Funkcje usługi Azure Firewall — wersja Premium
Usługa Azure Firewall Premium zapewnia zaawansowaną ochronę przed zagrożeniami, która spełnia potrzeby wysoce wrażliwych i regulowanych środowisk, takich jak płatności i branże opieki zdrowotnej.
Organizacje mogą używać funkcji jednostek magazynowych w warstwie Premium, takich jak idPS i inspekcja protokołu TLS, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania i wirusów między sieciami zarówno w kierunku bocznym, jak i poziomym. Aby sprostać zwiększonym wymaganiom dotyczącym wydajności inspekcji dostawcy tożsamości i protokołu TLS, usługa Azure Firewall Premium korzysta z bardziej wydajnej jednostki SKU maszyny wirtualnej. Podobnie jak jednostka SKU w warstwie Standardowa, jednostka SKU w warstwie Premium może bezproblemowo skalować do 100 Gb/s i integrować się ze strefami dostępności, aby obsługiwać umowę dotyczącą poziomu usług (SLA) na poziomie 99,99%. Jednostka SKU Premium jest zgodna ze standardem PCI DSS (Payment Card Industry Data Security Standard).
Usługa Azure Firewall Premium obejmuje następujące funkcje:
- Inspekcja protokołu TLS — odszyfrowuje ruch wychodzący, przetwarza dane, a następnie szyfruje dane i wysyła je do miejsca docelowego.
- IDPS — system wykrywania i zapobiegania włamaniom do sieci (IDPS) umożliwia monitorowanie działań sieciowych pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania.
- Filtrowanie adresów URL — rozszerza funkcję filtrowania nazw FQDN usługi Azure Firewall, aby rozważyć cały adres URL wraz z dowolną dodatkową ścieżką. Na przykład
www.contoso.com/a/czamiastwww.contoso.com. - Kategorie sieci Web — administratorzy mogą zezwalać lub odmawiać dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne.
Aby porównać funkcje usługi Azure Firewall dla wszystkich jednostek SKU zapory, zobacz Wybieranie odpowiedniej jednostki SKU usługi Azure Firewall, aby spełnić Twoje potrzeby.
Inspekcja protokołu TLS
Protokół TLS (Transport Layer Security) zapewnia przede wszystkim kryptografię prywatności, integralności i autentyczności przy użyciu certyfikatów między co najmniej dwiema komunikującymi się aplikacjami. Jest on uruchamiany w warstwie aplikacji i jest powszechnie używany do szyfrowania protokołu HTTP.
Zaszyfrowany ruch ma możliwe zagrożenie bezpieczeństwa i może ukrywać nielegalną aktywność użytkownika i złośliwy ruch. Usługa Azure Firewall bez inspekcji protokołu TLS (jak pokazano na poniższym diagramie) nie ma wglądu w dane przepływające w zaszyfrowanym tunelu TLS, dzięki czemu nie może zapewnić pełnego pokrycia ochrony.
Drugi diagram pokazuje, jak usługa Azure Firewall Premium kończy i sprawdza połączenia TLS w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Zapora tworzy dwa dedykowane połączenia TLS: jedno z serwerem sieci Web (contoso.com) i innym połączeniem z klientem. Przy użyciu dostarczonego przez klienta certyfikatu urzędu certyfikacji generuje on-the-fly certyfikat, który zastępuje certyfikat serwera sieci Web i udostępnia go klientowi w celu nawiązania połączenia TLS między zaporą a klientem.
Usługa Azure Firewall bez inspekcji protokołu TLS: 
Usługa Azure Firewall z inspekcją protokołu TLS: 
Następujące przypadki użycia są obsługiwane w usłudze Azure Firewall:
Inspekcja wychodzącego protokołu TLS
Aby chronić przed złośliwym ruchem wysyłanym z wewnętrznego klienta hostowanego na platformie Azure do Internetu.
Inspekcja protokołu TLS wschód-zachód (obejmuje ruch, który przechodzi z/do sieci lokalnej)
Aby chronić obciążenia platformy Azure przed potencjalnym złośliwym ruchem wysyłanym z platformy Azure.
