Azure Firewall Premium-funktioner
Azure Firewall Premium tillhandahåller avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer, till exempel betalnings- och sjukvårdsindustrin.
Organisationer kan använda SKU-funktioner (Premium Stock Keeping Unit) som IDPS- och TLS-inspektion för att förhindra att skadlig kod och virus sprids över nätverk i både laterala och horisontella riktningar. För att uppfylla de ökade prestandakraven för IDPS- och TLS-inspektion använder Azure Firewall Premium en kraftfullare SKU för virtuella datorer. Precis som Standard SKU kan Premium SKU sömlöst skala upp till 100 Gbit/s och integrera med tillgänglighetszoner för att stödja serviceavtal (SLA) på 99,99 procent. Premium-SKU:n uppfyller kraven för PCI DSS-miljön (Payment Card Industry Data Security Standard).
Azure Firewall Premium innehåller följande funktioner:
- TLS-inspektion – dekrypterar utgående trafik, bearbetar data och krypterar sedan data och skickar dem till målet.
- IDPS – Med ett IDPS-system (Network Intrusion Detection and Prevention System) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
- URL-filtrering – utökar FQDN-filtreringsfunktionen i Azure Firewall för att överväga en hel URL tillsammans med eventuell ytterligare sökväg. I stället
www.contoso.com
förwww.contoso.com/a/c
. - Webbkategorier – administratörer kan tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra.
Om du vill jämföra Azure Firewall-funktioner för alla brandväggs-SKU:er läser du Välj rätt Azure Firewall SKU för att uppfylla dina behov.
TLS-inspektion
TLS-protokollet (Transport Layer Security) tillhandahåller främst kryptografi för sekretess, integritet och äkthet med hjälp av certifikat mellan två eller flera kommunicerande program. Den körs i programskiktet och används ofta för att kryptera HTTP-protokollet.
Krypterad trafik har en möjlig säkerhetsrisk och kan dölja olaglig användaraktivitet och skadlig trafik. Azure Firewall utan TLS-inspektion (som visas i följande diagram) har ingen insyn i de data som flödar i den krypterade TLS-tunneln, så den kan inte ge fullständig täckning.
Det andra diagrammet visar hur Azure Firewall Premium avslutar och inspekterar TLS-anslutningar för att identifiera, varna och minimera skadlig aktivitet i HTTPS. Brandväggen skapar två dedikerade TLS-anslutningar: en med webbservern (contoso.com) och en annan anslutning till klienten. Med hjälp av kundcertifikatutfärdarcertifikatet genererar det ett direktcertifikat som ersätter webbservercertifikatet och delar det med klienten för att upprätta TLS-anslutningen mellan brandväggen och klienten.
Azure Firewall utan TLS-inspektion:
Azure Firewall med TLS-inspektion:
Följande användningsfall stöds med Azure Firewall:
Utgående TLS-inspektion
Skydda mot skadlig trafik som skickas från en intern klient som finns i Azure till Internet.
TLS-inspektion öst-väst (inkluderar trafik som går från/till ett lokalt nätverk)
Skydda dina Azure-arbetsbelastningar från potentiell skadlig trafik som skickas inifrån Azure.
Följande användningsfall stöds av Azure Web Application Firewall på Azure Application Gateway:
Inkommande TLS-inspektion
Skydda interna servrar eller program som finns i Azure från skadliga begäranden som kommer från Internet eller ett externt nätverk. Application Gateway tillhandahåller kryptering från slutpunkt till slutpunkt.
Relaterad information finns i:
Dricks
TLS 1.0 och 1.1 är inaktuella och stöds inte. TLS 1.0- och 1.1-versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara, och även om de fortfarande fungerar för att tillåta bakåtkompatibilitet rekommenderas de inte. Migrera till TLS 1.2 så snart som möjligt.
Mer information om krav för Azure Firewall Premium Intermediate CA-certifikat finns i Azure Firewall Premium-certifikat.
Mer information om TLS-inspektion finns i Skapa en POC för TLS-inspektion i Azure Firewall.
