funzionalità standard Firewall di Azure

  • Articolo

Firewall di Azure Standard è un servizio di sicurezza di rete gestito basato sul cloud che protegge le risorse di Azure Rete virtuale.

Azure Firewall Standard features

Firewall di Azure include le funzionalità seguenti:

  • Disponibilità elevata integrata
  • Zone di disponibilità
  • Scalabilità illimitata nel cloud
  • Regole di filtro FQDN dell'applicazione
  • Regole di filtro per il traffico di rete
  • Tag FQDN
  • Tag di servizio
  • Intelligence per le minacce
  • Proxy DNS
  • DNS personalizzato
  • Nome di dominio completo nelle regole di rete
  • Distribuzione senza indirizzo IP pubblico in modalità tunnel forzato
  • Supporto SNAT in uscita
  • Supporto DNAT in ingresso
  • Più indirizzi IP pubblici
  • Registrazione di Monitoraggio di Azure
  • Tunneling forzato
  • Categorie Web
  • Certificazioni

Per confrontare Firewall di Azure funzionalità per tutti gli SKU del firewall, vedere Scegliere lo SKU di Firewall di Azure appropriato per soddisfare le proprie esigenze.

Disponibilità elevata integrata

La disponibilità elevata è integrata, quindi non sono necessari servizi di bilanciamento del carico aggiuntivi e non è necessario configurare nulla.

Zone di disponibilità

Firewall di Azure può essere configurato durante la distribuzione con più zone di disponibilità per una maggiore disponibilità. Con le zone di disponibilità, la disponibilità viene aumentata a un tempo di attività pari al 99,99%. Per altre informazioni, vedere il Contratto di servizio per Firewall di Azure. Il contratto di servizio con un tempo di attività del 99,99% è disponibile quando si selezionano due o più zone di disponibilità.

È anche possibile associare Firewall di Azure a una zona specifica solo per motivi di prossimità, tramite il contratto di servizio standard pari al 99,95%.

Non sono previsti costi aggiuntivi per un firewall distribuito in più zone di disponibilità. Sono tuttavia previsti costi aggiuntivi per i trasferimenti dei dati in ingresso e in uscita associati alle zone di disponibilità. Per altre informazioni, vedere Dettagli sui prezzi per la larghezza di banda.

Man mano che il firewall viene ridimensionato, crea istanze nelle zone in cui si trova. Pertanto, se il firewall si trova solo nella zona 1, le nuove istanze vengono create nella zona 1. Se il firewall si trova in tutte e tre le zone, crea istanze tra le tre zone quando viene ridimensionato.

Le zone di disponibilità di Firewall di Azure sono disponibili nelle aree che supportano le zone di disponibilità. Per altre informazioni, vedere Aree che supportano zone di disponibilità in Azure.

Nota

Le zone di disponibilità possono essere configurate solo durante la distribuzione. Non è possibile configurare un firewall esistente per includere le zone di disponibilità.

Per altre informazioni sulle zone di disponibilità, vedere Aree e zone di disponibilità in Azure.

Scalabilità illimitata nel cloud

Firewall di Azure è possibile aumentare il numero di istanze in base alle esigenze di modificare i flussi di traffico di rete, quindi non è necessario budgetare per il traffico di picco.

Regole di filtro FQDN dell'applicazione

È possibile limitare il traffico HTTP/S in uscita o il traffico SQL di Azure a un elenco specifico di nomi di dominio completo (FQDN), inclusi i caratteri jolly. Questa funzionalità non richiede la terminazione TLS.

Il video seguente illustra come creare una regola dell'applicazione:

Regole di filtro per il traffico di rete

È possibile creare in modo centralizzato regole di filtro di rete per consentire o negare il traffico in base all'indirizzo IP di origine e di destinazione, alla porta e al protocollo. Firewall di Azure è un servizio con stato completo, quindi in grado di distinguere i pacchetti validi per diversi tipi di connessioni. Le regole vengono applicate e registrate in più sottoscrizioni e reti virtuali.

Firewall di Azure supporta il filtro con stato dei protocolli di rete di livello 3 e 4. I protocolli IP di livello 3 possono essere filtrati selezionando Qualsiasi protocollo nella regola di rete e selezionare il carattere jolly * per la porta.

Tag FQDN

I tag FQDN rendono più semplice consentire il traffico di rete noto del servizio di Azure attraverso il firewall. Ad esempio, si supponga di voler consentire il traffico di rete di Windows Update attraverso il firewall. Creare una regola di applicazione e includere il tag di Windows Update. A questo punto il traffico di rete da Windows Update può attraversare il firewall.

