Funzionalità standard di Firewall di Azure
Firewall di Azure Standard è un servizio di sicurezza di rete gestito basato sul cloud che protegge le risorse di Rete virtuale di Azure.
Firewall di Azure include le funzionalità seguenti:
- Disponibilità elevata integrata
- Zone di disponibilità
- Scalabilità illimitata nel cloud
- Regole di filtro FQDN dell'applicazione
- Regole di filtro per il traffico di rete
- Tag FQDN
- Tag di servizio
- Intelligence per le minacce
- Proxy DNS
- DNS personalizzato
- Nome di dominio completo nelle regole di rete
- Distribuzione senza indirizzo IP pubblico in modalità tunnel forzato
- Supporto SNAT in uscita
- Supporto DNAT in ingresso
- Più indirizzi IP pubblici
- Registrazione di Monitoraggio di Azure
- Tunneling forzato
- Categorie Web
- Certificazioni
Per confrontare le funzionalità di Firewall di Azure per tutti gli SKU del firewall, vedere Scegliere lo SKU di Firewall di Azure appropriato per soddisfare le proprie esigenze.
Disponibilità elevata integrata
La disponibilità elevata è integrata, quindi non sono necessari servizi di bilanciamento del carico aggiuntivi e non è necessario eseguire altre configurazioni.
Zone di disponibilità
Firewall di Azure può essere configurato durante la distribuzione con più zone di disponibilità per una maggiore disponibilità. Con le zone di disponibilità, la disponibilità viene aumentata a un tempo di attività pari al 99,99%. Per altre informazioni, vedere il Contratto di servizio per Firewall di Azure. Il contratto di servizio con un tempo di attività del 99,99% è disponibile quando si selezionano due o più zone di disponibilità.
È anche possibile associare Firewall di Azure a una zona specifica solo per motivi di prossimità, tramite il contratto di servizio standard pari al 99,95%.
Non sono previsti costi aggiuntivi per un firewall distribuito in più zone di disponibilità. Inoltre, Microsoft ha annunciato che Azure non addebiterà alcun costo per il trasferimento dei dati tra zone di disponibilità, indipendentemente dal fatto che si usino indirizzi IP privati o pubblici nelle risorse di Azure.
Man mano che il firewall viene ridimensionato, crea istanze nelle zone in cui si trova. Pertanto, se il firewall si trova solo nella zona 1, le nuove istanze vengono create in tale zona. Se il firewall si trova in tutte e tre le zone, quando viene ridimensionato crea istanze in ognuna di esse.
Le zone di disponibilità di Firewall di Azure sono disponibili nelle aree che supportano le zone di disponibilità. Per altre informazioni, vedere Aree che supportano zone di disponibilità in Azure.
Nota
Le zone di disponibilità possono essere configurate solo durante la distribuzione. Non è possibile configurare un firewall esistente per includere le zone di disponibilità.
Per altre informazioni sulle zone di disponibilità, vedere Aree e zone di disponibilità in Azure.
Scalabilità illimitata nel cloud
Firewall di Azure è in grado di aumentare le prestazioni nella misura necessaria per adattarsi ai mutevoli flussi del traffico di rete, per cui non è necessario preventivare la spesa per i periodi di picco del traffico.
Regole di filtro FQDN dell'applicazione
È possibile limitare il traffico HTTP/S in uscita o il traffico SQL di Azure a un elenco specifico di nomi di dominio completo (FQDN), inclusi i caratteri jolly. Questa funzionalità non richiede la terminazione TLS.
Il video seguente illustra come creare una regola dell'applicazione:
Regole di filtro per il traffico di rete
È possibile creare in modo centralizzato regole di filtro di rete per consentire o negare il traffico in base all'indirizzo IP di origine e di destinazione, alla porta e al protocollo. Firewall di Azure è un servizio con stato completo, quindi in grado di distinguere i pacchetti validi per diversi tipi di connessioni. Le regole vengono applicate e registrate in più sottoscrizioni e reti virtuali.
Firewall di Azure supporta il filtro con stato dei protocolli di rete di livello 3 e 4. I protocolli IP di livello 3 possono essere filtrati selezionando Qualsiasi protocollo nella regola di rete e il carattere jolly * per la porta.
Tag FQDN
I tag FQDN rendono più semplice consentire il traffico di rete noto del servizio di Azure attraverso il firewall. Ad esempio, si supponga di voler consentire il traffico di rete di Windows Update attraverso il firewall. Creare una regola di applicazione e includere il tag di Windows Update. A questo punto il traffico di rete da Windows Update può attraversare il firewall.
Tag di servizio
Un tag di servizio rappresenta un gruppo di prefissi di indirizzo IP che consente di ridurre al minimo la complessità nella creazione di regole di sicurezza. Non è possibile creare tag di servizio personalizzati, né specificare gli indirizzi IP da includere in un tag. Microsoft gestisce i prefissi degli indirizzi inclusi nel tag del servizio e aggiorna automaticamente il tag del servizio quando gli indirizzi cambiano.
