Wat is Azure Firewall?
Hier leert u de basisbeginselen van Zowel Azure Firewall als Azure Firewall Manager. Dit overzicht helpt u te bepalen of Azure Firewall en Azure Firewall Manager geschikt zijn voor de netwerkbeveiligingsstrategie van Contoso.
Overzicht van Azure Firewall
Azure Firewall is een cloudbeveiligingsservice waarmee uw virtuele Azure-netwerkresources worden beschermd tegen binnenkomende en uitgaande bedreigingen. In de volgende secties leert u de basisprincipes en belangrijkste functies van Azure Firewall.
Wat is een firewall?
Een firewall is een netwerkbeveiligingsfunctie die zich bevindt tussen een vertrouwd netwerk en een niet-vertrouwd netwerk, zoals internet. De taak van de firewall is om al het binnenkomende en uitgaande netwerkverkeer te analyseren. Op basis van deze analyse kan de firewall het verkeer doorgeven of weigert het verkeer. Idealiter staat de firewall al het legitieme verkeer toe terwijl schadelijk verkeer, zoals malware en inbraakpogingen, wordt geweigerd.
Standaard weigeren de meeste firewalls al het binnenkomende en uitgaande verkeer. Wanneer een firewall netwerkverkeer analyseert, wordt gecontroleerd of aan bepaalde voorwaarden moet worden voldaan voordat het verkeer wordt doorgegeven. Deze voorwaarden kunnen een opgegeven IP-adres, FQDN, netwerkpoort, netwerkprotocol of een combinatie zijn.
Samen definiëren deze voorwaarden een firewallregel. Een firewall heeft mogelijk slechts één regel, maar de meeste firewalls zijn geconfigureerd met veel regels. Alleen netwerkverkeer dat voldoet aan de voorwaarden van de firewallregels, mag worden doorgegeven.
Sommige firewalls zijn op hardware gebaseerd en bevinden zich in apparaten die zijn gebouwd om te fungeren als firewalls. Andere firewalls zijn softwareprogramma's die worden uitgevoerd op computingapparaten voor algemeen gebruik.
Wat is Azure Firewall?
Azure Firewall is een firewallservice in de cloud. In de meeste configuraties wordt Azure Firewall ingericht in een virtueel hubnetwerk. Verkeer naar en van de virtuele spoke-netwerken en het on-premises netwerk doorkruist de firewall met het hubnetwerk.
Al het verkeer van en naar internet wordt standaard geweigerd. Verkeer is alleen toegestaan als er verschillende tests worden uitgevoerd, zoals de geconfigureerde firewallregels.
Notitie
Azure Firewall werkt niet alleen voor verkeer van en naar internet, maar ook intern. Filteren van intern verkeer omvat spoke-to-spoke-verkeer en hybride cloudverkeer tussen uw on-premises netwerk en uw virtuele Azure-netwerk.
Belangrijkste functies van Azure Firewall Standard
De volgende tabel bevat de belangrijkste functies van Azure Firewall Standard.
