Azure Firewall Funcionalidades standard

Azure Firewall Standard é um serviço de segurança de rede gerido e baseado na nuvem que protege os recursos Rede Virtual do seu Azure.

Azure Firewall Funcionalidades standard

Azure Firewall inclui as seguintes características:

  • Elevada disponibilidade incorporada
  • Zonas de Disponibilidade
  • Escalabilidade da cloud sem restrições
  • Regras de filtragem de FQDN de aplicação
  • Regras de filtragem de tráfego de rede
  • Etiquetas FQDN
  • Etiquetas de serviço
  • Informações sobre ameaças
  • Procuração de DNS
  • DNS Personalizado
  • FQDN nas regras de rede
  • Implantação sem endereço IP público no modo de túnel forçado
  • Suporte SNAT de saída
  • Suporte DNAT de entrada
  • Vários endereços IP públicos
  • Registo do Azure Monitor
  • Túnel forçado
  • Categorias web
  • Certificações

Elevada disponibilidade incorporada

A alta disponibilidade é incorporada, por isso não são necessários saldos de carga extra e não há nada que precise configurar.

Zonas de Disponibilidade

Azure Firewall pode ser configurado durante a implementação para abranger vários Zonas de Disponibilidade para uma maior disponibilidade. Com Zonas de Disponibilidade, a sua disponibilidade aumenta para 99,99% de tempo de desconto. Para mais informações, consulte o Acordo de Nível de Serviço Azure Firewall (SLA). O SLA de 99,99% é oferecido quando são selecionados dois ou mais Zonas de Disponibilidade.

Também pode associar Azure Firewall a uma zona específica apenas por razões de proximidade, utilizando a norma de serviço 99,95% SLA.

Não há custo adicional para uma firewall implantada em mais de uma Zona de Disponibilidade. No entanto, existem custos adicionais para transferências de dados de entrada e saída associadas a Zonas de Disponibilidade. Para mais informações, consulte os detalhes dos preços da largura de banda.

Azure Firewall Zonas de Disponibilidade estão disponíveis em regiões que apoiam Zonas de Disponibilidade. Para mais informações, consulte regiões que apoiam Zonas de Disponibilidade em Azure

Nota

Zonas de Disponibilidade só podem ser configurados durante a colocação. Não é possível configurar uma firewall existente para incluir Zonas de Disponibilidade.

Para mais informações sobre Zonas de Disponibilidade, consulte Regiões e Zonas de Disponibilidade em Azure.

Escalabilidade da cloud sem restrições

Azure Firewall pode aumentar o máximo que precisar para acomodar os fluxos de tráfego de rede em mudança, por isso não precisa de orçamentar para o seu tráfego máximo.

Regras de filtragem de FQDN de aplicação

Pode limitar o tráfego http/S de saída ou SQL do Azure tráfego a uma lista especificada de nomes de domínio totalmente qualificados (FQDN) incluindo cartões selvagens. Esta funcionalidade não requer a rescisão do TLS.

Regras de filtragem de tráfego de rede

Pode criar centralmente regras de filtragem de rede por endereço IP de origem e destino, porta e protocolo. O Azure Firewall tem total monitoração de estado, para conseguir distinguir pacotes legítimos para diferentes tipos de ligações. As regras são impostas e registadas em várias subscrições e redes virtuais.

Azure Firewall suporta filtragem imponente dos protocolos de rede da Camada 3 e da Camada 4. Os protocolos IP da camada 3 podem ser filtrados selecionando qualquer protocolo na regra da Rede e selecione o wild-card * para a porta.

Etiquetas FQDN

As tags FQDN facilitam-lhe a entrada de tráfego de rede de serviços Azure bem conhecido através da sua firewall. Por exemplo, digamos que deseja permitir tráfego de rede do Windows Update através da firewall. Crie uma regra de aplicação e inclua a etiqueta do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através da firewall.