Intelligence per le minacce
I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft.
Proxy DNS
Con il proxy DNS abilitato, Firewall di Azure può elaborare e inoltrare query DNS da una o più reti virtuali al server DNS desiderato. Questa funzionalità è fondamentale e necessaria per disporre di un filtro FQDN attendibile nelle regole di rete. È possibile abilitare il proxy DNS nelle impostazioni di Firewall di Azure e Criterio firewall. Per altre informazioni sul proxy DNS, vedere Impostazioni DNS di Firewall di Azure.
DNS personalizzato
IL DNS personalizzato consente di configurare Firewall di Azure per l'uso del proprio server DNS, assicurando al tempo stesso che le dipendenze in uscita del firewall siano ancora risolte con DNS di Azure. È possibile configurare un singolo server DNS o più server nelle impostazioni DNS di Firewall di Azure e Criterio firewall. Per altre informazioni sul DNS personalizzato, vedere Impostazioni DNS di Firewall di Azure.
Firewall di Azure può anche risolvere i nomi usando DNS privato di Azure. La rete virtuale in cui risiede Firewall di Azure deve essere collegata alla zona privata di Azure. Per altre informazioni, vedere Uso di Firewall di Azure come server d'inoltro DNS con collegamento privato.
Nome di dominio completo nelle regole di rete
È possibile usare nomi di dominio completi (FQDN) nelle regole di rete basate sulla risoluzione DNS in Firewall di Azure e Criterio firewall.
I nomi di dominio completi specificati nelle raccolte regole vengono convertiti in indirizzi IP in base alle impostazioni DNS del firewall. Questa funzionalità consente di filtrare il traffico in uscita tramite FQDN con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altri). Poiché questa funzionalità si basa sulla risoluzione DNS, è altamente consigliato abilitare il proxy DNS per garantire che la risoluzione dei nomi sia coerente con le macchine virtuali protette e il firewall.
Distribuire Firewall di Azure senza indirizzo IP pubblico in modalità Tunnel forzato
Il servizio Firewall di Azure richiede un indirizzo IP pubblico per scopi operativi. Pur essendo sicure, alcune distribuzioni preferiscono non esporre un indirizzo IP pubblico direttamente a Internet.
In tali casi, è possibile distribuire Firewall di Azure in modalità Tunnel forzato. Questa configurazione crea una scheda di interfaccia di rete usata da Firewall di Azure per le operazioni. La rete Tenant Datapath può essere configurata senza un indirizzo IP pubblico ed è possibile effettuare il tunneling forzato del traffico Internet verso un altro firewall o bloccarlo.
La modalità Tunnel forzato non può essere configurata in fase di esecuzione. È possibile ridistribuire il firewall o usare la funzionalità di arresto e avvio per riconfigurare un firewall di Azure esistente in modalità Tunnel forzato. La distribuzione dei firewall in Hub sicuri avviene sempre in modalità Tunnel forzato.
Supporto SNAT in uscita
Tutti gli indirizzi IP del traffico di rete virtuale in uscita vengono convertiti nell'indirizzo IP pubblico di Firewall di Azure (Source Network Address Translation). È possibile identificare e consentire il traffico proveniente dalla rete virtuale a destinazioni Internet remote. Quando Firewall di Azure dispone di più indirizzi IP pubblici configurati per fornire connettività in uscita, li userà a seconda delle necessità in base alle porte disponibili. A tale scopo, selezionerà in modo casuale il primo indirizzo IP pubblico e userà l’indirizzo IP pubblico successivo disponibile solo dopo che non potranno più essere effettuate connessioni dall'indirizzo IP pubblico corrente a causa dell'esaurimento della porta SNAT.
Negli scenari in cui sono presenti modelli di traffico dinamici o velocità effettiva elevata, è consigliabile usare un gateway NAT di Azure. Il gateway NAT di Azure seleziona dinamicamente gli indirizzi IP pubblici per fornire connettività in uscita. Per altre informazioni su come integrare il gateway NAT con Firewall di Azure, vedere Ridimensionare le porte SNAT con il gateway NAT di Azure.
Il gateway NAT di Azure può essere usato con Firewall di Azure tramite la sua associazione alla subnet di Firewall di Azure. Per indicazioni su questa configurazione, vedere l'esercitazione Integrare il gateway NAT con Firewall di Azure.
Firewall di Azure non esegue la conversione degli indirizzi IP di origine (SNAT, Source Network Address Translation) quando l'indirizzo IP di destinazione è un intervallo di indirizzi IP privati in base allo standard IANA RFC 1918.
Se l'organizzazione usa un intervallo di indirizzi IP pubblici per le reti private, Firewall di Azure invierà il traffico tramite SNAT a uno degli indirizzi IP privati firewall in AzureFirewallSubnet. È possibile configurare Firewall di Azure in modo da non usare SNAT per l'intervallo di indirizzi IP pubblici. Per altre informazioni, vedere Intervalli di indirizzi IP privati SNAT di Firewall di Azure.