IDPS
Med ett system för identifiering och skydd av nätverksintrång (IDPS) kan du övervaka nätverket för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
Azure Firewall Premium tillhandahåller signaturbaserad IDPS för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster, till exempel bytesekvenser i nätverkstrafik eller kända skadliga instruktionssekvenser som används av skadlig kod. IDPS-signaturerna gäller för både trafik på program- och nätverksnivå (lager 3–7). De är fullständigt hanterade och uppdateras kontinuerligt. IDPS kan tillämpas på inkommande, eker-till-eker (öst-väst) och utgående trafik. Spoke-to-spoke (öst-väst) innehåller trafik som går från/till ett lokalt nätverk. Du kan konfigurera dina privata IP-adressintervall för IDPS med funktionen Privata IP-intervall . Mer information finns i Privata IP-intervall för IDPS.
Azure Firewall-signaturer/regeluppsättningar omfattar:
- Betoning på att ta fingeravtryck på faktisk skadlig kod, kommando och kontroll, exploateringspaket och i den vilda skadliga aktivitet som missas av traditionella förebyggande metoder.
- Över 67 000 regler i över 50 kategorier.
- Kategorierna omfattar kommando och kontroll av skadlig kod, nätfiske, trojaner, botnät, informationshändelser, sårbarheter, SCADA-nätverksprotokoll, exploit kit-aktivitet med mera.
- 20 till 40+ nya regler släpps varje dag.
- Lågt falskt positivt omdöme med hjälp av toppmoderna tekniker för identifiering av skadlig kod, till exempel feedbackslinga för globala sensornätverk.
Med IDPS kan du identifiera attacker i alla portar och protokoll för icke-krypterad trafik. Men när HTTPS-trafik måste inspekteras kan Azure Firewall använda sin TLS-inspektionsfunktion för att dekryptera trafiken och bättre identifiera skadliga aktiviteter.
IDPS Bypass List är en konfiguration som gör att du inte kan filtrera trafik till någon av DE IP-adresser, intervall och undernät som anges i listan över förbikopplingar. IDPS Bypass-listan är inte avsedd att vara ett sätt att förbättra dataflödesprestanda, eftersom brandväggen fortfarande omfattas av de prestanda som är associerade med ditt användningsfall. Mer information finns i Prestanda för Azure Firewall.
Privata IP-intervall för IDPS
I Azure Firewall Premium IDPS används privata IP-adressintervall för att identifiera om trafiken är inkommande, utgående eller intern (öst-väst). Varje signatur tillämpas för en specifik trafikriktning som anges i tabellen med signaturregler. Som standard betraktas endast intervall som definierats av IANA RFC 1918 som privata IP-adresser. Trafik som skickas från ett privat IP-adressintervall till ett privat IP-adressintervall anses därför vara intern. Om du vill ändra dina privata IP-adresser kan du nu enkelt redigera, ta bort eller lägga till intervall efter behov.
IDPS-signaturregler
Med IDPS-signaturregler kan du:
Anpassa en eller flera signaturer och ändra deras läge till Inaktiverad, Avisering eller Avisering och Neka. Det maximala antalet anpassade IDPS-regler får inte överstiga 10 000.
Om du till exempel får en falsk positiv identifiering där en legitim begäran blockeras av Azure Firewall på grund av en felaktig signatur kan du använda signatur-ID:t från nätverksregelloggarna och ställa in dess IDPS-läge på av. Detta gör att den ”felaktiga” signaturen ignoreras och löser problemet med den falska positiva identifieringen.
Du kan använda samma finjusteringsprocedur för signaturer som skapar för många aviseringar med låg prioritet, och därför påverkar synligheten för aviseringar med hög prioritet.
Få en holistisk vy över de över 67 000 signaturerna
Smart sökning
Med den här åtgärden kan du söka igenom hela signaturdatabasen efter valfri typ av attribut. Du kan till exempel söka efter specifikt CVE-ID för att identifiera vilka signaturer som tar hand om denna CVE genom att skriva ID:t i sökfältet.
