Функции Брандмауэра Azure категории "Стандартный"
Брандмауэр Azure категории "Стандартный" — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure.
Брандмауэр Azure включает следующие функции.
- Встроенный высокий уровень доступности
- зоны доступности;
- неограниченную облачную масштабируемость;
- Правила фильтрации FQDN для приложений
- правила фильтрации трафика;
- Теги полного доменного имени
- Теги служб
- Аналитика угроз
- DNS-прокси
- Пользовательский DNS
- Полное доменное имя в правилах сети
- развертывание без общедоступного IP-адреса в режиме принудительного туннелирования;
- поддержку исходящих данных SNAT;
- Поддержка DNAT для входящего трафика
- Несколько общедоступных IP-адресов
- ведение журналов Azure Monitor;
- Принудительное туннелирование
- Веб-категории
- Сертификация
Чтобы сравнить функции Брандмауэр Azure для всех номеров SKU брандмауэра, см. раздел "Выбор правильного номера SKU Брандмауэр Azure для удовлетворения ваших потребностей".
Встроенный высокий уровень доступности
Встроены средства обеспечения высокого уровня доступности, поэтому не требуются дополнительные подсистемы балансировки нагрузки и ничего не нужно настраивать.
зоны доступности;
Брандмауэр Azure можно настроить во время развертывания. Это позволит охватить несколько зон доступности, что повысит уровень доступности. С использованием зон доступности ваша доступность вырастет до 99,99 % Подробнее этот вопрос рассматривается в соглашении об уровне обслуживания для Брандмауэра Azure. Если выбраны две или более зон доступности, предоставляется Соглашение об уровне обслуживания на уровне 99,99 %.
Также Брандмауэр Azure можно связать с определенной ближайшей зоной, используя для этого стандарт обслуживания на уровне 99,95 %.
Для брандмауэра, развернутого в нескольких зонах доступности, не взимается дополнительная плата. Кроме того, корпорация Майкрософт объявила, что Azure не будет взимать плату за передачу данных между зонами доступности независимо от того, используете ли вы частные или общедоступные IP-адреса в ресурсах Azure.
По мере масштабирования брандмауэра он создает экземпляры в зонах, в которые он находится. Таким образом, если брандмауэр находится только в зоне 1, новые экземпляры создаются в зоне 1. Если брандмауэр находится во всех трех зонах, он создает экземпляры в трех зонах по мере масштабирования.
Зоны доступности Брандмауэра Azure доступны в регионах, в которых поддерживаются зоны доступности. Дополнительные сведения см. в разделах "Регионы" с поддержкой Зоны доступности в Azure.
Примечание.
Зоны доступности можно настроить только во время развертывания. Существующий брандмауэр невозможно настроить на включения зон доступности.
Дополнительные сведения о Зонах доступности см. в статье Что такое Зоны доступности в Azure.
неограниченную облачную масштабируемость;
Брандмауэр Azure может горизонтально увеличить масштаб настолько, насколько это необходимо для изменения потоков сетевого трафика, поэтому нет необходимости выделять бюджет для пикового трафика.
Правила фильтрации FQDN для приложений
Можно ограничить исходящий трафик HTTP или HTTPS либо трафик Azure SQL указанным списком полных доменных имен (FQDN), включая подстановочные знаки. Эта функция не требует завершения TSL-запросов.
В следующем видео показано, как создать правило приложения:
правила фильтрации трафика;
Можно централизованно создавать разрешение или запрет правил сетевой фильтрации по исходному и целевому IP-адресу, порту и протоколу. Брандмауэр Azure полностью отслеживает состояние, поэтому он может различать правомерные пакеты для разных типов подключений. Правила применяются и регистрируются в нескольких подписках и виртуальных сетях.
Брандмауэр Azure поддерживает фильтрацию с отслеживанием состояния для сетевых протоколов уровня 3 и 4. Для фильтрации IP-протоколов уровня 3 выберите любой протокол в правиле сети и укажите для порта подстановочный знак *.
Теги полного доменного имени
Теги FQDN упрощают настройку прохождения трафика известных служб Azure через брандмауэр. К примеру, вам нужно, чтобы брандмауэр пропускал трафик Центра обновления Windows. Вы создаете правило приложения и добавляете тег Центра обновления Windows. Теперь трафик из Центра обновления Windows сможет проходить через брандмауэр.
Теги служб
Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности. Невозможно создать собственный тег службы или задать IP-адреса, которые будут входить в тег. Корпорация Майкрософт управляет префиксами адресов, заключенными в теге службы, и автоматически обновляет тег службы при изменении адресов.
