Utforma och implementera Azure Firewall

  • 10 minuter

Azure Firewall är en hanterad, molnbaserad tjänst för nätverkssäkerhet som skyddar dina Azure Virtual Network-resurser. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet.

Diagram of Azure firewall configuration.

Azure Firewall-funktioner

Azure Firewall innehåller följande funktioner:

  • Inbyggd hög tillgänglighet – Hög tillgänglighet är inbyggd, så inga extra lastbalanserare krävs och det finns inget du behöver konfigurera.
  • Obegränsad molnskalbarhet – Azure Firewall kan skala ut så mycket du behöver för att hantera föränderliga nätverkstrafikflöden, så du behöver inte budgetera för din högsta trafik.
  • FQDN-filtreringsregler för program – Du kan begränsa utgående HTTP/S-trafik eller Azure SQL-trafik till en angiven lista över fullständigt kvalificerade domännamn (FQDN) inklusive jokertecken. För den här funktionen krävs ingen TLS-avslutning.
  • Regler för nätverkstrafikfiltrering – Du kan centralt skapa regler för att tillåta eller neka nätverksfiltrering efter källans och målets IP-adress, port och protokoll. Azure Firewall är helt tillståndskänslig så att den kan identifiera legitima paket för olika typer av anslutningar. Regler tillämpas och loggas i flera prenumerationer och virtuella nätverk.
  • FQDN-taggar – De här taggarna gör det enkelt för dig att tillåta välkänd Nätverkstrafik i Azure-tjänsten via brandväggen. Anta exempelvis att du vill tillåta Windows Update-nätverkstrafik via brandväggen. Du skapar en programregel och inkluderar Windows Update-taggen. Nätverkstrafik från Windows Update kan nu flöda genom brandväggen.
  • Tjänsttaggar – En tjänsttagg representerar en grupp IP-adressprefix för att minimera komplexiteten vid skapande av säkerhetsregler. Du kan inte skapa egna tjänsttaggar, och du kan inte heller ange vilka IP-adresser som ska finnas i en tagg. Microsoft hanterar adressprefixen som omfattar tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresser ändras.
  • Hotinformation – Hotinformationsbaserad filtrering (IDPS) kan aktiveras för brandväggen för att avisera och neka trafik från/till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet.
  • TLS-inspektion – Brandväggen kan dekryptera utgående trafik, bearbeta data och sedan kryptera data och skicka dem till målet.
  • Stöd för utgående SNAT – Alla utgående IP-adresser för virtuell nätverkstrafik översätts till den offentliga IP-adressen för Azure Firewall (SNAT (Source Network Address Translation). Du kan identifiera och tillåta trafik som kommer från ditt virtuella nätverk till fjärranslutna Internetmål.
  • Inkommande DNAT-stöd – Inkommande Internetnätverkstrafik till brandväggens offentliga IP-adress översätts (målnätverksadressöversättning) och filtreras till de privata IP-adresserna i dina virtuella nätverk.
  • Flera offentliga IP-adresser – Du kan associera flera offentliga IP-adresser (upp till 250) med brandväggen för att aktivera specifika DNAT- och SNAT-scenarier.
  • Azure Monitor-loggning – Alla händelser är integrerade med Azure Monitor, så att du kan arkivera loggar till ett lagringskonto, strömma händelser till dina händelsehubbar eller skicka dem till Azure Monitor-loggar.
  • Tvingad tunneltrafik – Du kan konfigurera Azure Firewall för att dirigera all Internetbunden trafik till ett angivet nästa hopp i stället för att gå direkt till Internet. Du kan till exempel ha en lokal gränsbrandvägg eller en annan virtuell nätverksinstallation (NVA) som bearbetar nätverkstrafiken innan den skickas till internet.
  • Webbkategorier – Med webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier ingår i Azure Firewall Standard, men de är mer finjusterade i Förhandsversionen av Azure Firewall Premium. Till skillnad från funktionen webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar Premium SKU kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik.
  • Certifieringar – Azure Firewall är PCI (Payment Card Industry), Service Organization Controls (SOC), International Organization for Standardization (ISO) och ICSA Labs-kompatibla.

Regelbearbetning i Azure Firewall

I Azure Firewall kan du konfigurera NAT-regler, nätverksregler och programregler, och detta kan göras antingen med hjälp av klassiska regler eller brandväggsprincip. En Azure Firewall nekar all trafik som standard tills regler har konfigurerats manuellt för att tillåta trafik.

Regelbearbetning med klassiska regler

Med klassiska regler bearbetas regelsamlingar enligt regeltypen i prioritetsordning, vilket sänker talen till högre tal från 100 till 65 000. Ett regelsamlingsnamn får bara innehålla bokstäver, siffror, understreck, punkter eller bindestreck. Det måste också börja med antingen en bokstav eller ett tal, och det måste sluta med en bokstav, ett tal eller ett understreck. Den maximala namnlängden är 80 tecken. Det är bästa praxis att först ange prioritetsnummer för regelsamlingen i steg om 100 (dvs. 100, 200, 300 och så vidare) så att du ger dig själv utrymme att lägga till fler regelsamlingar när det behövs.

