Basisfuncties van Azure Firewall

  • Artikel

Azure Firewall Basic is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beveiligt.

Diagram showing Firewall Basic.

Azure Firewall Basic bevat de volgende functies:

  • Ingebouwde hoge beschikbaarheid
  • Beschikbaarheidszones
  • Regels voor het filteren van de FQDN van toepassingen
  • Regels voor het filteren van netwerkverkeer
  • FQDN-tags
  • Servicetags
  • Bedreigingsinformatie in waarschuwingsmodus
  • Ondersteuning voor uitgaande SNAT
  • Ondersteuning voor inkomende DNAT
  • Meerdere openbare IP-adressen
  • Logboekregistratie van Azure Monitor
  • Certificeringen

Als u Azure Firewall-functies voor alle firewall-SKU's wilt vergelijken, raadpleegt u De juiste Azure Firewall-SKU kiezen om aan uw behoeften te voldoen.

Ingebouwde hoge beschikbaarheid

Hoge beschikbaarheid is ingebouwd, dus er zijn geen extra load balancers vereist en u hoeft niets te configureren.

Beschikbaarheidszones

Azure Firewall kan tijdens de implementatie worden geconfigureerd om zich uit te strekken over meerdere beschikbaarheidszones voor een verhoogde beschikbaarheid. U kunt Azure Firewall ook koppelen aan een specifieke zone om nabijheidsredenen. Zie de Azure Firewall Service Level Agreement (SLA) voor meer informatie over beschikbaarheid.

Er zijn geen extra kosten verbonden aan een firewall die is geïmplementeerd in meer dan één beschikbaarheidszone. Er zijn echter extra kosten verbonden aan binnenkomende en uitgaande gegevensoverdrachten die zijn gekoppeld aan Beschikbaarheidszones. Zie Prijsinformatie voor bandbreedte voor meer informatie.

Azure Firewall-beschikbaarheidszones zijn beschikbaar in regio's die ondersteuning bieden voor beschikbaarheidszones. Zie Regio's die ondersteuning bieden voor Beschikbaarheidszones in Azure voor meer informatie.

Regels voor het filteren van de FQDN van toepassingen

U kunt uitgaand HTTP/S-verkeer of Azure SQL-verkeer beperken tot een opgegeven lijst met FQDN's (Fully Qualified Domain Names), inclusief jokertekens. Voor deze functie is geen TLS-beëindiging vereist.

In de volgende video ziet u hoe u een toepassingsregel maakt:

Regels voor het filteren van netwerkverkeer

U kunt netwerkfilterregels voor toestaan of weigeren centraal maken op IP-adres van bron en doel, poort en protocol. Azure Firewall is volledig stateful, wat betekent dat het legitieme pakketten voor verschillende soorten verbindingen kan onderscheiden. Regels worden afgedwongen en vastgelegd voor meerdere abonnementen en virtuele netwerken.

Azure Firewall biedt ondersteuning voor stateful filtering van laag 3- en laag 4-netwerkprotocollen. Laag 3 IP-protocollen kunnen worden gefilterd door Elk protocol in de netwerkregel te selecteren en de jokerteken * voor de poort te selecteren.

FQDN-tags

Met FQDN-tags kunt u eenvoudig bekend netwerkverkeer voor Azure-services toestaan in uw firewall. Stel dat u Windows Update-netwerkverkeer wilt toestaan in de firewall. U maakt een toepassingsregel die de Windows Update-tag bevat. Het netwerkverkeer van Windows Update kan nu door uw firewall.

Servicetags

Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels die het maken van beveiligingsregel vereenvoudigt. U kunt niet uw eigen servicetag maken en ook niet opgeven welke IP-adressen in een tag zijn opgenomen. Microsoft beheert de adresvoorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Informatie over bedreigingen

Filteren op basis van bedreigingsinformatie kan worden ingeschakeld voor uw firewall om verkeer van/naar bekende schadelijke IP-adressen en domeinen te waarschuwen. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

Ondersteuning voor uitgaande SNAT

Alle uitgaande IP-adressen van virtueel netwerkverkeer worden geconverteerd naar de openbare IP van Azure Firewall (Source Network Address Translation). U kunt verkeer dat afkomstig is uit uw virtuele netwerk naar externe internetbestemmingen identificeren en toestaan. Op basis van IANA RFC 1918 biedt Azure Firewall geen SNAT wanneer het doel-IP een privé-IP-bereik is volgens IANA RFC 1918.

Als uw organisatie gebruikmaakt van een openbaar IP-adresbereik voor particuliere netwerken, stuurt Azure Firewall het verkeer met SNAT naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.

U kunt het SNAT-poortgebruik bewaken in metrische gegevens van Azure Firewall. Meer informatie en bekijk onze aanbeveling over het gebruik van SNAT-poorten in onze documentatie voor firewalllogboeken en metrische gegevens.

Zie Azure Firewall NAT-gedrag voor meer informatie over het gedrag van Azure Firewall NAT.

Ondersteuning voor inkomende DNAT

Het inkomende internetnetwerkverkeer op het openbare IP-adres van de firewall wordt omgezet (Destination Network Address Translation) en gefilterd op het privé-IP-adres in uw virtuele netwerken.

Meerdere openbare IP-adressen

U kunt meerdere openbare IP-adressen koppelen aan uw firewall.

Dit maakt de volgende scenario's mogelijk:

  • DNAT: u kunt meerdere exemplaren van de standaardpoort naar uw back-endservers omzetten. Als u bijvoorbeeld twee openbare IP-adressen hebt, kunt u TCP-poort 3389 (RDP) voor beide IP-adressen omzetten.
  • SNAT: er zijn meer poorten beschikbaar voor uitgaande SNAT-verbindingen, waardoor het potentieel voor SNAT-poortuitputting wordt verminderd. Op dit moment selecteert Azure Firewall op een willekeurige manier het openbare IP-adres van de bron dat moet worden gebruikt voor een verbinding. Als u een downstream-filter op uw netwerk hebt, moet u alle openbare IP-adressen toestaan die zijn gekoppeld aan uw firewall. U kunt een openbaar IP-adresvoorvoegsel gebruiken om deze configuratie te vereenvoudigen.

Logboekregistratie van Azure Monitor

Alle gebeurtenissen zijn geïntegreerd met Azure Monitor, zodat u logboeken kunt archiveren naar een opslagaccount, gebeurtenissen naar uw Event Hub kunt streamen of naar Azure Monitor-logboeken kunt verzenden. Zie Azure Monitor-logboeken voor Azure Firewall voor voorbeelden van Azure Monitor-logboeken.

Zie Zelfstudie: Logboeken en metrische gegevens van Azure Firewall bewaken voor meer informatie.

Azure Firewall Workbook biedt een flexibel canvas voor Azure Firewall-gegevensanalyse. U kunt deze gebruiken om uitgebreide visuele rapporten te maken in Azure Portal. Zie Logboeken bewaken met behulp van Azure Firewall Workbook voor meer informatie.

Certificeringen

Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC) en International Organization for Standardization (ISO). Raadpleeg Azure Firewall-nalevingscertificeringen voor meer informatie.