När du ska använda Azure Firewall Premium
Organisationer kan använda Azure Firewall Premium-funktioner som IDPS- och TLS-inspektion för att förhindra att skadlig kod och virus sprids över nätverk i både laterala och horisontella riktningar. För att uppfylla de ökade prestandakraven för IDPS- och TLS-inspektion använder Azure Firewall Premium en kraftfullare SKU för virtuella datorer. Precis som Standard SKU kan Premium SKU sömlöst skala upp till 30 Gbit/s och integrera med tillgänglighetszoner för att stödja serviceavtal (SLA) på 99,99 procent. Premium-SKU:n uppfyller kraven för PCI DSS-miljön (Payment Card Industry Data Security Standard).
Tänk på följande scenarier för att avgöra om Azure Firewall Premium passar din organisation:
Du vill inspektera utgående TLS-krypterad nätverkstrafik
Azure Firewall Premium TLS-inspektion kan dekryptera utgående trafik, bearbeta data och sedan kryptera data och skicka dem till målet.
Azure Firewall Premium avslutar utgående och öst-västliga TLS-anslutningar. Inkommande TLS-inspektion stöds med Azure Application Gateway som tillåter kryptering från slutpunkt till slutpunkt. Azure Firewall utför de nödvändiga säkerhetsfunktionerna för mervärde och krypterar om trafiken som skickas till det ursprungliga målet.
Du vill skydda nätverket med signaturbaserad identifiering av skadlig trafik
Med ett IDPS-system (Network Intrusion Detection and Prevention System) kan du övervaka nätverket för skadlig aktivitet. Du kan också logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
Azure Firewall Premium tillhandahåller signaturbaserad IDPS för att möjliggöra snabb identifiering av attacker genom att söka efter specifika mönster, till exempel bytesekvenser i nätverkstrafik eller kända skadliga instruktionssekvenser som används av skadlig kod. IDPS-signaturerna gäller för både trafik på program- och nätverksnivå (lager 4–7). De är fullständigt hanterade och uppdateras kontinuerligt. Du kan använda IDPS för inkommande, eker-till-eker (öst-väst) och utgående trafik.
Azure Firewall-signaturer/regeluppsättningar omfattar:
- Betoning på att ta fingeravtryck på faktisk skadlig kod, kommando och kontroll, exploateringspaket och i den vilda skadliga aktivitet som missas av traditionella förebyggande metoder.
- Över 55 000 regler i över 50 kategorier.
- Kategorierna omfattar kommando och kontroll av skadlig kod, DoS-attacker, botnät, informationshändelser, kryphål, sårbarheter, SCADA-nätverksprotokoll, exploit kit-aktivitet med mera.
- 20 till 40+ nya regler släpps varje dag.
- Lågt falskt positivt omdöme med hjälp av den senaste sandbox-miljön för skadlig kod och feedbackslinga för globala sensornätverk.
Med IDPS kan du identifiera attacker i alla portar och protokoll för icke-krypterad trafik. Men när HTTPS-trafik måste inspekteras kan Azure Firewall använda sin TLS-inspektionsfunktion för att dekryptera trafiken och bättre identifiera skadliga aktiviteter.
Med listan över förbikoppling av IDPS kan du inte filtrera trafik till någon av de IP-adresser, intervall och undernät som anges i listan över förbikopplingar.
Du kan också använda signaturregler när IDPS-läget är inställt på Avisering. Men det finns en eller flera specifika signaturer som du vill blockera, inklusive deras associerade trafik. I det här fallet kan du lägga till nya signaturregler genom att ange TLS-inspektionsläget att neka.
Du vill utöka FQDN-filtreringsfunktionen i Azure Firewall för att överväga en hel URL
Azure Firewall Premium kan filtrera på en hel URL. I stället www.contoso.comför www.contoso.com/a/c .
URL-filtrering kan tillämpas både på HTTP- och HTTPS-trafik. När HTTPS-trafik inspekteras kan Azure Firewall Premium använda sin TLS-inspektionsfunktion för att dekryptera trafiken och extrahera mål-URL:en för att verifiera om åtkomst är tillåten. TLS-inspektion kräver att du anmäler dig på programregelnivå. När du är aktiverad kan du använda URL:er för filtrering med HTTPS.
Du vill tillåta eller neka åtkomst baserat på kategorier
Med funktionen Webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier ingår också i Azure Firewall Standard, men de är mer finjusterade i Azure Firewall Premium. Till skillnad från funktionen webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar Premium SKU kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik.
Om Azure Firewall till exempel fångar upp en HTTPS-begäran för www.google.com/news förväntas följande kategorisering:
- Firewall Standard – endast FQDN-delen granskas, så www.google.com kategoriseras som sökmotor.
- Firewall Premium – den fullständiga URL:en granskas, så www.google.com/news kategoriseras som Nyheter.
Kategorierna är ordnade baserat på allvarlighetsgrad under Ansvar, Hög bandbredd, Företagsanvändning, Produktivitetsförlust, Allmän surfning och Ej kategoriserad.