Regelbearbetning med brandväggsprincip

Med brandväggsprincip ordnas regler i regelsamlingar som finns i regelsamlingsgrupper. Regelsamlingar kan vara av följande typer:

  • DNAT (målnätverksadressöversättning)
  • Nätverk
  • Program

Du kan definiera flera regelinsamlingstyper i en enda regelsamlingsgrupp och du kan definiera noll eller fler regler i en regelsamling, men reglerna i en regelsamling måste vara av samma typ (t.ex. DNAT, nätverk eller program).

Med brandväggsprincip bearbetas regler baserat på regelsamlingens gruppprioritet och regelsamlingsprioritet. Prioritet är ett tal mellan 100 (högsta prioritet) och 65 000 (lägsta prioritet). Regelsamlingsgrupper med högsta prioritet bearbetas först och i en regelsamlingsgrupp bearbetas regelsamlingar med högsta prioritet (dvs. det lägsta antalet).

Om en brandväggsprincip ärvs från en överordnad princip har regelsamlingsgrupper i den överordnade principen alltid företräde oavsett prioritet för den underordnade principen.

Programregler bearbetas alltid efter nätverksregler, som själva alltid bearbetas efter DNAT-regler oavsett regelinsamlingsgrupp eller regelinsamlingsprioritet och principarv.

Utgående anslutning med hjälp av nätverksregler och programregler

Om du konfigurerar både nätverksregler och programregler tillämpas nätverksregler i prioritetsordning före programregler. Dessutom avslutas alla regler, och om en matchning hittas i en nätverksregel bearbetas inga andra regler därefter.

Om det inte finns någon nätverksregelmatchning, och om protokollet antingen är HTTP, HTTPS eller MSSQL, utvärderas paketet sedan av programreglerna i prioritetsordning. För HTTP söker Azure Firewall efter en programregelmatchning enligt värdhuvudet, medan Azure Firewall för HTTPS söker efter en programregelmatchning endast enligt SNI (Server Name Indication).

Inkommande anslutning med hjälp av DNAT-regler och nätverksregler

Inkommande Internetanslutning kan aktiveras genom att konfigurera DNAT. Som tidigare nämnts tillämpas DNAT-regler i prioritet före nätverksregler. Om en matchning hittas läggs en implicit motsvarande nätverksregel till för att tillåta den översatta trafiken. Av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik Internetkälla för att tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken.

Programregler tillämpas inte för inkommande anslutningar. Om du vill filtrera inkommande HTTP/S-trafik bör du därför använda Brandvägg för webbprogram (WAF).

För förbättrad säkerhet, om du ändrar en regel för att neka åtkomst till trafik som tidigare hade tillåtits, tas alla relevanta befintliga sessioner bort.

Distribuera och konfigurera Azure Firewall

Tänk på följande när du distribuerar Azure Firewall:

  • Den kan centralt skapa, framtvinga och logga program- och nätverksanslutningsprinciper i prenumerationer och virtuella nätverk.
  • Den använder en statisk, offentlig IP-adress för dina virtuella nätverksresurser. Det gör att externa brandväggar kan identifiera trafiken från ditt virtuella nätverk.
  • Den är helt integrerad med Azure Monitor för loggning och analys.
  • När du skapar brandväggsregler är det bäst att använda FQDN-taggarna.

De viktigaste stegen för att distribuera och konfigurera Azure Firewall är följande:

  • Skapa en resursgrupp
  • Skapa ett virtuellt nätverk och undernät
  • Skapa en virtuell arbetsbelastningsdator i ett undernät
  • Distribuera brandväggen och principen till det virtuella nätverket
  • Skapa en standardutgående väg
  • Konfigurera en programregel
  • Konfigurera en nätverksregel
  • Konfigurera en MÅL-NAT-regel (DNAT)
  • testa brandväggen.

Distribuera Azure Firewall med Tillgänglighetszoner

En av de viktigaste funktionerna i Azure Firewall är Tillgänglighetszoner.

När du distribuerar Azure Firewall kan du konfigurera den så att den sträcker sig över flera Tillgänglighetszoner för ökad tillgänglighet. När du konfigurerar Azure Firewall på det här sättet ökar tillgängligheten till 99,99 % drifttid. Serviceavtalet för drifttid på 99,99 % erbjuds när två eller flera Tillgänglighetszoner väljs.

Du kan också associera Azure Firewall med en specifik zon bara av närhetsskäl med servicestandarden 99,95 % serviceavtal.

Mer information finns i Service Level Agreement (SLA) för Azure Firewall.

Det finns ingen extra kostnad för en brandvägg som distribueras i en tillgänglighetszon. Det finns dock extra kostnader för inkommande och utgående dataöverföringar som är associerade med Tillgänglighetszoner.

Mer information finns i Prisinformation om bandbredd.

Azure Firewall-Tillgänglighetszoner är endast tillgängliga i regioner som stöder Tillgänglighetszoner.

Tillgänglighetszoner kan bara konfigureras under brandväggsdistributionen. Du kan inte konfigurera en befintlig brandvägg så att den innehåller Tillgänglighetszoner.

Metoder för att distribuera en Azure Firewall med Tillgänglighetszoner

Du kan använda flera metoder för att distribuera Azure Firewall med hjälp av Tillgänglighetszoner.

Testa dina kunskaper

1.

Filtrering av vilken trafikriktning stöder Azure Firewall?

2.

Vilken av följande prioritetsnivåer anses vara högst för en säkerhetsregel?