Azure Firewall Standard-functies
Azure Firewall Standard is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beveiligt.
Azure Firewall bevat de volgende functies:
- Ingebouwde hoge beschikbaarheid
- Beschikbaarheidszones
- Onbeperkte cloudschaalbaarheid
- Regels voor het filteren van de FQDN van toepassingen
- Regels voor het filteren van netwerkverkeer
- FQDN-tags
- Servicetags
- Informatie over bedreigingen
- DNS-proxy
- Aangepaste DNS
- FQDN in netwerkregels
- Implementatie zonder openbaar IP-adres in de modus Geforceerde tunnel
- Ondersteuning voor uitgaande SNAT
- Ondersteuning voor inkomende DNAT
- Meerdere openbare IP-adressen
- Logboekregistratie van Azure Monitor
- Geforceerde tunneling
- Webcategorieën
- Certificeringen
Als u Azure Firewall-functies voor alle firewall-SKU's wilt vergelijken, raadpleegt u De juiste Azure Firewall-SKU kiezen om aan uw behoeften te voldoen.
Ingebouwde hoge beschikbaarheid
Hoge beschikbaarheid is ingebouwd, dus er zijn geen extra load balancers vereist en u hoeft niets te configureren.
Beschikbaarheidszones
Azure Firewall kan tijdens de implementatie worden geconfigureerd om zich uit te strekken over meerdere beschikbaarheidszones voor een verhoogde beschikbaarheid. Met Beschikbaarheidszones wordt uw beschikbaarheid verhoogd tot 99,99% uptime. Zie de Service Level Agreement (SLA) voor Azure Firewall voor meer informatie. De SLA met een actieve tijdsduur van 99,99% wordt aangeboden wanneer er twee of meer Beschikbaarheidszones zijn geselecteerd.
U kunt Azure Firewall ook koppelen aan een specifieke zone om redenen van nabijheid, met behulp van Service Standard SLA van 99,95%.
Er zijn geen extra kosten verbonden aan een firewall die is geïmplementeerd in meer dan één beschikbaarheidszone. Microsoft heeft ook aangekondigd dat Azure geen kosten in rekening brengt voor de gegevensoverdracht tussen beschikbaarheidszones, ongeacht of u privé- of openbare IP-adressen op uw Azure-resources gebruikt.
Wanneer de firewall wordt geschaald, worden er exemplaren gemaakt in de zones waarin de firewall zich bevindt. Dus als de firewall zich alleen in zone 1 bevindt, worden er nieuwe exemplaren gemaakt in zone 1. Als de firewall zich in alle drie de zones bevindt, worden er exemplaren in de drie zones gemaakt terwijl deze wordt geschaald.
Azure Firewall-beschikbaarheidszones zijn beschikbaar in regio's die ondersteuning bieden voor beschikbaarheidszones. Zie Regio's die ondersteuning bieden voor Beschikbaarheidszones in Azure voor meer informatie.
Notitie
Beschikbaarheidszones kunnen alleen worden geconfigureerd tijdens de implementatie. U kunt een bestaande firewall niet configureren om Beschikbaarheidszones te bevatten.
Zie Regio's en Beschikbaarheidszones in Azure voor meer informatie over Beschikbaarheidszones.
Onbeperkte cloudschaalbaarheid
Azure Firewall kan zoveel uitschalen als nodig is om veranderende netwerkverkeersstromen aan te passen, dus u hoeft niet te budgetteren voor uw piekverkeer.
Regels voor het filteren van de FQDN van toepassingen
U kunt uitgaand HTTP/S-verkeer of Azure SQL-verkeer beperken tot een opgegeven lijst met FQDN's (Fully Qualified Domain Names), inclusief jokertekens. Voor deze functie is geen TLS-beëindiging vereist.
In de volgende video ziet u hoe u een toepassingsregel maakt:
Regels voor het filteren van netwerkverkeer
U kunt de netwerkfilterregels toestaan of weigeren centraal maken op IP-adres van bron en doel, poort en protocol. Azure Firewall is volledig stateful, wat betekent dat het legitieme pakketten voor verschillende soorten verbindingen kan onderscheiden. Regels worden afgedwongen en vastgelegd voor meerdere abonnementen en virtuele netwerken.
Azure Firewall biedt ondersteuning voor stateful filtering van laag 3- en laag 4-netwerkprotocollen. Laag 3 IP-protocollen kunnen worden gefilterd door elk protocol in de netwerkregel te selecteren en de jokerkaart * voor de poort te selecteren.
FQDN-tags
Met FQDN-tags kunt u eenvoudig bekend netwerkverkeer voor Azure-services toestaan in uw firewall. Stel dat u Windows Update-netwerkverkeer wilt toestaan in de firewall. U maakt een toepassingsregel die de Windows Update-tag bevat. Het netwerkverkeer van Windows Update kan nu door uw firewall.