Аналитика угроз
Фильтрация на основе Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence.
DNS-прокси
Если DNS-прокси включен, брандмауэр Azure может обрабатывать и пересылать запросы DNS из виртуальных сетей на нужный DNS-сервер. Эта функция очень важна и необходима для надежной фильтрации полных доменных имен в правилах сети. Вы можете включить DNS-прокси в параметрах брандмауэра Azure и политики брандмауэра. Дополнительные сведения о DNS-прокси см. в разделе Параметры DNS брандмауэра Azure.
Пользовательский DNS
Пользовательская служба DNS позволяет настроить брандмауэр Azure для использования собственного DNS-сервера, сделав при этом так, чтобы исходящие зависимости брандмауэра по-прежнему разрешались с помощью Azure DNS. Вы можете настроить один DNS-сервер или несколько серверов в Брандмауэр Azure и параметрах DNS политики брандмауэра. Дополнительные сведения о пользовательских DNS см. в разделе Параметры DNS брандмауэра Azure.
Брандмауэр Azure также может разрешать имена с помощью Частной зоны DNS Azure. Виртуальная сеть, в которой находится брандмауэр Azure, должна быть связана с Частной зоной Azure. Дополнительные сведения см. в статье Использование брандмауэра Azure в качестве DNS-сервера пересылки с Приватным каналом.
Полное доменное имя в правилах сети
Полные доменные имена можно использовать в правилах сети для разрешения DNS в брандмауэре Azure и в политике брандмауэра.
Указанные полные доменные имена в коллекциях правил преобразуются в IP-адреса на основе параметров DNS брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Так как эта возможность основана на разрешении DNS, настоятельно рекомендуется включить DNS-прокси, чтобы убедиться, что разрешение имен соответствует защищенным виртуальным машинам и брандмауэру.
Развертывание брандмауэра Azure без общедоступного IP-адреса в режиме принудительного туннелирования
Службе брандмауэра Azure для работы требуется общедоступный IP-адрес. В то же время в некоторых развертываниях предоставлять общедоступный IP-адрес непосредственно для доступа из Интернета нежелательно.
В таких случаях брандмауэр Azure можно развернуть в режиме принудительного туннелирования. Эта конфигурация создает сетевой адаптер управления, используемый Брандмауэр Azure для его операций. Сеть Datapath клиента может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован в другой брандмауэр или заблокирован.
Режим принудительного туннеля нельзя настроить во время выполнения. Вы можете повторно развернуть брандмауэр либо воспользоваться функцией остановки и запуска, чтобы перенастроить существующий брандмауэр Azure в режиме принудительного туннелирования. Брандмауэры в защищенных центрах всегда развертываются в режиме принудительного туннелирования.
поддержку исходящих данных SNAT;
Все исходящие IP-адреса виртуального трафика преобразовываются к общедоступному IP-адресу брандмауэра Azure (преобразование исходных сетевых адресов (NAT)). Можно определить и разрешить трафик, исходящий из виртуальной сети, к удаленным интернет-адресатам. Если Брандмауэр Azure имеет несколько общедоступных IP-адресов, настроенных для предоставления исходящего подключения, он будет использовать общедоступные IP-адреса по мере необходимости на основе доступных портов. Он будет случайным образом выбирать первый общедоступный IP-адрес и использовать только следующий доступный общедоступный IP-адрес после отсутствия дополнительных подключений из текущего общедоступного IP-адреса из-за исчерпания портов SNAT.
В сценариях с высокой пропускной способностью или динамическими шаблонами трафика рекомендуется использовать шлюз Azure NAT. Шлюз NAT Azure динамически выбирает общедоступные IP-адреса для предоставления исходящего подключения. Дополнительные сведения об интеграции шлюза NAT с Брандмауэр Azure см. в статье "Масштабирование портов SNAT" с шлюзом Azure NAT.
Шлюз NAT Azure можно использовать с Брандмауэр Azure, связав шлюз NAT с подсетью Брандмауэр Azure. Инструкции по этой конфигурации см. в руководстве по интеграции шлюза NAT с Брандмауэр Azure.
Брандмауэр Azure не использует SNAT, если IP-адрес назначения является IP-адресом частного диапазона согласно IANA RFC 1918.
Если для частных сетей в организации используются общедоступные IP-адреса, брандмауэр Azure будет использовать SNAT трафика для одного из своих частных IP-адресов AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.
