Co to jest usługa Azure Firewall?

Ukończone

Tutaj poznasz podstawy usługi Azure Firewall i usługi Azure Firewall Manager. To omówienie powinno pomóc w podjęciu decyzji, czy usługi Azure Firewall i Azure Firewall Manager są dobrym rozwiązaniem w przypadku strategii zabezpieczeń sieci firmy Contoso.

Omówienie usługi Azure Firewall

Azure Firewall to oparta na chmurze usługa zabezpieczeń, która chroni zasoby sieci wirtualnej platformy Azure przed zagrożeniami przychodzącymi i wychodzącymi. W kilku następnych sekcjach poznasz podstawy i kluczowe funkcje usługi Azure Firewall.

Co to jest zapora?

Zapora to funkcja zabezpieczeń sieci, która znajduje się między zaufaną siecią a niezaufaną siecią, taką jak Internet. Zadaniem zapory jest analizowanie całego przychodzącego i wychodzącego ruchu sieciowego. Na podstawie tej analizy zapora zezwala na przekazywanie ruchu lub odrzuca ruch. W idealnym przypadku zapora zezwala na cały legalny ruch, jednocześnie odmawiając złośliwego ruchu, takiego jak złośliwe oprogramowanie i próby włamania.

Domyślnie większość zapór blokuje cały ruch przychodzący i wychodzący. Gdy zapora analizuje ruch sieciowy, sprawdza, czy określone warunki mają zostać spełnione, zanim umożliwią przejście ruchu. Te warunki mogą być określonym adresem IP, nazwą FQDN, portem sieciowym, protokołem sieciowym lub dowolną kombinacją.

Razem te warunki definiują regułę zapory. Zapora może mieć tylko jedną regułę, ale większość zapór jest skonfigurowana przy użyciu wielu reguł. Tylko ruch sieciowy spełniający warunki reguł zapory może przechodzić.

Niektóre zapory są oparte na sprzęcie i znajdują się wewnątrz urządzeń, które są tworzone jako zapory. Inne zapory to programy programowe uruchamiane na urządzeniach obliczeniowych ogólnego przeznaczenia.

Co to jest usługa Azure Firewall?

Azure Firewall to oparta na chmurze usługa zapory. W większości konfiguracji usługa Azure Firewall jest aprowizowana w sieci wirtualnej koncentratora. Ruch do i z sieci wirtualnych szprych i sieci lokalnej przechodzi przez zaporę z siecią piasty.

Cały ruch do i z Internetu jest domyślnie blokowany. Ruch jest dozwolony tylko w przypadku przeprowadzania różnych testów, takich jak skonfigurowane reguły zapory.

Network diagram of a hub virtual network, several spoke virtual networks, and an on-premises network. It shows all traffic to and from the internet passing through an Azure Firewall instance in the hub network.

Uwaga

Usługa Azure Firewall działa nie tylko w przypadku ruchu do i z Internetu, ale także wewnętrznie. Filtrowanie ruchu wewnętrznego obejmuje ruch szprychy i ruch w chmurze hybrydowej między siecią lokalną a siecią wirtualną platformy Azure.

Najważniejsze funkcje usługi Azure Firewall w warstwie Standardowa

W poniższej tabeli wymieniono kluczowe funkcje usługi Azure Firewall w warstwie Standardowa.