Tag di servizio

Un tag di servizio rappresenta un gruppo di prefissi di indirizzo IP che consente di ridurre al minimo la complessità nella creazione di regole di sicurezza. Non è possibile creare tag di servizio personalizzati, né specificare gli indirizzi IP da includere in un tag. Microsoft gestisce i prefissi degli indirizzi inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi cambiano.

Intelligence per le minacce

I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft.

Proxy DNS

Con il proxy DNS abilitato, Firewall di Azure può elaborare e inoltrare query DNS da una o più reti virtuali al server DNS desiderato. Questa funzionalità è fondamentale e necessaria per avere un filtro FQDN affidabile nelle regole di rete. È possibile abilitare il proxy DNS nelle impostazioni dei criteri di Firewall di Azure e firewall. Per altre informazioni sul proxy DNS, vedere Firewall di Azure impostazioni DNS.

DNS personalizzato

DNS personalizzato consente di configurare Firewall di Azure per l'uso del proprio server DNS, assicurando al tempo stesso che le dipendenze in uscita del firewall siano ancora risolte con DNS di Azure. È possibile configurare un singolo server DNS o più server in Firewall di Azure e impostazioni DNS dei criteri firewall. Altre informazioni su DNS personalizzato, vedere Firewall di Azure impostazioni DNS.

Firewall di Azure può anche risolvere i nomi usando Azure DNS privato. La rete virtuale in cui risiede il Firewall di Azure deve essere collegata alla zona privata di Azure. Per altre informazioni, vedere Uso di Firewall di Azure come server d'inoltro DNS con collegamento privato.

Nome di dominio completo nelle regole di rete

È possibile usare nomi di dominio completi (FQDN) nelle regole di rete basate sulla risoluzione DNS in Firewall di Azure e criteri firewall.

I nomi di dominio completi specificati nelle raccolte regole vengono convertiti in indirizzi IP in base alle impostazioni DNS del firewall. Questa funzionalità consente di filtrare il traffico in uscita usando FQDN con qualsiasi protocollo TCP/UDP (inclusi NTP, SSH, RDP e altro ancora). Poiché questa funzionalità si basa sulla risoluzione DNS, è consigliabile abilitare il proxy DNS per garantire che la risoluzione dei nomi sia coerente con le macchine virtuali protette e il firewall.

Distribuire Firewall di Azure senza indirizzo IP pubblico in modalità Tunnel forzato

Il servizio Firewall di Azure richiede un indirizzo IP pubblico per scopi operativi. Sebbene sia sicuro, alcune distribuzioni preferiscono non esporre un indirizzo IP pubblico direttamente a Internet.

In questi casi, è possibile distribuire Firewall di Azure in modalità Tunnel forzato. Questa configurazione crea una scheda di interfaccia di rete di gestione usata da Firewall di Azure per le operazioni. La rete Tenant Datapath può essere configurata senza un indirizzo IP pubblico e il traffico Internet può essere sottoposto a tunneling forzato a un altro firewall o bloccato.

La modalità tunnel forzato non può essere configurata in fase di esecuzione. È possibile ridistribuire il firewall o usare la funzionalità di arresto e avvio per riconfigurare un Firewall di Azure esistente in modalità Tunnel forzato. I firewall distribuiti in Hub sicuri vengono sempre distribuiti in modalità Tunnel forzato.

Supporto SNAT in uscita

Tutti gli indirizzi IP del traffico di rete virtuale in uscita vengono convertiti nell'indirizzo IP pubblico di Firewall di Azure (Source Network Address Translation). È possibile identificare e consentire il traffico proveniente dalla rete virtuale a destinazioni Internet remote. Firewall di Azure non esegue la conversione degli indirizzi IP di origine (SNAT, Source Network Address Translation) quando l'indirizzo IP di destinazione è un intervallo di indirizzi IP privati in base allo standard IANA RFC 1918.

Se l'organizzazione usa un intervallo di indirizzi IP pubblici per le reti private, Firewall di Azure invierà il traffico tramite SNAT a uno degli indirizzi IP privati firewall in AzureFirewallSubnet. È possibile configurare Firewall di Azure in modo da non usare SNAT per l'intervallo di indirizzi IP pubblici. Per altre informazioni, vedere Intervalli di indirizzi IP privati SNAT di Firewall di Azure.

È possibile monitorare l'utilizzo delle porte SNAT nelle metriche di Firewall di Azure. Per altre informazioni, vedere la raccomandazione sull'utilizzo delle porte SNAT nella documentazione relativa ai log e alle metriche del firewall.