Etiquetas de serviço

Uma etiqueta de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade para a criação de regras de segurança. Não é possível criar a sua própria etiqueta de serviço, nem especificar quais endereços IP estão incluídos numa etiqueta. A Microsoft gere os prefixos de endereços que as etiquetas abrangem e atualiza-as automaticamente à medida que os endereços são alterados.

Informações sobre ameaças

A filtragem baseada em inteligência de ameaça pode ser ativada para a sua firewall alertar e negar tráfego de/para endereços e domínios IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft.

Procuração de DNS

Com o proxy DNS ativado, Azure Firewall podem processar e encaminhar consultas dns de um Rede Virtual(s) para o seu servidor DNS pretendido. Esta funcionalidade é crucial e necessária para ter uma filtragem FQDN fiável nas regras da rede. Pode ativar o proxy DNS nas definições Azure Firewall e Política de Firewall. Para saber mais sobre o dns proxy, consulte Azure Firewall configurações DNS.

DNS Personalizado

O DNS personalizado permite-lhe configurar Azure Firewall utilizar o seu próprio servidor DNS, garantindo que as dependências de saída da firewall ainda estão resolvidas com o Azure DNS. Pode configurar um único servidor DNS ou vários servidores nas definições de DNS Azure Firewall e política de firewall. Saiba mais sobre DNS personalizados, consulte Azure Firewall configurações DNS.

Azure Firewall também podem resolver nomes usando a DNS Privado Azure. A rede virtual onde reside o Azure Firewall deve estar ligada à Zona Privada do Azure. Para saber mais, consulte Usar Azure Firewall como DNS Forwarder com Private Link.

FQDN nas regras de rede

Pode utilizar nomes de domínio totalmente qualificados (FQDNs) em regras de rede com base na resolução de DNS em Azure Firewall e Política de Firewall.

As FQDNs especificadas nas suas coleções de regras são traduzidas para endereços IP com base nas definições de DNS de firewall. Esta capacidade permite filtrar o tráfego de saída utilizando FQDNs com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP, entre outros). Uma vez que esta capacidade se baseia na resolução de DNS, recomenda-se vivamente que o representante do DNS garanta que a resolução do nome é consistente com as máquinas virtuais protegidas e firewall.

Implementar Azure Firewall sem endereço IP público no modo Túnel Forçado

O serviço Azure Firewall requer um endereço IP público para fins operacionais. Embora seguros, algumas implementações preferem não expor um endereço IP público diretamente na Internet.

Nesses casos, pode colocar Azure Firewall no modo Túnel Forçado. Esta configuração cria um NIC de gestão que é utilizado pela Azure Firewall para as suas operações. A rede Desatado de Inquilinos pode ser configurada sem endereço IP público, e o tráfego de Internet pode ser forçado a fazer um túnel para outra firewall ou completamente bloqueado.

O modo de túnel forçado não pode ser configurado no tempo de execução. Pode recolocar a Firewall ou utilizar a instalação stop e start para reconfigurar uma Azure Firewall existente no modo Túnel Forçado. As firewalls implantadas em Secure Hubs são sempre implantadas no modo Túnel Forçado.

Suporte SNAT de saída

Todos os endereços IP de tráfego de rede virtual de saída são convertidos no IP público do Azure Firewall (Tradução de Endereços de Rede de Origem). Pode identificar e permitir tráfego com origem na sua rede virtual para destinos de Internet remotos. Azure Firewall não SNAT quando o destino IP é uma gama de IP privada por IANA RFC 1918.

Se a sua organização utilizar um intervalo de endereços IP público para redes privadas, Azure Firewall irá SNAT o tráfego para um dos endereços IP privados de firewall em AzureFirewallSubnet. Pode configurar Azure Firewall não para SNAT o seu intervalo de endereços IP públicos. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.

Pode monitorizar a utilização da porta SNAT em métricas Azure Firewall. Saiba mais e consulte a nossa recomendação sobre a utilização do porto SNAT na documentação de registos e métricas de firewall.