Funkcja opis
Translacja źródłowych adresów sieciowych (SNAT) Cały ruch wychodzący jest wysyłany do prywatnego adresu IP wystąpienia usługi Azure Firewall. Adres IP każdej źródłowej maszyny wirtualnej jest tłumaczony na statyczny publiczny adres IP wystąpienia usługi Azure Firewall. Do wszystkich zewnętrznych miejsc docelowych ruch sieciowy wydaje się pochodzić z jednego publicznego adresu IP.
Translacja docelowych adresów sieciowych (DNAT) Cały ruch przychodzący ze źródeł zewnętrznych jest wysyłany do publicznego adresu IP wystąpienia usługi Azure Firewall. Dozwolony ruch jest tłumaczony na prywatny adres IP zasobu docelowego w sieci wirtualnej.
Reguły aplikacji Reguły ograniczające ruch wychodzący do listy nazw FQDN. Na przykład można zezwolić na ruch wychodzący w celu uzyskania dostępu do nazwy FQDN określonego wystąpienia bazy danych SQL.
Reguły sieci Reguły dla ruchu przychodzącego i wychodzącego na podstawie parametrów sieci. Te parametry obejmują docelowy lub źródłowy adres IP; port sieciowy; i protokół sieciowy.
Analiza zagrożeń Filtruje ruch przychodzący i wychodzący na podstawie reguł analizy zagrożeń firmy Microsoft, które definiują znane złośliwe adresy IP i nazwy domen. Usługę Azure Firewall można skonfigurować przy użyciu jednego z dwóch trybów analizy zagrożeń: alertuj, gdy ruch ulegnie awarii, reguła analizy zagrożeń lub alert i odmów ruchu.
Stanowe Sprawdza pakiety sieciowe w kontekście, a nie tylko indywidualnie. Jeśli co najmniej jeden pakiet otrzyma nieoczekiwanie bieżący ruch, usługa Azure Firewall traktuje pakiety jako złośliwe i odrzuca je.
Wymuszone tunelowanie Umożliwia usłudze Azure Firewall kierowanie całego ruchu wychodzącego do określonego zasobu sieciowego, a nie bezpośrednio do Internetu. Zasób sieciowy może być lokalną zaporą sprzętową lub wirtualnym urządzeniem sieciowym, które przetwarza ruch przed zezwoleniem na przekazywanie go do Internetu.
Pomoc techniczna dla tagów Usługa Azure Firewall obsługuje tagi usług i tagi FQDN, aby ułatwić konfigurację reguł. Tag usługi to jednostka tekstowa reprezentująca usługę platformy Azure. Na przykład azureCosmosDB to tag usługi dla usługi Azure Cosmos DB. Tag nazwy FQDN to jednostka tekstowa reprezentująca grupę nazw domen skojarzonych z popularnymi usługi firmy Microsoft. Na przykład WindowsVirtualDesktop to tag FQDN dla ruchu usługi Azure Virtual Desktop.
Serwer proxy DNS Po włączeniu serwera proxy DNS usługa Azure Firewall może przetwarzać i przekazywać zapytania DNS z sieci wirtualnych do żądanego serwera DNS.
Niestandardowe DNS Umożliwia skonfigurowanie usługi Azure Firewall do używania własnego serwera DNS, przy jednoczesnym zapewnieniu, że zależności wychodzące zapory są nadal rozwiązywane z usługą Azure DNS.
Kategorie internetowe Funkcja Kategorie sieci Web umożliwia administratorom zezwalanie lub odmawianie dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne.
Monitorowanie Usługa Azure Firewall rejestruje cały przychodzący i wychodzący ruch sieciowy i można analizować wynikowe dzienniki przy użyciu usług Azure Monitor, Power BI, Excel i innych narzędzi.

Co to jest usługa Azure Firewall Premium?

Usługa Azure Firewall Premium zapewnia zaawansowaną ochronę przed zagrożeniami, która spełnia potrzeby wysoce wrażliwych i regulowanych środowisk, takich jak płatności i branże opieki zdrowotnej.

Firewall Premium architecture

Najważniejsze funkcje usługi Azure Firewall — wersja Premium

W poniższej tabeli wymieniono najważniejsze funkcje usługi Azure Firewall — wersja Premium.

Funkcja opis
Inspekcja protokołu TLS Odszyfrowuje ruch wychodzący, przetwarza dane, a następnie szyfruje dane i wysyła je do miejsca docelowego.
IDPS System wykrywania i zapobiegania włamaniom do sieci (IDPS) umożliwia monitorowanie działań sieciowych pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania.
Filtrowanie adresów URL Rozszerza możliwość filtrowania nazw FQDN usługi Azure Firewall, aby uwzględnić cały adres URL. Na przykład www.contoso.com/a/c zamiast www.contoso.com.
Kategorie internetowe Administracja istratorzy mogą zezwalać lub odmawiać użytkownikowi dostępu do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne. Kategorie sieci Web mogą być bardziej precyzyjne w usłudze Azure Firewall — wersja Premium.

Co to jest usługa Azure Firewall w warstwie Podstawowa?

Usługa Azure Firewall w warstwie Podstawowa jest przeznaczona dla klientów o małym i średnim rozmiarze (SMB), aby zabezpieczyć swoje środowiska w chmurze platformy Azure. Zapewnia podstawową ochronę klientów SMB potrzebnych w przystępnej cenie.

Diagram showing Firewall Basic.

Podstawowa usługa Azure Firewall jest podobna do zapory w warstwie Standardowa, ale ma następujące główne ograniczenia:

  • Obsługuje tylko tryb alertu funkcji Threat Intel.
  • Naprawiono jednostkę skalowania, aby uruchomić usługę w dwóch wystąpieniach zaplecza maszyny wirtualnej.
  • Zalecane w przypadku środowisk z szacowaną przepływnością wynoszącą 250 Mb/s.