Вы можете отслеживать использование портов SNAT в метриках службы Брандмауэр Azure. Узнайте больше и ознакомьтесь с рекомендациями по использованию портов SNAT в разделе Журналы и метрики Брандмауэра Azure.
Дополнительные сведения о поведении NAT Брандмауэр Azure см. в Брандмауэр Azure поведении NAT.
Поддержка DNAT для входящего трафика
Входящий Интернет-трафик, поступающий на общедоступный IP-адрес брандмауэра, преобразуется (этот процесс называется преобразованием сетевых адресов назначения — DNAT) и фильтруется по частным IP-адресам в виртуальных сетях.
Несколько общедоступных IP-адресов
С брандмауэром можно связать несколько общедоступных IP-адресов (до 250).
Это позволяет выполнить следующие сценарии:
- DNAT. Позволяет преобразовать несколько стандартных экземпляров порта для внутренних серверов. Например, если существует два общедоступных IP-адреса, то для обоих IP-адреса можно преобразовать TCP-порт 3389 (RDP).
- SNAT — дополнительные порты доступны для исходящих подключений SNAT, что снижает вероятность нехватки портов SNAT. На данный момент Брандмауэр Azure случайно выбирает общедоступные IP-адреса источника, которые можно использовать для подключения. Если в сети установлена любая фильтрация, необходимо разрешить все публичные IP-адреса, которые связанные с брандмауэром. Чтобы упростить эту настройку, можно использовать префикс общедоступного IP-адреса.
Дополнительные сведения о поведении NAT см. в Брандмауэр Azure поведении NAT.
ведение журналов Azure Monitor;
Все события интегрированы с Azure Monitor, что позволяет архивировать журналы в учетную запись хранения, передавать события в концентратор событий или отправлять их в журналы Azure Monitor. Примеры журналов Azure Monitor см. в разделе Журналы Azure Monitor для службы Брандмауэр Azure.
Дополнительные сведения см. в руководстве по мониторингу журналов и метрик Брандмауэр Azure.
Книга службы Брандмауэр Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Дополнительные сведения см. в статье Мониторинг журналов с помощью книги службы Брандмауэр Azure.
Принудительное туннелирование
Вы можете настроить Брандмауэр Azure, чтобы направить весь интернет-трафик в назначенный узел следующего перехода, а не непосредственно в Интернет. Например, у вас может быть локальный пограничный брандмауэр или другое сетевое виртуальное устройство (NVA) для обработки сетевого трафика перед передачей в Интернет. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).
Веб-категории
Веб-категории позволяют администраторам разрешать или запрещать доступ пользователей к таким категориям веб-сайтов, как азартные игры, веб-сайты социальных сетей и другие. Веб-категории включены в Брандмауэр Azure уровня "Стандартный", но более точно настроены в Брандмауэре Azure уровня "Премиум". В отличие от веб-категории в службе уровня "Стандарт" SKU включается в категорию на основе полного доменного имени, а на уровне "Премиум", SKU включается в категорию по всему URL-адресу для трафика HTTP и HTTPS. Дополнительные сведения о Брандмауэре Azure уровня "Премиум" см. в статье Функции Брандмауэра Azure уровня "Премиум".
Например, если брандмауэр Azure перехватывает запрос HTTPS для www.google.com/news
, классификация будет следующей.
Брандмауэр "Стандартный" — проверяется только часть полного доменного имени, поэтому
www.google.com
она классифицируется как поисковая система.Брандмауэр Premium — полный URL-адрес проверяется, поэтому
www.google.com/news
классифицируется как новости.
Категории организованы на основе уровня важности по следующим параметрам: Обязательство, Высокая пропускная способность, Бизнес-использования, Потери производительности, Общий просмотр веб-страниц и Без категорий.
Исключения для категорий
В правилах веб-категории можно создавать исключения. Создание отдельной коллекции разрешенных или запрещенных правил с более высоким приоритетом в рамках группы коллекции правил. Например, можно настроить коллекцию правил, которая разрешает www.linkedin.com
с приоритетом 100, с помощью коллекции правил, которая запрещает социальные сети с приоритетом 200. Это создает исключение для предопределенной веб-категории социальных сетей .
Сертификация
Брандмауэр Azure соответствует требованиям стандартов Payment Card Industry Data Security Standard (PCI DSS) и Международной организация по стандартизации (ISO), а также требованиям к отчетам System and Organization Controls (SOC). Дополнительные сведения см. в статье о сертификатах соответствия Брандмауэра Azure.