Azure Firewall Standard-funktioner
Azure Firewall Standard är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser.
Azure Firewall innehåller följande funktioner:
- Inbyggd hög tillgänglighet
- Tillgänglighetszoner
- Obegränsad molnskalbarhet
- Programmets FQDN-filtreringsregler
- Regler för filtrering av nätverkstrafik
- FQDN-taggar
- Tjänsttaggar
- Hotinformation
- DNS-proxy
- Anpassad DNS
- FQDN i nätverksregler
- Distribution utan offentlig IP-adress i tvingad tunnelläge
- Stöd för utgående SNAT
- Stöd för inkommande DNAT
- Flera offentliga IP-adresser
- Azure Monitor-loggning
- Tvingad tunneltrafik
- Webbkategorier
- Certifieringar
Om du vill jämföra Azure Firewall-funktioner för alla brandväggs-SKU:er läser du Välj rätt Azure Firewall SKU för att uppfylla dina behov.
Inbyggd hög tillgänglighet
Hög tillgänglighet är inbyggd, så inga extra lastbalanserare krävs och det finns inget du behöver konfigurera.
Tillgänglighetszoner
Azure Firewall kan konfigureras under distributionen för att omfatta flera tillgänglighetszoner för ökad tillgänglighet. Med tillgänglighetszoner ökar tillgängligheten till 99,99 % drifttid. Mer information finns i Service Level Agreement (SLA) för Azure Firewall. Serviceavtalet för drifttid på 99,99 % erbjuds när två eller flera tillgänglighetszoner väljs.
Du kan också associera Azure Firewall med en specifik zon bara av närhetsskäl med servicestandarden 99,95 % serviceavtal.
Det kostar inget extra för en brandvägg som distribueras i mer än en tillgänglighetszon. Dessutom har Microsoft meddelat att Azure inte debiterar för dataöverföringen mellan tillgänglighetszoner, oavsett om du använder privata eller offentliga IP-adresser på dina Azure-resurser.
När brandväggen skalar skapas instanser i de zoner som den finns i. Så om brandväggen endast finns i zon 1 skapas nya instanser i zon 1. Om brandväggen finns i alla tre zonerna skapar den instanser över de tre zonerna när den skalar.
Azure Firewall-tillgänglighetszoner är tillgängliga i regioner som stöder tillgänglighetszoner. Mer information finns i Regioner som stöder tillgänglighetszoner i Azure.
Kommentar
Tillgänglighetszoner kan bara konfigureras under distributionen. Du kan inte konfigurera en befintlig brandvägg för att inkludera tillgänglighetszoner.
Mer information om tillgänglighetszoner finns i Regioner och tillgänglighetszoner i Azure.
Obegränsad molnskalbarhet
Azure Firewall kan skala ut så mycket du behöver för att hantera föränderliga nätverkstrafikflöden, så du behöver inte budgetera för din högsta trafik.
Programmets FQDN-filtreringsregler
Du kan begränsa utgående HTTP/S-trafik eller Azure SQL-trafik till en angiven lista över fullständigt kvalificerade domännamn (FQDN) inklusive jokertecken. Den här funktionen kräver inte TLS-avslutning.
Följande video visar hur du skapar en programregel:
Regler för filtrering av nätverkstrafik
Du kan centralt skapa nätverksfiltreringsreglerna tillåt eller neka efter källans och målets IP-adress, port och protokoll. Azure Firewall är helt tillståndskänslig så att den kan identifiera legitima paket för olika typer av anslutningar. Regler tillämpas och loggas i flera prenumerationer och virtuella nätverk.
Azure Firewall stöder tillståndskänslig filtrering av Layer 3- och Layer 4-nätverksprotokoll. Ip-protokoll för Layer 3 kan filtreras genom att välja Valfritt protokoll i nätverksregeln och välja jokertecken * för porten.
FQDN-taggar
FQDN-taggar gör det enkelt för dig att tillåta välkänd Nätverkstrafik i Azure-tjänsten via brandväggen. Anta exempelvis att du vill tillåta Windows Update-nätverkstrafik via brandväggen. Du skapar en programregel och inkluderar Windows Update-taggen. Nätverkstrafik från Windows Update kan nu flöda genom brandväggen.
Tjänsttaggar
En tjänsttagg representerar en grupp MED IP-adressprefix för att minimera komplexiteten vid skapande av säkerhetsregler. Du kan inte skapa en egen tjänsttagg eller ange vilka IP-adresser som ingår i en tagg. Microsoft hanterar adressprefixen som omfattar tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresser ändras.