Suporte DNAT de entrada

O tráfego de rede de Internet de entrada para o seu endereço IP público de firewall é traduzido (Tradução de Endereço de Rede de Destino) e filtrado para os endereços IP privados nas suas redes virtuais.

Vários endereços IP públicos

Pode associar vários endereços IP públicos (até 250) à sua firewall.

Isto permite os seguintes cenários:

  • DNAT - Pode traduzir várias instâncias de porta padrão para os seus servidores backend. Por exemplo, se tiver dois endereços IP públicos, poderá converter a porta TCP 3389 (RDP) para ambos os endereços IP.
  • SNAT - Estão disponíveis mais portas para ligações SNAT de saída, reduzindo o potencial de exaustão portuária SNAT. Neste momento, Azure Firewall seleciona aleatoriamente o endereço IP público de origem para utilizar para uma ligação. Se tiver alguma filtragem a jusante na rede, terá de permitir todos os endereços IP públicos associados à firewall. Considere utilizar um prefixo de endereço IP público para simplificar esta configuração.

Registo do Azure Monitor

Todos os eventos são integrados com o Azure Monitor, permitindo-lhe arquivar registos numa conta de armazenamento, transmitir eventos para o seu Centro de Eventos ou enviá-los para registos do Azure Monitor. Para obter amostras de registo do Monitor Azure, consulte os registos do Monitor Azure para Azure Firewall.

Para obter mais informações, consulte Tutorial: Monitorize registos e métricas Azure Firewall.

Azure Firewall Workbook fornece uma tela flexível para Azure Firewall análise de dados. Pode usá-lo para criar relatórios visuais ricos dentro do portal do Azure. Para obter mais informações, consulte os registos do Monitor utilizando Azure Firewall Livro de Trabalho.

Túnel forçado

Você pode configurar Azure Firewall para encaminhar todo o tráfego ligado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, pode ter uma firewall de borda no local ou outro aparelho virtual de rede (NVA) para processar o tráfego de rede antes de ser passado para a Internet. Para mais informações, consulte Azure Firewall túneis forçados.

Categorias web

As categorias web permitem que os administradores permitam ou neguem o acesso dos utilizadores a categorias de sites de jogos, tais como sites de jogos de azar, sites de redes sociais, entre outros. As categorias web estão incluídas no Azure Firewall Standard, mas é mais afinada em Azure Firewall Premium. Ao contrário da capacidade das categorias Web no SKU Standard que corresponde à categoria baseada numa FQDN, o Premium SKU corresponde à categoria de acordo com todo o URL para tráfego HTTP e HTTPS. Para mais informações sobre Azure Firewall Premium, consulte Azure Firewall Funcionalidades Premium.

Por exemplo, se Azure Firewall intercetar um pedido HTTPS parawww.google.com/news, espera-se a seguinte categorização:

  • Firewall Standard – apenas a parte FQDN será examinada, por isso www.google.com será classificada como Motor de Busca.

  • Firewall Premium – o URL completo será examinado, pelo www.google.com/news que será classificado como Notícias.

As categorias são organizadas com base na gravidade em Responsabilidade, Largura de Banda Alta, Uso de Negócios, Perda de Produtividade, Surf Geral e Uncategorized.

Exceções de categoria

Pode criar exceções às regras da sua categoria web. Crie uma recolha de regras de permitir ou negar regras separadas com uma prioridade maior dentro do grupo de recolha de regras. Por exemplo, pode configurar uma coleção de regras que permite www.linkedin.com com prioridade 100, com uma coleção de regras que nega a rede social com prioridade 200. Isto cria a exceção para a categoria web de redes sociais pré-definida.

Certificações

Azure Firewall é a Indústria de Cartões de Pagamento (PCI), os Controlos da Organização de Serviços (SOC), a Organização Internacional de Normalização (ISO) e a ICSA Labs em conformidade. Para mais informações, consulte Azure Firewall certificações de conformidade.

Passos seguintes