Per informazioni più dettagliate sui comportamenti NAT Firewall di Azure, vedere Firewall di Azure comportamenti NAT.

Supporto DNAT in ingresso

Il traffico di rete Internet in ingresso all'indirizzo IP pubblico del firewall viene convertito (Destination Network Address Translation) e filtrato per gli indirizzi IP nelle reti virtuali.

Più indirizzi IP pubblici

È possibile associare al firewall più indirizzi IP pubblici (fino a 250).

Questo supporta gli scenari seguenti:

  • DNAT - È possibile convertire più istanze di porta standard per i server back-end. Se ad esempio si dispone di due indirizzi IP pubblici, è possibile convertire la porta TCP 3389 (RDP) per entrambi gli indirizzi IP.
  • SNAT: sono disponibili altre porte per le connessioni SNAT in uscita, riducendo il potenziale di esaurimento delle porte SNAT. Al momento, Firewall di Azure seleziona in modo casuale l'indirizzo IP pubblico di origine da usare per una connessione. Se sono presenti filtri downstream nella rete, è necessario consentire tutti gli indirizzi IP pubblici associati al firewall. Per semplificare questa configurazione, provare a usare un prefisso di indirizzo IP pubblico.

Per altre informazioni sui comportamenti NAT, vedere Firewall di Azure comportamenti NAT.

Registrazione di Monitoraggio di Azure

Tutti gli eventi sono integrati con Monitoraggio di Azure, consentendo di archiviare i log in un account di archiviazione, trasmettere eventi all'hub eventi o inviarli ai log di Monitoraggio di Azure. Per gli esempi di log di Monitoraggio di Azure, vedere Log di Monitoraggio di Azure per Firewall di Azure.

Per altre informazioni, vedere Esercitazione: Monitorare Firewall di Azure log e metriche.

Firewall di Azure Cartella di lavoro offre un'area di disegno flessibile per l'analisi dei dati Firewall di Azure. È possibile usarlo per creare report visivi avanzati all'interno del portale di Azure. Per altre informazioni, vedere Monitorare i log usando Firewall di Azure cartella di lavoro.

Tunneling forzato

È possibile configurare Firewall di Azure per instradare tutto il traffico associato a Internet a un hop successivo designato anziché passare direttamente a Internet. Ad esempio, è possibile avere un firewall perimetrale locale o un'altra appliance virtuale di rete per elaborare il traffico di rete prima che venga passato a Internet. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.

Categorie Web

Le categorie Web consentono agli amministratori di consentire o negare l'accesso degli utenti a categorie di siti Web, ad esempio siti web di gioco d'azzardo, siti Web di social media e altri. Le categorie Web sono incluse in Firewall di Azure Standard, ma sono più ottimizzate in Firewall di Azure Premium. A differenza della funzionalità di categorie Web nello SKU Standard, in cui viene trovata la corrispondenza con la categoria in base a un nome di dominio completo (FQDN), lo SKU Premium trova la corrispondenza con la categoria in base all'intero URL per il traffico HTTP e HTTPS. Per altre informazioni su Firewall di Azure Premium, vedere Firewall di Azure Funzionalità Premium.

Ad esempio, se Firewall di Azure intercetta una richiesta HTTPS per www.google.com/news, è prevista la categorizzazione seguente:

  • Firewall Standard: viene esaminata solo la parte FQDN, quindi www.google.com viene categorizzata come motore di ricerca.

  • Firewall Premium: viene esaminato l'URL completo, quindi www.google.com/news viene categorizzato come Notizie.

Le categorie sono organizzate in base alla gravità in Responsabilità, Larghezza di banda elevata, Utilizzo aziendale, Perdita di produttività, Navigazione generale e Senza categoria.

Eccezioni di categoria

È possibile creare eccezioni alle regole delle categorie Web. Creare una raccolta di regole di autorizzazione o negazione separata con una priorità più alta all'interno del gruppo di raccolte regole. Ad esempio, è possibile configurare una raccolta regole che consenta www.linkedin.com con priorità 100, con una raccolta regole che nega social networking con priorità 200. In questo modo viene creata l'eccezione per la categoria Web di social networking predefinita.

Certificazioni

Il firewall di Azure è conforme a PCI (Payment Card Industry), SOC (Service Organization Controls) e ISO (International Organization for Standardization). Per altre informazioni, vedere Certificazioni di conformità di Firewall di Azure.

Passaggi successivi