Następujący przypadek użycia jest obsługiwany przez usługę Azure Web Application Firewall w usłudze aplikacja systemu Azure Gateway:
Inspekcja przychodzącego protokołu TLS
Aby chronić wewnętrzne serwery lub aplikacje hostowane na platformie Azure przed złośliwymi żądaniami pochodzącymi z Internetu lub sieci zewnętrznej. Usługa Application Gateway zapewnia kompleksowe szyfrowanie.
Aby uzyskać powiązane informacje, zobacz:
Napiwek
Protokoły TLS 1.0 i 1.1 są przestarzałe i nie będą obsługiwane. Protokoły TLS 1.0 i 1.1 w protokole TLS/Secure Sockets Layer (SSL) zostały uznane za podatne na zagrożenia i chociaż nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane. Przeprowadź migrację do protokołu TLS 1.2 tak szybko, jak to możliwe.
Aby dowiedzieć się więcej o wymaganiach dotyczących certyfikatów pośredniego urzędu certyfikacji usługi Azure Firewall w warstwie Premium, zobacz Certyfikaty usługi Azure Firewall w warstwie Premium.
Aby dowiedzieć się więcej na temat inspekcji protokołu TLS, zobacz Tworzenie weryfikacji koncepcji na potrzeby inspekcji protokołu TLS w usłudze Azure Firewall.
IDPS
System wykrywania i zapobiegania włamaniom do sieci (IDPS) umożliwia monitorowanie sieci pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania.
Usługa Azure Firewall Premium udostępnia dostawcę tożsamości opartego na sygnaturach, aby umożliwić szybkie wykrywanie ataków, wyszukując określone wzorce, takie jak sekwencje bajtów w ruchu sieciowym lub znane złośliwe sekwencje instrukcji używane przez złośliwe oprogramowanie. Podpisy IDPS mają zastosowanie zarówno dla ruchu aplikacji, jak i ruchu na poziomie sieci (warstwy 3–7). Są one w pełni zarządzane i stale aktualizowane. Dostawcy tożsamości mogą być stosowane do ruchu przychodzącego, szprychowego (Wschód-Zachód) i ruchu wychodzącego. Szprycha -szprycha (Wschód-Zachód) obejmuje ruch, który przechodzi z/do sieci lokalnej. Zakresy prywatnych adresów IP dostawcy tożsamości można skonfigurować przy użyciu funkcji Zakresy prywatnych adresów IP. Aby uzyskać więcej informacji, zobacz Zakresy prywatnych adresów IP dostawcy tożsamości.
Podpisy/zestawy reguł usługi Azure Firewall obejmują:
- Nacisk na odcisk palca rzeczywistego złośliwego oprogramowania, poleceń i kontroli, zestawów wykorzystujących luki w zabezpieczeniach oraz w dzikiej złośliwej aktywności pominiętej przez tradycyjne metody zapobiegania.
- Ponad 67 000 reguł w ponad 50 kategoriach.
- Kategorie obejmują polecenia i kontrolę złośliwego oprogramowania, wyłudzanie informacji, trojany, botnety, zdarzenia informacyjne, luki w zabezpieczeniach, protokoły sieciowe SCADA, działanie zestawu wykorzystującego luki w zabezpieczeniach i nie tylko.
- Codziennie są wydawane od 20 do 40 nowych reguł.
- Niska ocena fałszywie dodatnia przy użyciu najnowocześniejszych technik wykrywania złośliwego oprogramowania, takich jak globalna pętla sprzężeń zwrotnych sieci czujników.
Usługa IDPS umożliwia wykrywanie ataków we wszystkich portach i protokołach dla niezaszyfrowanego ruchu. Jednak po sprawdzeniu ruchu HTTPS usługa Azure Firewall może użyć funkcji inspekcji protokołu TLS, aby odszyfrować ruch i lepiej wykryć złośliwe działania.
Lista pomijania idPS to konfiguracja, która umożliwia nie filtrowanie ruchu do żadnego z adresów IP, zakresów i podsieci określonych na liście obejścia. Lista obejść idPS nie jest przeznaczona do zwiększenia wydajności przepływności, ponieważ zapora nadal podlega wydajności skojarzonej z twoim przypadkiem użycia. Aby uzyskać więcej informacji, zobacz Wydajność usługi Azure Firewall.
