Vad är Azure Firewall?
Här lär du dig grunderna i både Azure Firewall och Azure Firewall Manager. Den här översikten hjälper dig att avgöra om Azure Firewall och Azure Firewall Manager passar bra med Contosos strategi för nätverkssäkerhet.
Översikt över Azure Firewall
Azure Firewall är en molnbaserad säkerhetstjänst som skyddar dina virtuella Azure-nätverksresurser från inkommande och utgående hot. I de kommande avsnitten får du lära dig grunderna och de viktigaste funktionerna i Azure Firewall.
Vad är en brandvägg?
En brandvägg är en nätverkssäkerhetsfunktion som finns mellan ett betrott nätverk och ett ej betrott nätverk, till exempel Internet. Brandväggens uppgift är att analysera all inkommande och utgående nätverkstrafik. Baserat på den analysen tillåter brandväggen antingen att trafiken skickas eller nekar trafiken. Helst tillåter brandväggen all legitim trafik samtidigt som skadlig trafik nekas, till exempel skadlig kod och intrångsförsök.
Som standard nekar de flesta brandväggar all inkommande och utgående trafik. När en brandvägg analyserar nätverkstrafik kontrollerar den att vissa villkor uppfylls innan trafiken kan passera. Dessa villkor kan vara en angiven IP-adress, FQDN, nätverksport, nätverksprotokoll eller valfri kombination.
Tillsammans definierar dessa villkor en brandväggsregel. En brandvägg kanske bara har en enda regel, men de flesta brandväggar är konfigurerade med många regler. Endast nätverkstrafik som uppfyller villkoren i brandväggens regler tillåts passera.
Vissa brandväggar är maskinvarubaserade och finns i enheter som är byggda för att fungera som brandväggar. Andra brandväggar är program som körs på enheter för allmän databehandling.
Vad är Azure Firewall?
Azure Firewall är en molnbaserad brandväggstjänst. I de flesta konfigurationer etableras Azure Firewall i ett virtuellt navnätverk. Trafik till och från de virtuella ekernätverken och det lokala nätverket passerar brandväggen med hubbnätverket.
All trafik till och från Internet nekas som standard. Trafik tillåts endast om den klarar olika tester, till exempel de konfigurerade brandväggsreglerna.
Kommentar
Azure Firewall fungerar inte bara för trafik till och från Internet, utan även internt. Intern trafikfiltrering omfattar eker-till-eker-trafik och hybridmolntrafik mellan ditt lokala nätverk och ditt virtuella Azure-nätverk.
Viktiga funktioner i Azure Firewall Standard
I följande tabell visas viktiga funktioner i Azure Firewall Standard.
| Funktion | beskrivning |
|---|---|
| Källnätverksadressöversättning (SNAT) | All utgående trafik skickas till den privata IP-adressen för Azure Firewall-instansen. IP-adressen för varje virtuell källdator översätts till den statiska offentliga IP-adressen för Azure Firewall-instansen. För alla externa mål verkar nätverkstrafiken komma från en enda offentlig IP-adress. |
| Målnätverksadressöversättning (DNAT) | All inkommande trafik från externa källor skickas till den offentliga IP-adressen för Azure Firewall-instansen. Tillåten trafik översätts till målresursens privata IP-adress i det virtuella nätverket. |
| Programregler | Regler som begränsar utgående trafik till en lista över FQDN. Du kan till exempel tillåta utgående trafik att komma åt det fullständiga domännamnet för en angiven SQL-databasinstans. |
| Nätverksregler | Regler för inkommande och utgående trafik baserat på nätverksparametrar. Dessa parametrar omfattar mål- eller käll-IP-adressen. nätverksporten. och nätverksprotokollet. |
| Hotinformation | Filtrerar inkommande och utgående trafik baserat på Microsofts hotinformationsregler, som definierar kända skadliga IP-adresser och domännamn. Du kan konfigurera Azure Firewall med något av två hotinformationslägen: varna dig när trafiken misslyckas med en hotinformationsregel eller varna dig och neka trafiken. |
| Tillståndskänsliga | Undersöker nätverkspaket i kontext, inte bara individuellt. Om ett eller flera paket oväntat tas emot med tanke på aktuell trafik behandlar Azure Firewall paketen som skadliga och nekar dem. |
| Tvingad tunneltrafik | Gör att Azure Firewall kan dirigera all utgående trafik till en angiven nätverksresurs i stället för direkt till Internet. Nätverksresursen kan vara en lokal maskinvarubrandvägg eller en virtuell nätverksinstallation som bearbetar trafik innan den kan passera via Internet. |
| Stöd för taggar | Azure Firewall stöder tjänsttaggar och FQDN-taggar för enklare regelkonfiguration. En tjänsttagg är en textentitet som representerar en Azure-tjänst. AzureCosmosDB är till exempel tjänsttaggen för Azure Cosmos DB-tjänsten. En FQDN-tagg är en textentitet som representerar en grupp domännamn som är associerade med populära Microsoft-tjänster. WindowsVirtualDesktop är till exempel FQDN-taggen för Azure Virtual Desktop-trafik. |
| DNS-proxy | När DNS-proxyn är aktiverad kan Azure Firewall bearbeta och vidarebefordra DNS-frågor från ett virtuellt nätverk till önskad DNS-server. |
| Anpassad DNS | Gör att du kan konfigurera Azure Firewall att använda din egen DNS-server, samtidigt som du ser till att brandväggens utgående beroenden fortfarande matchas med Azure DNS. |
| Webbkategorier | Med funktionen Webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. |
| Övervakning | Azure Firewall loggar all inkommande och utgående nätverkstrafik och du kan analysera de resulterande loggarna med hjälp av Azure Monitor, Power BI, Excel och andra verktyg. |
Vad är Azure Firewall Premium?