IDPS-signaturregler har följande egenskaper:
Kolumn | beskrivning |
---|---|
Signatur-ID | Internt ID för varje signatur. Det här ID:t visas också i Azure Firewall Network Rules-loggar. |
Läge | Anger om signaturen är aktiv eller inte, och om brandväggen sjunker eller aviseringar vid matchning av trafik. Signaturläget nedan kan åsidosätta IDPS-läget - Inaktiverad: Signaturen är inte aktiverad i brandväggen. - Avisering: Du får aviseringar när misstänkt trafik identifieras. - Avisering och neka: Du får aviseringar och misstänkt trafik blockeras. Få signaturkategorier definieras som "Endast avisering", därför blockeras inte trafik som matchar deras signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Du kan åsidosätta detta genom att anpassa dessa specifika signaturer till aviserings- och neka-läge . IDPS-signaturläget bestäms av någon av följande orsaker: 1. Definieras av principläge – Signaturläget härleds från IDPS-läget för den befintliga principen. 2. Definieras av överordnad princip – Signaturläget härleds från IDPS-läget för den överordnade principen. 3. Åsidosätt – Du kan åsidosätta och anpassa signaturläget. 4. Definierat av system – Signaturläget är inställt på Avisering endast av systemet på grund av dess kategori. Du kan åsidosätta det här signaturläget. Obs! IDPS-aviseringar är tillgängliga i portalen via loggfråga för nätverksregel. |
Allvarlighet | Varje signatur har en associerad allvarlighetsgrad och tilldelad prioritet som anger sannolikheten att signaturen är en faktisk attack. - Låg (prioritet 3): En onormal händelse är en händelse som normalt inte inträffar i ett nätverk eller informationshändelser loggas. Sannolikheten för angrepp är låg. - Medel (prioritet 2): Signaturen anger ett angrepp av misstänkt karaktär. Administratören bör undersöka saken ytterligare. - Hög (prioritet 1): Attacksignaturerna indikerar att en attack av allvarlig natur startas. Det är liten sannolikhet att paketen har ett legitimt syfte. |
Riktning | Trafikriktningen som signaturen används för. - Inkommande: Signaturen tillämpas endast på trafik som kommer från Internet och är avsedd för ditt konfigurerade privata IP-adressintervall. - Utgående: Signaturen tillämpas endast på trafik som skickas från ditt konfigurerade privata IP-adressintervall till Internet. - Internt: Signaturen tillämpas endast på trafik som skickas från och är avsedd för ditt konfigurerade privata IP-adressintervall. - Intern/inkommande: Signaturen tillämpas på trafik som kommer från ditt konfigurerade privata IP-adressintervall eller från Internet och är avsett för ditt konfigurerade privata IP-adressintervall. - Intern/utgående: Signaturen tillämpas på trafik som skickas från ditt konfigurerade privata IP-adressintervall och är avsett för ditt konfigurerade privata IP-adressintervall eller till Internet. - Alla: Signaturen tillämpas alltid på alla trafikriktningar. |
Grupp | Gruppnamnet som signaturen tillhör. |
beskrivning | Strukturerad från följande tre delar: - Kategorinamn: Kategorinamnet som signaturen tillhör enligt beskrivningen i kategorierna för Azure Firewall IDPS-signaturregler. – Beskrivning på hög nivå av signaturen - CVE-ID (valfritt) om signaturen är associerad med en specifik CVE. |
Protokoll | Protokollet som är associerat med den här signaturen. |
Käll-/målportar | Portarna som är associerade med den här signaturen. |
Senast uppdaterad | Det sista datumet då signaturen introducerades eller ändrades. |
Mer information om IDPS finns i Ta Azure Firewall IDPS på en testenhet.
URL-filtrering
URL-filtrering utökar filtreringsfunktionen för FQDN i Azure Firewall till att omfatta en hel URL. I stället www.contoso.com
för www.contoso.com/a/c
.
URL-filtrering kan tillämpas både på HTTP- och HTTPS-trafik. När HTTPS-trafik inspekteras kan Azure Firewall Premium använda sin TLS-inspektionsfunktion för att dekryptera trafiken och extrahera mål-URL:en för att verifiera om åtkomst är tillåten. TLS-inspektion kräver att du anmäler dig på programregelnivå. När du är aktiverad kan du använda URL:er för filtrering med HTTPS.