Zakresy prywatnych adresów IP usługi IDPS
W usłudze Azure Firewall — premium IDPS zakresy prywatnych adresów IP są używane do identyfikowania, czy ruch jest przychodzący, wychodzący lub wewnętrzny (Wschód-Zachód). Każdy podpis jest stosowany w określonym kierunku ruchu, jak wskazano w tabeli reguł podpisu. Domyślnie tylko zakresy zdefiniowane przez IANA RFC 1918 są uznawane za prywatne adresy IP. W związku z tym ruch wysyłany z zakresu prywatnych adresów IP do zakresu prywatnych adresów IP jest uznawany za wewnętrzny. Aby zmodyfikować prywatne adresy IP, można teraz łatwo edytować, usuwać lub dodawać zakresy zgodnie z potrzebami.
Reguły sygnatur IDPS
Reguły sygnatur idPS umożliwiają:
Dostosuj co najmniej jeden podpis i zmień ich tryb na Wyłączone, Alert lub Alert i Odmów.
Jeśli na przykład otrzymasz wynik fałszywie dodatni, w którym uzasadnione żądanie jest blokowane przez usługę Azure Firewall z powodu błędnego podpisu, możesz użyć identyfikatora podpisu z dzienników reguł sieciowych i ustawić jego tryb IDPS na wyłączony. To spowoduje zignorowanie „błędnego” podpisu i rozwiąże problem z wynikiem fałszywie dodatnim.
Można zastosować tę samą procedurę dostrajania w przypadku podpisów wywołujących zbyt dużą liczbę alertów o niskim priorytecie, co zmniejsza widoczność alertów o wysokim priorytecie.
Uzyskaj całościowy widok całych 55 000 podpisów
Wyszukiwanie inteligentne
Ta akcja umożliwia przeszukiwanie całej bazy danych podpisów według dowolnego typu atrybutu. Możesz na przykład wyszukać określony identyfikator CVE, aby dowiedzieć się, jakie podpisy zajmują się tym CVE, wpisując identyfikator na pasku wyszukiwania.
Reguły sygnatur dostawcy tożsamości mają następujące właściwości:
| Kolumna | opis |
|---|---|
| Identyfikator podpisu | Wewnętrzny identyfikator dla każdego podpisu. Ten identyfikator jest również wyświetlany w dziennikach reguł sieciowych usługi Azure Firewall. |
| Tryb | Wskazuje, czy sygnatura jest aktywna, czy nie, oraz czy zapora przerywa lub alerty po dopasowaniu ruchu. Poniższy tryb podpisu może zastąpić tryb IDPS - Wyłączone: podpis nie jest włączony w zaporze. - Alert: alerty są wyświetlane po wykryciu podejrzanego ruchu. - Alert i odmowa: otrzymujesz alerty i jest blokowany podejrzany ruch. Kilka kategorii podpisów jest zdefiniowanych jako "Tylko alert", dlatego domyślnie ruch zgodny z ich podpisami nie jest blokowany, mimo że tryb IDPS jest ustawiony na "Alert i odmów". Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu "Alert i odmowa". Tryb podpisu IDPS jest określany z jednego z następujących powodów: 1. Zdefiniowane przez tryb zasad — tryb podpisu pochodzi z trybu IDPS istniejących zasad. 2. Zdefiniowane przez zasady nadrzędne — tryb podpisu pochodzi z trybu IDPS zasad nadrzędnych. 3. Przesłonięć — możesz zastąpić i dostosować tryb Podpis. 4. Zdefiniowane przez system — tryb podpisu jest ustawiony na Alert Tylko przez system ze względu na jego kategorię. Możesz zastąpić ten tryb podpisu. Uwaga: alerty IDPS są dostępne w portalu za pośrednictwem zapytania dziennika reguł sieciowych. |
| Ważność | Każdy podpis ma skojarzony poziom ważności i przypisany priorytet, który wskazuje prawdopodobieństwo, że podpis jest rzeczywistym atakiem. - Niski (priorytet 3): Nietypowe zdarzenie jest zdarzeniem, które zwykle nie występuje w sieci lub są rejestrowane zdarzenia informacyjne. Prawdopodobieństwo ataku jest niskie. - Średni (priorytet 2): Podpis wskazuje atak podejrzanego charakteru. Administrator powinien dokładniej zbadać. - Wysoki (priorytet 1): Podpisy ataku wskazują, że atak o poważny charakter jest uruchamiany. Istnieje niewielkie prawdopodobieństwo, że pakiety mają uzasadniony cel. |