È possibile monitorare l'utilizzo delle porte SNAT nelle metriche di Firewall di Azure. Per altre informazioni, vedere la raccomandazione sull'utilizzo delle porte SNAT nella documentazione relativa ai log e alle metriche del firewall.
Per informazioni più dettagliate sui comportamenti NAT di Firewall di Azure, vedere Comportamenti NAT di Firewall di Azure.
Supporto DNAT in ingresso
Il traffico di rete Internet in ingresso all'indirizzo IP pubblico del firewall viene convertito (Destination Network Address Translation) e filtrato per gli indirizzi IP nelle reti virtuali.
Più indirizzi IP pubblici
È possibile associare al firewall più indirizzi IP pubblici (fino a 250).
Questo supporta gli scenari seguenti:
- DNAT - È possibile convertire più istanze di porta standard per i server back-end. Se ad esempio si dispone di due indirizzi IP pubblici, è possibile convertire la porta TCP 3389 (RDP) per entrambi gli indirizzi IP.
- SNAT: sono disponibili più porte per le connessioni SNAT in uscita, riducendo così il rischio di esaurimento della porta SNAT. Al momento, Firewall di Azure seleziona in modo casuale l'indirizzo IP pubblico di origine da usare per una connessione. Se sono presenti filtri downstream nella rete, è necessario consentire tutti gli indirizzi IP pubblici associati al firewall. Per semplificare questa configurazione, provare a usare un prefisso di indirizzo IP pubblico.
Per altre informazioni sui comportamenti NAT, vedere Comportamenti NAT di Firewall di Azure.
Registrazione di Monitoraggio di Azure
Tutti gli eventi vengono integrati con Monitoraggio di Azure, in modo da consentire l'archiviazione dei log in un account di archiviazione, la trasmissione degli eventi all'hub eventi o l'invio ai log di Monitoraggio di Azure. Per gli esempi di log di Monitoraggio di Azure, vedere Log di Monitoraggio di Azure per Firewall di Azure.
Per altre informazioni, vedere Esercitazione: Monitorare i log e le metriche di Firewall di Azure.
La cartella di lavoro di Firewall di Azure offre un'area di disegno flessibile per l'analisi dei dati di Firewall di Azure. È possibile usarla per creare report visivi avanzati all’interno del portale di Azure. Per altre informazioni, vedere Monitorare i log usando la cartella di lavoro di Firewall di Azure.
Tunneling forzato
È possibile configurare Firewall di Azure per instradare tutto il traffico associato a Internet a un hop successivo designato anziché passare direttamente a Internet. Ad esempio, è possibile disporre di un firewall perimetrale locale o di un'altra appliance virtuale di rete per elaborare il traffico di rete prima che venga trasmesso a Internet. Per altre informazioni, vedere Tunneling forzato di Firewall di Azure.
Categorie Web
Le categorie Web consentono agli amministratori di consentire o negare l'accesso degli utenti a categorie di siti Web, ad esempio siti Web di gioco d'azzardo, siti Web di social media e altri. Le categorie Web sono incluse in Firewall di Azure Standard, sebbene siano maggiormente ottimizzate in Firewall di Azure Premium. A differenza della funzionalità di categorie Web nello SKU Standard, in cui viene trovata la corrispondenza con la categoria in base a un nome di dominio completo (FQDN), lo SKU Premium trova la corrispondenza con la categoria in base all'intero URL per il traffico HTTP e HTTPS. Per altre informazioni su Firewall di Azure Premium, vedere Funzionalità di Firewall di Azure Premium.
Ad esempio, se Firewall di Azure intercetta una richiesta HTTPS per www.google.com/news, è prevista la categorizzazione seguente:
Firewall Standard: viene esaminata solo la parte FQDN, quindi
www.google.comviene categorizzata come Motore di ricerca.Firewall Premium: viene esaminato l'URL completo, quindi
www.google.com/newsviene categorizzato come Notizie.
Le categorie sono organizzate in base alla gravità in Responsabilità, Larghezza di banda elevata, Utilizzo aziendale, Perdita di produttività, Navigazione generale e Non categorizzata .
Eccezioni di categoria
È possibile creare eccezioni alle regole delle categorie Web. Creare una raccolta di regole di autorizzazione o negazione separata con una priorità più alta all'interno del gruppo di raccolta regole. Ad esempio, è possibile configurare una raccolta regole che consenta www.linkedin.com con priorità 100, con una raccolta regole che nega ilsocial networking con priorità 200. In questo modo viene creata l'eccezione per la categoria Web di social networking predefinita.
Certificazioni
Il firewall di Azure è conforme a PCI (Payment Card Industry), SOC (Service Organization Controls) e ISO (International Organization for Standardization). Per altre informazioni, vedere Certificazioni di conformità di Firewall di Azure.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per