Hotinformation
Hotinformationsbaserad filtrering kan aktiveras för brandväggen för att avisera och neka trafik från/till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet.
DNS-proxy
När DNS-proxyn är aktiverad kan Azure Firewall bearbeta och vidarebefordra DNS-frågor från ett virtuellt nätverk till önskad DNS-server. Den här funktionen är avgörande och krävs för att ha tillförlitlig FQDN-filtrering i nätverksregler. Du kan aktivera DNS-proxy i Inställningar för Azure Firewall och Brandväggsprincip. Mer information om DNS-proxy finns i DNS-inställningar för Azure Firewall.
Anpassad DNS
Med anpassad DNS kan du konfigurera Azure Firewall att använda din egen DNS-server, samtidigt som du ser till att brandväggens utgående beroenden fortfarande matchas med Azure DNS. Du kan konfigurera en enskild DNS-server eller flera servrar i DNS-inställningarna för Azure Firewall and Firewall Policy. Läs mer om anpassad DNS i DNS-inställningar för Azure Firewall.
Azure Firewall kan också matcha namn med hjälp av Azure Private DNS. Det virtuella nätverk där Azure Firewall finns måste vara länkat till den privata Azure-zonen. Mer information finns i Använda Azure Firewall som DNS-vidarebefordrare med Private Link.
FQDN i nätverksregler
Du kan använda fullständigt kvalificerade domännamn (FQDN) i nätverksregler baserat på DNS-matchning i Azure Firewall and Firewall Policy.
De angivna FQDN:erna i regelsamlingarna översätts till IP-adresser baserat på brandväggens DNS-inställningar. Med den här funktionen kan du filtrera utgående trafik med hjälp av FQDN med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Eftersom den här funktionen baseras på DNS-matchning rekommenderar vi starkt att du aktiverar DNS-proxyn för att säkerställa att namnmatchningen överensstämmer med dina skyddade virtuella datorer och brandväggar.
Distribuera Azure Firewall utan offentlig IP-adress i läget Tvingad tunnel
Azure Firewall-tjänsten kräver en offentlig IP-adress i driftssyfte. Även om det är säkert föredrar vissa distributioner att inte exponera en offentlig IP-adress direkt till Internet.
I sådana fall kan du distribuera Azure Firewall i läget Tvingad tunnel. Den här konfigurationen skapar ett nätverkskort för hantering som används av Azure Firewall för dess åtgärder. Klientorganisationens Datapath-nätverk kan konfigureras utan en offentlig IP-adress, och Internettrafik kan tvingas tunneltrafik till en annan brandvägg eller blockeras.
Forcerat tunnelläge kan inte konfigureras vid körning. Du kan antingen omdistribuera brandväggen eller använda stopp- och startanläggningen för att konfigurera om en befintlig Azure-brandvägg i läget Tvingad tunnel. Brandväggar som distribueras i Säkra hubbar distribueras alltid i läget Tvingad tunnel.
Stöd för utgående SNAT
Alla IP-adresser för utgående trafik över virtuellt nätverk översätts till den offentliga Azure Firewall-IP-adressen (Source Network Address Translation). Du kan identifiera och tillåta trafik som kommer från ditt virtuella nätverk till fjärranslutna Internetmål. När Azure Firewall har flera offentliga IP-adresser konfigurerade för att tillhandahålla utgående anslutning använder den offentliga IP-adresser efter behov baserat på tillgängliga portar. Den väljer slumpmässigt den första offentliga IP-adressen och använder endast nästa tillgängliga offentliga IP-adress när inga fler anslutningar kan göras från den aktuella offentliga IP-adressen på grund av SNAT-portöverbelastning.
I scenarier där du har ett högt dataflöde eller dynamiska trafikmönster rekommenderar vi att du använder en Azure NAT Gateway. Azure NAT Gateway väljer dynamiskt offentliga IP-adresser för att tillhandahålla utgående anslutning. Mer information om hur du integrerar NAT Gateway med Azure Firewall finns i Skala SNAT-portar med Azure NAT Gateway.
Azure NAT Gateway kan användas med Azure Firewall genom att associera NAT Gateway till Azure Firewall-undernätet. Mer information om den här konfigurationen finns i självstudien Integrera NAT-gateway med Azure Firewall .
Azure Firewall inte SNAT när mål-IP är ett privat IP-intervall per IANA RFC 1918.