| Kierunek | Kierunek ruchu, dla którego jest stosowany podpis. - Ruch przychodzący: Podpis jest stosowany tylko w przypadku ruchu przychodzącego z Internetu i kierowanego do skonfigurowanego zakresu prywatnych adresów IP. - Ruch wychodzący: Podpis jest stosowany tylko w przypadku ruchu wysyłanego ze skonfigurowanego zakresu prywatnych adresów IP do Internetu. - Wewnętrzne: Podpis jest stosowany tylko w przypadku ruchu wysyłanego z i kierowanego do skonfigurowanego zakresu prywatnych adresów IP. - Ruch wewnętrzny/przychodzący: Podpis jest stosowany w przypadku ruchu przychodzącego ze skonfigurowanego zakresu prywatnych adresów IP lub z Internetu i kierowanego do skonfigurowanego zakresu prywatnych adresów IP. - Ruch wewnętrzny/wychodzący: podpis jest stosowany do ruchu wysyłanego ze skonfigurowanego zakresu prywatnych adresów IP i przeznaczonego do skonfigurowanego zakresu prywatnych adresów IP lub Do Internetu. - Dowolny: Podpis jest zawsze stosowany w dowolnym kierunku ruchu. |
| Grupuj | Nazwa grupy, do którego należy podpis. |
| opis | Ustrukturyzowana z następujących trzech części: - Nazwa kategorii: nazwa kategorii, do którego należy podpis, zgodnie z opisem w kategoriach reguł podpisu IDPS usługi Azure Firewall. - Ogólny opis podpisu - CVE-ID (opcjonalnie) w przypadku, gdy podpis jest skojarzony z określonym CVE. |
| Protokół | Protokół skojarzony z tym podpisem. |
| Porty źródłowe/docelowe | Porty skojarzone z tym podpisem. |
| Ostatnia aktualizacja | Ostatnia data wprowadzenia lub zmodyfikowania tego podpisu. |
Aby uzyskać więcej informacji na temat dostawcy tożsamości, zobacz Artykuł Taking Azure Firewall IDPS on a Test Drive (Pobieranie dostawcy tożsamości usługi Azure Firewall na dysku testowym).
Filtrowanie adresów URL
Filtrowanie adresów URL rozszerza funkcję filtrowania nazw FQDN usługi Azure Firewall, aby rozważyć cały adres URL. Na przykład www.contoso.com/a/c zamiast www.contoso.com.
Filtrowanie adresów URL można zastosować zarówno w przypadku ruchu HTTP, jak i HTTPS. Gdy ruch HTTPS jest sprawdzany, usługa Azure Firewall Premium może używać funkcji inspekcji protokołu TLS do odszyfrowywania ruchu i wyodrębniania docelowego adresu URL w celu sprawdzenia, czy dostęp jest dozwolony. Inspekcja protokołu TLS wymaga zgody na poziomie reguły aplikacji. Po włączeniu można używać adresów URL do filtrowania za pomocą protokołu HTTPS.
Kategorie internetowe
Kategorie sieci Web umożliwiają administratorom zezwalanie lub odmawianie dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne. Kategorie sieci Web są również uwzględniane w usłudze Azure Firewall w warstwie Standardowa, ale jest ona bardziej dostrojona w usłudze Azure Firewall Premium. W przeciwieństwie do możliwości kategorii sieci Web w jednostce SKU w warstwie Standardowa, która pasuje do kategorii opartej na nazwie FQDN, jednostka SKU Premium odpowiada kategorii zgodnie z całym adresem URL zarówno dla ruchu HTTP, jak i HTTPS.
Kategorie sieci Web usługi Azure Firewall Premium są dostępne tylko w zasadach zapory. Upewnij się, że jednostka SKU zasad jest zgodna z jednostką SKU wystąpienia zapory. Jeśli na przykład masz wystąpienie zapory Premium, musisz użyć zasad Zapory Premium.
Jeśli na przykład usługa Azure Firewall przechwytuje żądanie HTTPS dla www.google.com/newsusługi , oczekiwana jest następująca kategoryzacja:
Zapora Standardowa — badana jest tylko część FQDN, więc
www.google.comjest klasyfikowana jako wyszukiwarka.Zapora Premium — pełny adres URL jest badany, więc
www.google.com/newsjest klasyfikowany jako Wiadomości.