Azure Firewall Premium tillhandahåller avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer, till exempel betalnings- och sjukvårdsindustrin.
Viktiga funktioner i Azure Firewall Premium
I följande tabell visas viktiga funktioner i Azure Firewall Premium.
| Funktion | beskrivning |
|---|---|
| TLS-inspektion | Dekrypterar utgående trafik, bearbetar data och krypterar sedan data och skickar dem till målet. |
| IDPS | Med ett system för identifiering och skydd av nätverksintrång (IDPS) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den. |
| URL-filtrering | Utökar filtreringsfunktionen för FQDN i Azure Firewall till att omfatta en hel URL. I stället www.contoso.comför www.contoso.com/a/c . |
| Webbkategorier | Administratörer kan tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier kan finjusteras mer i Azure Firewall Premium. |
Vad är Azure Firewall Basic?
Azure Firewall Basic är avsett för små och medelstora kunder (SMB) för att skydda sina Azure-molnmiljöer. Det ger det grundläggande skydd som SMB-kunder behöver till ett överkomligt pris.
Azure Firewall Basic liknar Firewall Standard, men har följande huvudsakliga begränsningar:
- Stöder endast Hot intel-aviseringsläge.
- Fast skalningsenhet för att köra tjänsten på två serverdelsinstanser för virtuella datorer.
- Rekommenderas för miljöer med ett uppskattat dataflöde på 250 Mbit/s.
Översikt över Azure Firewall Manager
Azure Firewall Manager tillhandahåller en central plats för konfiguration och hantering av flera Azure Firewall-instanser. Med Azure Firewall Manager kan du skapa en eller flera brandväggsprinciper och snabbt tillämpa dem på flera brandväggar.
Vad är en brandväggsprincip?
Konfigurationen av en enskild Azure Firewall kan vara komplicerad. Brandväggen kan till exempel konfigureras med flera regelsamlingar. En samling är en kombination av något eller alla av följande objekt:
- En eller flera NAT-regler (Network Address Translation)
- En eller flera nätverksregler
- En eller flera programregler
När du inkluderar andra brandväggsinställningar, till exempel anpassade DNS- och hotinformationsregler, kan det vara en börda att konfigurera bara en enda brandvägg. Två vanliga nätverkssäkerhetsscenarier är att lägga till den bördan:
- Nätverksarkitekturerna kräver flera brandväggar.
- Du vill att varje brandvägg ska implementera både en grundläggande nivå av säkerhetsregler som gäller för alla, plus särskilda regler för utsedda grupper som utvecklare, databasanvändare och marknadsföringsavdelningen.
För att förenkla komplexiteten med att hantera dessa och liknande brandväggsscenarier kan du implementera brandväggsprinciper. En brandväggsprincip är en Azure-resurs som innehåller en eller flera samlingar av NAT-, nätverks- och programregler. Den innehåller även anpassade DNS-inställningar, inställningar för hotinformation med mera.
Den viktigaste punkten är att Azure erbjuder en resurs som kallas brandväggsprincip. En brandväggsprincip som du skapar är en instans av den resursen. Som en separat resurs kan du snabbt tillämpa principen på flera brandväggar med hjälp av Azure Firewall Manager. Du kan skapa en princip som ska vara basprincipen och sedan ha mer specialiserade principer som ärver basprincipens regler.
Viktiga funktioner i Azure Firewall Manager
I följande tabell visas viktiga funktioner i Azure Firewall Manager.
| Funktion | beskrivning |
|---|---|
| Centraliserad hantering | Hantera alla brandväggskonfigurationer i hela nätverket. |
| Hantera flera brandväggar | Distribuera, konfigurera och övervaka valfritt antal brandväggar från ett enda gränssnitt. |
| Stöder flera nätverksarkitekturer | Skyddar både virtuella Azure-standardnätverk och Azure Virtual WAN Hubs. |
| Automatiserad trafikroutning | Nätverkstrafik dirigeras automatiskt till brandväggen (när den endast används med Azure Virtual WAN Hub). |
| Hierarkiska principer | Gör att du kan skapa så kallade överordnade och underordnade brandväggsprinciper. En överordnad princip innehåller de regler och inställningar som du vill tillämpa globalt. En underordnad princip ärver alla regler och inställningar för den överordnade principen. |
| Stöd för tredjepartssäkerhetsleverantörer | Gör att du kan integrera lösningar från tredje part för säkerhet som en tjänst (SECaaS) för att skydda nätverkets internetanslutning. |
| DDoS-skyddsplan | Du kan associera dina virtuella nätverk med en DDoS-skyddsplan i Azure Firewall Manager. |
| Hantera brandväggsprinciper för webbprogram | Du kan centralt skapa och associera WAF-principer (Web Application Firewall) för dina programleveransplattformar, inklusive Azure Front Door och Azure Application Gateway. |
Kommentar
Genom att göra det möjligt för dig att integrera SECaaS-lösningar från tredje part kan din strategi för nätverkssäkerhet vara att använda Azure Firewall för att övervaka lokal nätverkstrafik när du använder SECaaS-providern från tredje part för att övervaka Internettrafik.
Alternativ för arkitektur
Azure Firewall Manager tillhandahåller säkerhetshantering för följande två nätverksarkitekturer:
- Virtuellt hubbnätverk. Ett virtuellt Azure-standardnätverk där en eller flera brandväggsprinciper tillämpas.
- Skyddad virtuell hubb. En Azure Virtual WAN Hub där en eller flera brandväggsprinciper tillämpas.