya. Külön erőforrásként gyorsan alkalmazhatja a szabályzatot több tűzfalra az Azure Firewall Manager használatával. Létrehozhat egy szabályzatot alapházirendként, majd speciálisabb szabályzatokkal örökölheti az alapházirend szabályait.
Az Azure Firewall Manager főbb funkciói
Az alábbi táblázat az Azure Firewall Manager főbb funkcióit sorolja fel.
| Funkció | Leírás |
|---|---|
| Központi felügyelet | Az összes tűzfalkonfiguráció kezelése a teljes hálózaton. |
| Több tűzfal kezelése | Egyetlen felületről tetszőleges számú tűzfalat helyezhet üzembe, konfigurálhat és figyelhet. |
| Több hálózati architektúrát támogat | A szabványos Azure-beli virtuális hálózatokat és az Azure Virtual WAN Hubokat egyaránt védi. |
| Automatizált forgalomirányítás | A rendszer automatikusan átirányítja a hálózati forgalmat a tűzfalra (ha csak az Azure Virtual WAN Hubot használja). |
| Hierarchikus szabályzatok | Lehetővé teszi az úgynevezett szülő- és gyermek tűzfalszabályzatok létrehozását. A szülőszabályzat tartalmazza a globálisan alkalmazni kívánt szabályokat és beállításokat. A gyermekszabályzat örökli a szülő összes szabályát és beállításait. |
| Külső biztonsági szolgáltatók támogatása | Lehetővé teszi a külső biztonsági megoldások szolgáltatásként való integrálását (Standard kiadás CaaS) a hálózat internetkapcsolatának védelme érdekében. |
| DDoS védelmi terv | A virtuális hálózatokat társíthatja egy DDoS védelmi csomaggal az Azure Firewall Managerben. |
| Webalkalmazási tűzfalszabályzatok kezelése | Központilag létrehozhat és társíthat webalkalmazási tűzfal-(WAF-) szabályzatokat az alkalmazáskézbesítési platformokhoz, beleértve az Azure Front Doort és a Azure-alkalmazás Gatewayt is. |
Megjegyzés:
Ha lehetővé teszi harmadik féltől származó Standard kiadás CaaS-megoldások integrálását, a hálózati biztonsági stratégia az lehet, hogy az Azure Firewall használatával figyeli a helyi hálózati forgalmat, miközben a külső Standard kiadás CaaS-szolgáltatót használja az internetes forgalom figyelésére.
Architektúralehetőségek
Az Azure Firewall Manager a következő két hálózati architektúrához biztosít biztonsági felügyeletet:
- Központi virtuális hálózat. Egy szabványos Azure-beli virtuális hálózat, ahol egy vagy több tűzfalszabályzat van alkalmazva.
- Biztonságos virtuális központ. Egy Azure Virtual WAN Hub, ahol egy vagy több tűzfalszabályzat van alkalmazva.