Kategorie są zorganizowane na podstawie ważności pod kątem odpowiedzialności, wysokiej przepustowości, użycia biznesowego, utraty produktywności, ogólnego surfingu i bez kategorii. Aby uzyskać szczegółowy opis kategorii internetowych, zobacz Kategorie internetowe usługi Azure Firewall.
Rejestrowanie kategorii sieci Web
Ruch, który został przefiltrowany według kategorii sieci Web, można wyświetlić w dziennikach aplikacji. Pole Kategorie sieci Web jest wyświetlane tylko wtedy, gdy zostało jawnie skonfigurowane w regułach aplikacji zasad zapory. Jeśli na przykład nie masz reguły, która jawnie odrzuca wyszukiwarki, a użytkownik żąda przejścia do www.bing.com, zostanie wyświetlony tylko domyślny komunikat odmowy, a nie komunikat kategorii sieci Web. Wynika to z faktu, że kategoria sieci Web nie została jawnie skonfigurowana.
Wyjątki kategorii
Możesz utworzyć wyjątki od reguł kategorii sieci Web. Utwórz oddzielną kolekcję reguł zezwalania lub odmowy z wyższym priorytetem w grupie kolekcji reguł. Można na przykład skonfigurować kolekcję reguł, która zezwala na www.linkedin.com użycie priorytetu 100, z kolekcją reguł, która uniemożliwia korzystanie z sieci społecznościowych z priorytetem 200. Spowoduje to utworzenie wyjątku dla wstępnie zdefiniowanej kategorii sieci społecznościowej .
Wyszukiwanie kategorii sieci Web
Możesz zidentyfikować kategorię danej nazwy FQDN lub adresu URL, korzystając z funkcji Sprawdzania kategorii sieci Web. Aby tego użyć, wybierz kartę Kategorie sieci Web w obszarze Zasady zapory Ustawienia. Jest to przydatne podczas definiowania reguł aplikacji dla ruchu docelowego.
Ważne
Aby korzystać z funkcji Sprawdzaniakategorii sieci Web, użytkownik musi mieć dostęp do elementu Microsoft.Network/azureWebCategories/* na poziomie subskrypcji, a nie na poziomie grupy zasobów.
Zmiana kategorii
Na karcie Kategorie sieci Web w Ustawienia zasad zapory możesz zażądać zmiany kategorii, jeśli:
pomyśl, że nazwa FQDN lub adres URL powinny znajdować się w innej kategorii
lub
mają sugerowaną kategorię dla nieskategoryzowanej nazwy FQDN lub adresu URL
Po przesłaniu raportu zmiany kategorii otrzymasz token w powiadomieniach, które wskazują, że otrzymaliśmy żądanie przetworzenia. Możesz sprawdzić, czy żądanie jest w toku, odrzucone lub zatwierdzone, wprowadzając token na pasku wyszukiwania. Pamiętaj, aby zapisać identyfikator tokenu, aby to zrobić.
Kategorie sieci Web, które nie obsługują kończenia żądań protokołu TLS
Ze względu na prywatność i zgodność niektórych zaszyfrowanych ruchu internetowego nie można odszyfrować przy użyciu zakończenia protokołu TLS. Na przykład dane dotyczące kondycji pracowników przesyłane za pośrednictwem ruchu internetowego przez sieć firmową nie powinny być przerywane protokołem TLS ze względu na prywatność.
W związku z tym następujące kategorie sieci Web nie obsługują kończenia żądań protokołu TLS:
- Education
- Finance
- Instytucje rządowe
- Zdrowie i medycyna
Aby obejść ten problem, jeśli chcesz, aby określony adres URL obsługiwał zakończenie protokołu TLS, możesz ręcznie dodać adresy URL z kończeniem szyfrowania TLS w regułach aplikacji. Na przykład można dodać www.princeton.edu do reguł aplikacji, aby zezwolić na tę witrynę internetową.
Obsługiwane regiony
Aby uzyskać informacje o obsługiwanych regionach usługi Azure Firewall, zobacz Dostępność produktów platformy Azure według regionów.