Omówienie usługi Azure Firewall Manager

Usługa Azure Firewall Manager zapewnia centralny punkt konfiguracji i zarządzania wieloma wystąpieniami usługi Azure Firewall. Usługa Azure Firewall Manager umożliwia tworzenie co najmniej jednej zasady zapory i szybkie stosowanie ich do wielu zapór.

Co to są zasady zapory?

Konfiguracja pojedynczej usługi Azure Firewall może być skomplikowana. Na przykład zapora może być skonfigurowana z wieloma kolekcjami reguł. Kolekcja jest kombinacją dowolnych lub wszystkich następujących elementów:

  • Co najmniej jedna reguła translatora adresów sieciowych (NAT)
  • Co najmniej jedna reguła sieci
  • Co najmniej jedna reguła aplikacji

Jeśli uwzględnisz inne ustawienia zapory, takie jak niestandardowe reguły DNS i analizy zagrożeń, skonfigurowanie tylko jednej zapory może być obciążeniem. Dodanie tego obciążenia to dwa typowe scenariusze zabezpieczeń sieci:

  • Architektury sieci wymagają wielu zapór.
  • Każda zapora ma implementować zarówno podstawowy poziom reguł zabezpieczeń, które mają zastosowanie do wszystkich użytkowników, jak i specjalne reguły dla wyznaczonych grup, takich jak deweloperzy, użytkownicy bazy danych i dział marketingu.

Aby uprościć złożoność zarządzania tymi i podobnymi scenariuszami zapory, można zaimplementować zasady zapory. Zasady zapory to zasób platformy Azure zawierający co najmniej jedną kolekcję reguł NAT, sieci i aplikacji. Zawiera również niestandardowe ustawienia DNS, ustawienia analizy zagrożeń i inne.

Kluczowym punktem jest to, że platforma Azure oferuje zasób o nazwie Zasady zapory. Tworzone zasady zapory to wystąpienie tego zasobu. Jako oddzielny zasób można szybko zastosować zasady do wielu zapór przy użyciu usługi Azure Firewall Manager. Można utworzyć jedną zasadę, która ma być zasadami podstawowymi, a następnie mieć bardziej wyspecjalizowane zasady dziedziczą reguły zasad podstawowych.

Najważniejsze funkcje usługi Azure Firewall Manager

W poniższej tabeli wymieniono kluczowe funkcje usługi Azure Firewall Manager.

Funkcja opis
Scentralizowane zarządzanie Zarządzaj wszystkimi konfiguracjami zapory w całej sieci.
Zarządzanie wieloma zaporami Wdrażanie, konfigurowanie i monitorowanie dowolnej liczby zapór z jednego interfejsu.
Obsługuje wiele architektur sieci Chroni zarówno standardowe sieci wirtualne platformy Azure, jak i usługę Azure Virtual WAN Hubs.
Routing zautomatyzowanego ruchu Ruch sieciowy jest automatycznie kierowany do zapory (tylko w przypadku użycia z usługą Azure Virtual WAN Hub).
Zasady hierarchiczne Umożliwia tworzenie tzw nadrzędnych i podrzędnych zasad zapory. Zasady nadrzędne zawierają reguły i ustawienia, które mają być stosowane globalnie. Zasady podrzędne dziedziczą wszystkie reguły i ustawienia elementu nadrzędnego.
Obsługa dostawców zabezpieczeń innych firm Umożliwia integrację rozwiązań zabezpieczeń jako usługi (SECaaS) innych firm w celu ochrony połączenia internetowego sieci.
Plan ochrony przed atakami DDoS Sieci wirtualne można skojarzyć z planem ochrony przed atakami DDoS w usłudze Azure Firewall Manager.
Zarządzanie zasadami zapory aplikacji internetowej Możesz centralnie tworzyć i kojarzyć zasady zapory aplikacji internetowej (WAF) dla platform dostarczania aplikacji, w tym usług Azure Front Door i aplikacja systemu Azure Gateway.

Uwaga

Dzięki umożliwieniu integracji rozwiązań SECaaS innych firm strategia zabezpieczeń sieci może służyć do monitorowania ruchu sieciowego lokalnego przy użyciu dostawcy SECaaS innej firmy w celu monitorowania ruchu internetowego.

Opcje architektury

Usługa Azure Firewall Manager zapewnia zarządzanie zabezpieczeniami dla następujących dwóch architektur sieci:

  • Sieć wirtualna koncentratora. Standardowa sieć wirtualna platformy Azure, w której są stosowane co najmniej jedno zasady zapory.
  • Zabezpieczone koncentrator wirtualny. Usługa Azure Virtual WAN Hub, w której są stosowane co najmniej jedno zasady zapory.