Servicetags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels die het maken van beveiligingsregel vereenvoudigt. U kunt niet uw eigen servicetag maken en ook niet opgeven welke IP-adressen in een tag zijn opgenomen. Microsoft beheert de adresvoorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij als adressen worden gewijzigd.
Informatie over bedreigingen
Filteren op basis van bedreigingsinformatie kan worden ingeschakeld voor uw firewall om verkeer van/naar bekende schadelijke IP-adressen en domeinen te signaleren en te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.
DNS-proxy
Als DNS-proxy is ingeschakeld, kan Azure Firewall DNS-query's van een virtueel netwerk(en) verwerken en doorsturen naar de gewenste DNS-server. Deze functionaliteit is van cruciaal belang en vereist voor betrouwbare FQDN-filtering in netwerkregels. U kunt dns-proxy inschakelen in de instellingen van Azure Firewall en Firewall Policy. Zie Azure Firewall DNS-instellingen voor meer informatie over DNS-proxy.
Aangepaste DNS
Met aangepaste DNS kunt u Azure Firewall configureren om uw eigen DNS-server te gebruiken, terwijl u ervoor zorgt dat de uitgaande afhankelijkheden van de firewall nog steeds worden omgezet met Azure DNS. U kunt één DNS-server of meerdere servers configureren in DNS-instellingen voor Azure Firewall en Firewall Policy. Meer informatie over aangepaste DNS vindt u in Azure Firewall DNS-instellingen.
Azure Firewall kan namen ook omzetten met behulp van Azure Privé-DNS. Het virtuele netwerk waarin de Azure Firewall zich bevindt, moet worden gekoppeld aan de privézone van Azure. Zie Azure Firewall gebruiken als DNS-doorstuurserver met Private Link voor meer informatie.
FQDN in netwerkregels
U kunt FQDN's (Fully Qualified Domain Names) gebruiken in netwerkregels op basis van DNS-resolutie in Azure Firewall en Firewall-beleid.
De opgegeven FQDN's in uw regelverzamelingen worden omgezet in IP-adressen op basis van uw DNS-instellingen voor de firewall. Met deze mogelijkheid kunt u uitgaand verkeer filteren met FQDN's met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). Omdat deze mogelijkheid is gebaseerd op DNS-resolutie, wordt het ten zeerste aanbevolen om de DNS-proxy in te schakelen om ervoor te zorgen dat de naamomzetting consistent is met uw beveiligde virtuele machines en firewall.
Azure Firewall zonder openbaar IP-adres implementeren in de modus Geforceerde tunnel
De Azure Firewall-service vereist een openbaar IP-adres voor operationele doeleinden. Hoewel dit veilig is, geven sommige implementaties de voorkeur aan een openbaar IP-adres niet rechtstreeks op internet.
In dergelijke gevallen kunt u Azure Firewall implementeren in de modus Geforceerde tunnel. Met deze configuratie maakt u een beheer-NIC die wordt gebruikt door Azure Firewall voor de bewerkingen. Het Tenant Datapath-netwerk kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of geblokkeerd.
De modus Geforceerde tunnel kan niet worden geconfigureerd tijdens runtime. U kunt de firewall opnieuw implementeren of de stop- en startfaciliteit gebruiken om een bestaande Azure Firewall opnieuw te configureren in de modus Geforceerde tunnel. Firewalls die zijn geïmplementeerd in Secure Hubs, worden altijd geïmplementeerd in de modus Geforceerde tunnel.
Ondersteuning voor uitgaande SNAT
Alle uitgaande IP-adressen van virtueel netwerkverkeer worden geconverteerd naar de openbare IP van Azure Firewall (Source Network Address Translation). U kunt verkeer dat afkomstig is uit uw virtuele netwerk naar externe internetbestemmingen identificeren en toestaan. Wanneer Azure Firewall meerdere openbare IP-adressen heeft geconfigureerd voor het bieden van uitgaande connectiviteit, worden de openbare IP-adressen indien nodig gebruikt op basis van beschikbare poorten. Het kiest willekeurig het eerste openbare IP-adres en gebruikt alleen het volgende beschikbare openbare IP-adres nadat er geen verbindingen meer kunnen worden gemaakt van het huidige openbare IP-adres vanwege uitputting van de SNAT-poort.
In scenario's waarin u een hoge doorvoer of dynamische verkeerspatronen hebt, is het raadzaam om een Azure NAT-gateway te gebruiken. Azure NAT Gateway selecteert dynamisch openbare IP-adressen om uitgaande connectiviteit te bieden. Zie SNAT-poorten schalen met Azure NAT Gateway voor meer informatie over het integreren van NAT Gateway met Azure Firewall.
Azure NAT Gateway kan worden gebruikt met Azure Firewall door NAT Gateway te koppelen aan het Azure Firewall-subnet. Zie de zelfstudie NAT-gateway integreren met Azure Firewall voor hulp bij deze configuratie.
Op basis van IANA RFC 1918 biedt Azure Firewall geen SNAT wanneer het doel-IP een privé-IP-bereik is volgens IANA RFC 1918.