Webbkategorier
Med webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier ingår också i Azure Firewall Standard, men de är mer finjusterade i Azure Firewall Premium. Till skillnad från funktionen webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar Premium SKU kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik.
Azure Firewall Premium-webbkategorier är endast tillgängliga i brandväggsprinciper. Se till att din princip-SKU matchar SKU:n för brandväggsinstansen. Om du till exempel har en Firewall Premium-instans måste du använda en Firewall Premium-princip.
Om Azure Firewall till exempel fångar upp en HTTPS-begäran för www.google.com/news
förväntas följande kategorisering:
Firewall Standard – endast FQDN-delen granskas, så
www.google.com
kategoriseras som sökmotor.Firewall Premium – den fullständiga URL:en granskas, så
www.google.com/news
kategoriseras som Nyheter.
Kategorierna är ordnade baserat på allvarlighetsgrad under Ansvar, Hög bandbredd, Företagsanvändning, Produktivitetsförlust, Allmän surfning och Ej kategoriserad. En detaljerad beskrivning av webbkategorierna finns i Webbkategorier för Azure Firewall.
Loggning av webbkategori
Du kan visa trafik som har filtrerats efter webbkategorier i programloggarna. Fältet Webbkategorier visas bara om det uttryckligen har konfigurerats i brandväggsprincipens programregler. Om du till exempel inte har en regel som uttryckligen nekar sökmotorer och en användare begär att gå till www.bing.com, visas endast ett standardmeddelande om neka i stället för ett meddelande om webbkategorier. Det beror på att webbkategorin inte har konfigurerats uttryckligen.
Kategori undantag
Du kan skapa undantag till dina webbkategoriregler. Skapa en separat regelsamling för tillåt eller neka med högre prioritet i regelsamlingsgruppen. Du kan till exempel konfigurera en regelsamling som tillåter www.linkedin.com
med prioritet 100, med en regelsamling som nekar sociala nätverk med prioritet 200. Då skapas undantaget för webbkategorin för fördefinierade sociala nätverk .
Sökning i webbkategori
Du kan identifiera vilken kategori ett angivet FQDN eller URL är med hjälp av funktionen Webbkategorikontroll . Om du vill använda detta väljer du fliken Webbkategorier under Brandväggsprincip Inställningar. Detta är användbart när du definierar dina programregler för måltrafik.
Viktigt!
Om du vill använda funktionen Webbkategorikontroll måste användaren ha åtkomst till Microsoft.Network/azureWebCategories/* för prenumerationsnivå , inte resursgruppsnivå.
Kategoriändring
Under fliken Webbkategorier i Brandväggsprincip Inställningar kan du begära en kategoriändring om du:
tror att ett FQDN eller EN URL bör vara under en annan kategori
eller
har en föreslagen kategori för ett okategoriserat FQDN eller EN URL
När du har skickat en kategoriändringsrapport får du en token i meddelandena som anger att vi har fått begäran om bearbetning. Du kan kontrollera om begäran pågår, nekas eller godkänns genom att ange token i sökfältet. Spara ditt token-ID för att göra det.
Webbkategorier som inte stöder TLS-avslutning
På grund av sekretess- och efterlevnadsskäl kan viss webbtrafik som är krypterad inte dekrypteras med TLS-avslutning. Till exempel bör anställdas hälsodata som överförs via webbtrafik via ett företagsnätverk inte avslutas av sekretessskäl.
Därför stöder inte följande webbkategorier TLS-avslutning:
- Education
- Ekonomi
- Myndigheter
- Hälsa och medicin
Om du vill att en specifik URL ska stödja TLS-avslutning kan du manuellt lägga till en eller flera URL:er med TLS-avslutning i programregler. Du kan till exempel lägga till www.princeton.edu
i programregler för att tillåta den här webbplatsen.
Regioner som stöds
De regioner som stöds för Azure Firewall finns i Tillgängliga Azure-produkter per region.