| Functie | Beschrijving |
|---|---|
| SNAT (Source Network Address Translation) | Al het uitgaande verkeer wordt verzonden naar het privé-IP-adres van het Azure Firewall-exemplaar. Het IP-adres van elke virtuele bronmachine wordt omgezet in het statische openbare IP-adres van het Azure Firewall-exemplaar. Voor alle externe bestemmingen lijkt uw netwerkverkeer afkomstig te zijn van één openbaar IP-adres. |
| Doelnetwerkadresomzetting (DNAT) | Al het binnenkomende verkeer van externe bronnen wordt verzonden naar het openbare IP-adres van het Azure Firewall-exemplaar. Toegestaan verkeer wordt omgezet in het privé-IP-adres van de doelresource in uw virtuele netwerk. |
| Toepassingsregels | Regels waarmee uitgaand verkeer wordt beperkt tot een lijst met FQDN's. U kunt bijvoorbeeld uitgaand verkeer toegang geven tot de FQDN van een opgegeven SQL-database-exemplaar. |
| Netwerkregels | Regels voor binnenkomend en uitgaand verkeer op basis van netwerkparameters. Deze parameters omvatten het doel- of bron-IP-adres; de netwerkpoort; en het netwerkprotocol. |
| Informatie over bedreigingen | Filtert binnenkomend en uitgaand verkeer op basis van de regels voor bedreigingsinformatie van Microsoft, waarmee bekende schadelijke IP-adressen en domeinnamen worden gedefinieerd. U kunt Azure Firewall configureren met een van de twee modi voor bedreigingsinformatie: waarschuw u wanneer verkeer een regel voor bedreigingsinformatie uitvalt of u waarschuwt en het verkeer weigert. |
| Stateful | Onderzoekt netwerkpakketten in context, niet alleen afzonderlijk. Als een of meer pakketten onverwacht binnenkomen op basis van huidig verkeer, behandelt Azure Firewall de pakketten als schadelijk en weigert ze. |
| Geforceerde tunneling | Hiermee kan Azure Firewall al het uitgaande verkeer routeren naar een opgegeven netwerkresource in plaats van rechtstreeks naar internet. De netwerkresource kan een on-premises hardwarefirewall of een virtueel netwerkapparaat zijn dat verkeer verwerkt voordat deze via internet kan worden doorgegeven. |
| Tag-ondersteuning | Azure Firewall ondersteunt servicetags en FQDN-tags voor een eenvoudigere regelconfiguratie. Een servicetag is een tekstentiteit die een Azure-service vertegenwoordigt. AzureCosmosDB is bijvoorbeeld de servicetag voor de Azure Cosmos DB-service. Een FQDN-tag is een tekstentiteit die een groep domeinnamen vertegenwoordigt die is gekoppeld aan populaire Microsoft-services. WindowsVirtualDesktop is bijvoorbeeld de FQDN-tag voor Verkeer van Azure Virtual Desktop. |
| DNS-proxy | Als DNS-proxy is ingeschakeld, kan Azure Firewall DNS-query's van een virtueel netwerk(en) verwerken en doorsturen naar de gewenste DNS-server. |
| Aangepaste DNS | Hiermee kunt u Azure Firewall configureren om uw eigen DNS-server te gebruiken, terwijl u ervoor zorgt dat de uitgaande afhankelijkheden van de firewall nog steeds worden omgezet met Azure DNS. |
| Webcategorieën | Met de functie Webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen. |
| Bewaking | Azure Firewall registreert al het binnenkomende en uitgaande netwerkverkeer en u kunt de resulterende logboeken analyseren met behulp van Azure Monitor, Power BI, Excel en andere hulpprogramma's. |
Wat is Azure Firewall Premium?
Azure Firewall Premium biedt geavanceerde bedreigingsbeveiliging die voldoet aan de behoeften van zeer gevoelige en gereguleerde omgevingen, zoals de betalings- en gezondheidszorgsector.
Belangrijkste functies van Azure Firewall Premium
De volgende tabel bevat de belangrijkste functies van Azure Firewall Premium.
| Functie | Beschrijving |
|---|---|
| Inspectie van TLS | Ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming. |
| IDPS | Met een netwerkinbraakdetectie- en preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen te blokkeren. |
| URL-filtering | Breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld, www.contoso.com/a/c in plaats van www.contoso.com. |
| Webcategorieën | Beheer istrators kunnen gebruikerstoegang tot websitecategorieën zoals gokwebsites, websites voor sociale media en anderen toestaan of weigeren. Webcategorieën kunnen nauwkeuriger worden afgestemd in Azure Firewall Premium. |
Wat is Azure Firewall Basic?
Azure Firewall Basic is bedoeld voor kleine en middelgrote klanten (SMB) om hun Azure-cloudomgevingen te beveiligen. Het biedt de essentiële bescherming die SMB-klanten nodig hebben tegen een betaalbare prijs.
Azure Firewall Basic is vergelijkbaar met Firewall Standard, maar heeft de volgende hoofdbeperkingen:
- Biedt alleen ondersteuning voor bedreigingswaarschuwingsmodus.
- Vaste schaaleenheid om de service uit te voeren op twee back-endinstanties van virtuele machines.
- Aanbevolen voor omgevingen met een geschatte doorvoer van 250 Mbps.
Overzicht van Azure Firewall Manager
Azure Firewall Manager biedt een centraal punt van configuratie en beheer van meerdere Azure Firewall-exemplaren. Met Azure Firewall Manager kunt u een of meer firewallbeleidsregels maken en deze snel toepassen op meerdere firewalls.
