Hoe Azure Firewall werkt
U bent bekend met de basisfuncties van Zowel Azure Firewall als Azure Firewall Manager. Laten we nu eens kijken hoe deze technologieën werken om uw Azure-resources te beveiligen. Met deze informatie kunt u evalueren of Azure Firewall het juiste hulpprogramma is voor de netwerkbeveiligingsstrategie van Contoso.
Hoe Azure Firewall een virtueel Azure-netwerk beveiligt
Als u wilt weten hoe Azure Firewall uw virtuele netwerk beveiligt, moet u weten dat er twee belangrijke kenmerken zijn voor elke Azure Firewall-implementatie:
- Het firewallexemplaren hebben een openbaar IP-adres waarnaar al het binnenkomende verkeer wordt verzonden.
- Het firewallexemplaren hebben een privé-IP-adres waarnaar al het uitgaande verkeer wordt verzonden.
Dat wil gezegd: al het verkeer (inkomend en uitgaand) gaat via de firewall. Standaard weigert de firewall de toegang tot alles. Uw taak is om de firewall te configureren met de voorwaarden waaronder verkeer wordt toegestaan via de firewall. Elke voorwaarde wordt een regel genoemd en elke regel past een of meer controles op de gegevens toe. Alleen verkeer dat alle firewallregels doorgeeft, mag worden doorgegeven.
Hoe Azure Firewall netwerkverkeer beheert, is afhankelijk van waar het verkeer vandaan komt:
- Voor toegestaan inkomend verkeer gebruikt Azure Firewall DNAT om het openbare IP-adres van de firewall te vertalen naar het privé-IP-adres van de juiste doelresource in het virtuele netwerk.
- Voor toegestaan uitgaand verkeer gebruikt Azure Firewall SNAT om het bron-IP-adres te vertalen naar het openbare IP-adres van de firewall.
Notitie
Azure Firewall maakt alleen gebruik van SNAT wanneer het doel-IP-adres zich buiten uw virtuele netwerk bevindt. Als het doel-IP-adres afkomstig is van de privéadresruimte van uw virtuele netwerk, gebruikt Azure Firewall geen SNAT voor het verkeer.
Waar Azure Firewall in een virtueel netwerk past
Voor een effectieve taak van Azure Firewall moet u deze instellen als een barrière tussen een vertrouwd netwerk dat u wilt beveiligen en een niet-vertrouwd netwerk dat potentiële bedreigingen biedt. Meestal implementeert u Azure Firewall als een barrière tussen uw virtuele Azure-netwerk en internet.
Azure Firewall wordt het beste geïmplementeerd met behulp van een hub- en spoke-netwerktopologie met de volgende kenmerken:
- Een virtueel netwerk dat fungeert als het centrale verbindingspunt. Dit netwerk is het virtuele hubnetwerk.
- Een of meer virtuele netwerken die zijn gekoppeld aan de hub. Deze peers zijn de virtuele spoke-netwerken en worden gebruikt voor het inrichten van workloadservers.
U implementeert het firewallexemplaren in een subnet van het virtuele hubnetwerk en configureert vervolgens al het inkomende en uitgaande verkeer om door de firewall te gaan.
Gebruik de volgende algemene stappen om een exemplaar van Azure Firewall in te stellen:
- Maak een virtueel hubnetwerk met een subnet voor de firewallimplementatie.
- Maak de virtuele spoke-netwerken en hun subnetten en servers.
- Peering van de hub- en spoke-netwerken.
- Implementeer de firewall in het subnet van de hub.
- Voor uitgaand verkeer maakt u een standaardroute waarmee verkeer van alle subnetten naar het privé-IP-adres van de firewall wordt verzonden.
- Configureer de firewall met regels om inkomend en uitgaand verkeer te filteren.
Azure Firewall-regeltypen
In de volgende tabel worden de drie typen regels beschreven die u kunt maken voor een Azure-firewall.
Regeltype | Beschrijving |
---|---|
NAT | Vertaal en filter inkomend internetverkeer op basis van het openbare IP-adres van uw firewall en een opgegeven poortnummer. Als u bijvoorbeeld een verbinding met een extern bureaublad met een virtuele machine wilt inschakelen, kunt u een NAT-regel gebruiken om het openbare IP-adres en poort 3389 van uw firewall te vertalen naar het privé-IP-adres van de virtuele machine. |
Aanvraag | Filter verkeer op basis van een FQDN. U kunt bijvoorbeeld een toepassingsregel gebruiken om uitgaand verkeer toegang te geven tot een Azure SQL Database-exemplaar met behulp van de FQDN-server10.database.windows.net. |
Netwerk | Filter verkeer op basis van een of meer van de volgende drie netwerkparameters: IP-adres, poort en protocol. U kunt bijvoorbeeld een netwerkregel gebruiken om uitgaand verkeer toegang te geven tot een bepaalde DNS-server op een opgegeven IP-adres met behulp van poort 53. |
Belangrijk
Azure Firewall past regels in volgorde van prioriteit toe. Regels op basis van bedreigingsinformatie krijgen altijd de hoogste prioriteit en worden eerst verwerkt. Daarna worden regels toegepast op type: NAT-regels, vervolgens netwerkregels en toepassingsregels. Binnen elk type worden regels verwerkt op basis van de prioriteitswaarden die u toewijst wanneer u de regel maakt, van laagste waarde tot hoogste waarde.
Implementatieopties voor Azure Firewall
Azure Firewall biedt veel functies die zijn ontworpen om het eenvoudiger te maken om regels te maken en te beheren. De volgende tabel bevat een overzicht van deze functies.
Functie | Beschrijving |
---|---|
FQDN | Een domeinnaam van een host of een of meer IP-adressen. Als u een FQDN toevoegt aan een toepassingsregel, hebt u toegang tot dat domein. Wanneer u een FQDN in een toepassingsregel gebruikt, kunt u jokertekens gebruiken, zoals *.google.com. |
FQDN-tag | Een groep bekende Microsoft FQDN's. Door een FQDN-tag toe te voegen aan een toepassingsregel, is uitgaande toegang tot de FQDN's van de tag toegestaan. Er zijn FQDN-tags voor Windows Update, Azure Virtual Desktop, Windows Diagnostics, Azure Backup en meer. Microsoft beheert FQDN-tags en ze kunnen niet worden gewijzigd of gemaakt. |
Servicetag | Een groep IP-adresvoorvoegsels die betrekking hebben op een specifieke Azure-service. Als u een servicetag toevoegt aan een netwerkregel, hebt u toegang tot de service die wordt vertegenwoordigd door de tag. Er zijn servicetags voor tientallen Azure-services, waaronder Azure Backup, Azure Cosmos DB, Logic Apps en meer. Microsoft beheert servicetags en ze kunnen niet worden gewijzigd of gemaakt. |
IP-groepen | Een groep IP-adressen, zoals 10.2.0.0/16 of 10.1.0.0-10.1.0.31. U kunt een IP-groep gebruiken als het bronadres in een NAT- of toepassingsregel, of als het bron- of doeladres in een netwerkregel. |
Aangepaste DNS | Een aangepaste DNS-server waarmee domeinnamen worden omgezet in IP-adressen. Als u een aangepaste DNS-server gebruikt in plaats van Azure DNS, moet u Ook Azure Firewall configureren als een DNS-proxy. |
DNS-proxy | U kunt Azure Firewall configureren om te fungeren als een DNS-proxy, wat betekent dat alle DNS-aanvragen van de client via de firewall worden verzonden voordat u naar de DNS-server gaat. |