Als uw organisatie gebruikmaakt van een openbaar IP-adresbereik voor particuliere netwerken, stuurt Azure Firewall het verkeer met SNAT naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.
U kunt het SNAT-poortgebruik bewaken in metrische gegevens van Azure Firewall. Meer informatie en bekijk onze aanbeveling over het gebruik van SNAT-poorten in onze documentatie voor firewalllogboeken en metrische gegevens.
Zie Azure Firewall NAT-gedrag voor meer informatie over het gedrag van Azure Firewall NAT.
Ondersteuning voor inkomende DNAT
Het inkomende internetnetwerkverkeer op het openbare IP-adres van de firewall wordt omgezet (Destination Network Address Translation) en gefilterd op het privé-IP-adres in uw virtuele netwerken.
Meerdere openbare IP-adressen
U kunt meerdere openbare IP-adressen (maximaal 250) koppelen aan uw firewall.
Dit maakt de volgende scenario's mogelijk:
- DNAT: u kunt meerdere exemplaren van de standaardpoort naar uw back-endservers omzetten. Als u bijvoorbeeld twee openbare IP-adressen hebt, kunt u TCP-poort 3389 (RDP) voor beide IP-adressen omzetten.
- SNAT : er zijn meer poorten beschikbaar voor uitgaande SNAT-verbindingen, waardoor het potentieel voor SNAT-poortuitputting wordt verminderd. Op dit moment selecteert Azure Firewall op een willekeurige manier het openbare IP-adres van de bron dat moet worden gebruikt voor een verbinding. Als u een downstream-filter op uw netwerk hebt, moet u alle openbare IP-adressen toestaan die zijn gekoppeld aan uw firewall. U kunt een openbaar IP-adresvoorvoegsel gebruiken om deze configuratie te vereenvoudigen.
Zie Azure Firewall NAT-gedrag voor meer informatie over NAT-gedrag.
Logboekregistratie van Azure Monitor
Alle gebeurtenissen zijn geïntegreerd met Azure Monitor, zodat u logboeken kunt archiveren naar een opslagaccount, gebeurtenissen naar uw Event Hub kunt streamen of naar Azure Monitor-logboeken kunt verzenden. Zie Azure Monitor-logboeken voor Azure Firewall voor voorbeelden van Azure Monitor-logboeken.
Zie Zelfstudie: Logboeken en metrische gegevens van Azure Firewall bewaken voor meer informatie.
Azure Firewall Workbook biedt een flexibel canvas voor Azure Firewall-gegevensanalyse. U kunt deze gebruiken om uitgebreide visuele rapporten te maken in Azure Portal. Zie Logboeken bewaken met behulp van Azure Firewall Workbook voor meer informatie.
Geforceerde tunneling
U kunt Azure Firewall zo configureren dat al het internetverkeer wordt gerouteerd naar een aangewezen volgende hop in plaats van rechtstreeks naar internet te gaan. U kunt bijvoorbeeld een on-premises edge-firewall of een ander virtueel netwerkapparaat (NVA) hebben om netwerkverkeer te verwerken voordat het wordt doorgegeven aan internet. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.
Webcategorieën
Met webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen. Webcategorieën zijn opgenomen in Azure Firewall Standard, maar deze zijn nauwkeuriger afgestemd op Azure Firewall Premium. In tegenstelling tot de mogelijkheid voor webcategorieën in de Standard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie volgens de volledige URL voor zowel HTTP- als HTTPS-verkeer. Zie Azure Firewall Premium-functies voor meer informatie over Azure Firewall Premium.
Als Azure Firewall bijvoorbeeld een HTTPS-aanvraag www.google.com/news
onderschept, wordt de volgende categorisatie verwacht:
Firewall Standard: alleen het FQDN-onderdeel wordt onderzocht, dus
www.google.com
wordt gecategoriseerd als zoekmachine.Firewall Premium: de volledige URL wordt onderzocht, dus
www.google.com/news
wordt gecategoriseerd als Nieuws.
De categorieën zijn ingedeeld op basis van ernst onder aansprakelijkheid, hoge bandbreedte, zakelijk gebruik, productiviteitsverlies, algemeen surfen en niet-gecategoriseerd.
Categorie-uitzonderingen
U kunt uitzonderingen maken op uw webcategorieregels. Maak een afzonderlijke regelverzameling voor toestaan of weigeren met een hogere prioriteit binnen de groep regelverzamelingen. U kunt bijvoorbeeld een regelverzameling configureren die prioriteit 100 toestaat www.linkedin.com
, met een regelverzameling die sociale netwerken met prioriteit 200 weigert. Hiermee maakt u de uitzondering voor de vooraf gedefinieerde webcategorie Sociale netwerken .
Certificeringen
Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC) en International Organization for Standardization (ISO). Raadpleeg Azure Firewall-nalevingscertificeringen voor meer informatie.