Om din organisation använder ett offentligt IP-adressintervall för privata nätverk kommer Azure Firewall att SNAT trafiken till en av brandväggens privata IP-adresser i AzureFirewallSubnet. Du kan konfigurera Azure Firewall till att inte SNAT ditt offentliga IP-adressintervall. Mer information finns i avsnittet om Azure Firewall och SNAT med privata IP-adressintervall.
Du kan övervaka SNAT-portanvändning i Azure Firewall-mått. Läs mer och se vår rekommendation om SNAT-portanvändning i vår dokumentation om brandväggsloggar och mått.
Mer detaljerad information om NAT-beteenden i Azure Firewall finns i NAT-beteenden för Azure Firewall.
Stöd för inkommande DNAT
Inkommande Internetnätverkstrafik till brandväggens offentliga IP-adress översätts (målnätverksadressöversättning) och filtreras till de privata IP-adresserna i dina virtuella nätverk.
Flera offentliga IP-adresser
Du kan associera flera offentliga IP-adresser (upp till 250) med brandväggen.
Detta möjliggör följande scenarier:
- DNAT – Du kan översätta flera standardportinstanser till dina serverdelsservrar. Om du till exempel har två offentliga IP-adresser kan du översätta TCP-port 3389 (RDP) för båda IP-adresserna.
- SNAT – Fler portar är tillgängliga för utgående SNAT-anslutningar, vilket minskar risken för SNAT-portöverbelastning. För närvarande väljer Azure Firewall slumpmässigt den offentliga käll-IP-adress som ska användas för en anslutning. Om du har filtrering nedströms i nätverket måste du tillåta alla offentliga IP-adresser som är associerade med brandväggen. Överväg att använda ett offentligt IP-adressprefix för att förenkla den här konfigurationen.
Mer information om NAT-beteenden finns i NAT-beteenden i Azure Firewall.
Azure Monitor-loggning
Alla händelser är integrerade med Azure Monitor, så att du kan arkivera loggar till ett lagringskonto, strömma händelser till din händelsehubb eller skicka dem till Azure Monitor-loggar. Azure Monitor-loggexempel finns i Azure Monitor-loggar för Azure Firewall.
Mer information finns i Självstudie: Övervaka Loggar och mått för Azure Firewall.
Azure Firewall-arbetsboken ger en flexibel arbetsyta för dataanalys i Azure Firewall. Du kan använda den för att skapa omfattande visuella rapporter i Azure-portalen. Mer information finns i Övervaka loggar med hjälp av Azure Firewall-arbetsbok.
Tvingad tunneltrafik
Du kan konfigurera Azure Firewall för att dirigera all Internetbunden trafik till ett angivet nästa hopp i stället för att gå direkt till Internet. Du kan till exempel ha en lokal gränsbrandvägg eller en annan virtuell nätverksinstallation (NVA) för att bearbeta nätverkstrafik innan den skickas till Internet. Mer information finns i Tvingad tunneltrafik i Azure Firewall.
Webbkategorier
Med webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier ingår i Azure Firewall Standard, men de är mer finjusterade i Azure Firewall Premium. Till skillnad från funktionen webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar Premium SKU kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik. Mer information om Azure Firewall Premium finns i Azure Firewall Premium-funktioner.
Om Azure Firewall till exempel fångar upp en HTTPS-begäran för www.google.com/newsförväntas följande kategorisering:
Firewall Standard – endast FQDN-delen granskas, så
www.google.comkategoriseras som sökmotor.Firewall Premium – den fullständiga URL:en granskas, så
www.google.com/newskategoriseras som Nyheter.
Kategorierna är ordnade baserat på allvarlighetsgrad under Ansvar, Hög bandbredd, Företagsanvändning, Produktivitetsförlust, Allmän surfning och Ej kategoriserad.
Kategori undantag
Du kan skapa undantag till dina webbkategoriregler. Skapa en separat regelsamling för tillåt eller neka med högre prioritet i regelsamlingsgruppen. Du kan till exempel konfigurera en regelsamling som tillåter www.linkedin.com med prioritet 100, med en regelsamling som nekar sociala nätverk med prioritet 200. Då skapas undantaget för webbkategorin för fördefinierade sociala nätverk .
Certifieringar
Azure Firewall är PCI (Payment Card Industry), SERVICE Organization Controls (SOC) och ISO-kompatibel (International Organization for Standardization). Mer information finns i Efterlevnadscertifieringar för Azure Firewall.