Wat is een firewallbeleid?
De configuratie van één Azure Firewall kan ingewikkeld zijn. De firewall kan bijvoorbeeld worden geconfigureerd met meerdere regelverzamelingen. Een verzameling is een combinatie van een of meer van de volgende items:
- Een of meer NAT-regels (Network Address Translation)
- Een of meer netwerkregels
- Een of meer toepassingsregels
Wanneer u andere firewallinstellingen zoals aangepaste DNS- en bedreigingsinformatieregels opneemt, kan het configureren van slechts één firewall een last zijn. Dit zijn twee veelvoorkomende netwerkbeveiligingsscenario's:
- Voor uw netwerkarchitecturen zijn meerdere firewalls vereist.
- U wilt dat elke firewall zowel een basisniveau van beveiligingsregels implementeert die van toepassing zijn op iedereen, plus speciale regels voor aangewezen groepen, zoals ontwikkelaars, databasegebruikers en de marketingafdeling.
Om de complexiteit van het beheren van deze en vergelijkbare firewallscenario's te vereenvoudigen, kunt u firewallbeleid implementeren. Een firewallbeleid is een Azure-resource die een of meer verzamelingen NAT-, netwerk- en toepassingsregels bevat. Het bevat ook aangepaste DNS-instellingen, instellingen voor bedreigingsinformatie en meer.
Het belangrijkste punt is dat Azure een resource met de naam Firewall Policy biedt. Een firewallbeleid dat u maakt, is een exemplaar van die resource. Als afzonderlijke resource kunt u het beleid snel toepassen op meerdere firewalls met behulp van Azure Firewall Manager. U kunt één beleid maken om het basisbeleid te zijn en vervolgens meer gespecialiseerde beleidsregels overnemen van de regels van het basisbeleid.
Belangrijkste functies van Azure Firewall Manager
De volgende tabel bevat de belangrijkste functies van Azure Firewall Manager.
| Functie | Beschrijving |
|---|---|
| Gecentraliseerd beheer | Beheer alle firewallconfiguraties in uw hele netwerk. |
| Meerdere firewalls beheren | Implementeer, configureer en bewaak een willekeurig aantal firewalls vanuit één interface. |
| Ondersteunt meerdere netwerkarchitecturen | Beveiligt zowel standaard virtuele Azure-netwerken als Azure Virtual WAN-hubs. |
| Geautomatiseerde verkeersroutering | Netwerkverkeer wordt automatisch doorgestuurd naar de firewall (wanneer dit alleen wordt gebruikt met Azure Virtual WAN Hub). |
| Hiërarchische beleidsregels | Hiermee kunt u een zogenaamd bovenliggend en onderliggend firewallbeleid maken. Een bovenliggend beleid bevat de regels en instellingen die u globaal wilt toepassen. Een onderliggend beleid neemt alle regels en instellingen van het bovenliggende beleid over. |
| Ondersteuning voor externe beveiligingsproviders | Hiermee kunt u oplossingen van derden voor beveiliging als een service (SECaaS) integreren om de internetverbinding van uw netwerk te beveiligen. |
| DDoS-beveiligingsplan | U kunt uw virtuele netwerken koppelen aan een DDoS-beveiligingsplan in Azure Firewall Manager. |
| Web Application Firewall-beleid beheren | U kunt centraal WAF-beleid (Web Application Firewall) maken en koppelen voor uw platformen voor het leveren van toepassingen, waaronder Azure Front Door en Azure-toepassing Gateway. |
Notitie
Door u in staat te stellen SECaaS-oplossingen van derden te integreren, is het mogelijk dat uw netwerkbeveiligingsstrategie Azure Firewall gebruikt om lokaal netwerkverkeer te bewaken terwijl u de SECaaS-provider van derden gebruikt om internetverkeer te bewaken.
Architectuuropties
Azure Firewall Manager biedt beveiligingsbeheer voor de volgende twee netwerkarchitecturen:
- Virtueel hubnetwerk. Een standaard virtueel Azure-netwerk waarop een of meer firewallbeleidsregels worden toegepast.
- Beveiligde virtuele hub. Een Azure Virtual WAN-hub waarop een of meer firewallbeleidsregels worden toegepast.