Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Güvenlik Duvarı Premium, ödeme ve sağlık sektörleri gibi son derece hassas ve düzenlenmiş ortamlar için uygun gelişmiş tehdit koruması sunar.
Kuruluşlar, kötü amaçlı yazılımların ve virüslerin ağlara yayılmasını önlemek için IDPS ve TLS denetimi gibi Premium SKU özelliklerinden yararlanabilir. Azure Güvenlik Duvarı Premium, bu özelliklerin artan performans taleplerini karşılamak için daha güçlü bir sanal makine SKU'su kullanır. Standart SKU'ya benzer şekilde Premium SKU da 100 Gb/sn'ye kadar ölçeklendirilebilir ve kullanılabilirlik alanlarıyla tümleştirerek 99,99% SLA'yı destekleyebilir. Premium SKU, Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI DSS) gereksinimlerine uygundur.
Azure Güvenlik Duvarı Premium aşağıdaki özellikleri içerir:
- TLS incelemesi: Giden trafiğin şifresini çözer, işler, sonra yeniden şifreler ve hedefe gönderir.
- IDPS: Kötü amaçlı etkinlikler için ağ etkinliklerini izler, bilgileri günlüğe kaydeder, raporlar ve isteğe bağlı olarak engeller.
- URL filtreleme: FQDN filtrelemesini, ek yollar da dahil olmak üzere TÜM URL'yi dikkate almak için genişletir.
- Web kategorileri: Kullanıcının kumar veya sosyal medya gibi web sitesi kategorilerine erişmesine izin verir veya erişimi reddeder.
Tüm SKU'ların Azure Güvenlik Duvarı özelliklerini karşılaştırmak için bkz. Gereksinimlerinizi karşılamak için doğru Azure Güvenlik Duvarı SKU'su seçme.
TLS incelemesi
TLS (Aktarım Katmanı Güvenliği) protokolü, iletişim uygulamaları arasındaki sertifikaları kullanarak gizlilik, bütünlük ve kimlik doğrulaması için şifreleme sağlar. GEÇERSIZ kullanıcı etkinliğini ve kötü amaçlı trafiği gizleyebilen HTTP trafiğini şifreler.
TLS incelemesi olmadan Azure Güvenlik Duvarı şifrelenmiş TLS tüneli içindeki verileri göremez ve koruma özelliklerini sınırlar. Ancak Azure Güvenlik Duvarı Premium, HTTPS'deki kötü amaçlı etkinlikleri algılamak, uyarmak ve azaltmak için TLS bağlantılarını sonlandırır ve inceler. İki TLS bağlantısı oluşturur: biri web sunucusuyla, diğeri de istemciyle. Müşteri tarafından sağlanan bir CA sertifikası kullanarak, web sunucusu sertifikasını değiştirmek için anında bir sertifika oluşturur ve TLS bağlantısını kurmak için istemciyle paylaşır.
TLS denetimi olmadan Azure Güvenlik Duvarı:
TLS denetimi ile Azure Güvenlik Duvarı:
Aşağıdaki kullanım örnekleri Azure Güvenlik Duvarı ile desteklenir:
- Giden TLS İncelemesi: Azure'da barındırılan bir iç istemciden İnternet'e gönderilen kötü amaçlı trafiğe karşı koruma sağlar.
- TLS İncelemesiEast-West: Azure iş yüklerini, şirket içi ağa giden/giden trafik de dahil olmak üzere Azure'da gönderilen olası kötü amaçlı trafiğe karşı korur.
Aşağıdaki kullanım örneği, Azure Uygulama Ağ Geçidi üzerindeki Azure Web Uygulama Güvenlik Duvarı tarafından desteklenir.
- Gelen TLS İncelemesi: Azure'da barındırılan iç sunucuları veya uygulamaları İnternet'ten veya dış ağdan gelen kötü amaçlı isteklerden korur. Application Gateway uçtan uca şifreleme sağlar.
İlgili bilgiler için bkz:
İpucu
TLS 1.0 ve 1.1 kullanım dışı bırakılıyor ve desteklenmeyecektir. Bu sürümlerin savunmasız olduğu bulunmuştur. Geriye dönük uyumluluk için çalışmaya devam etmelerine rağmen, önerilmezler. TlS 1.2'ye en kısa sürede geçiş yapın.
Azure Güvenlik Duvarı Premium Ara CA sertifika gereksinimleri hakkında daha fazla bilgi edinmek için bkz Azure Güvenlik Duvarı Premium sertifikaları.
TLS denetimi hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı'da TLS denetimi için POC oluşturma.
Saldırı Tespit ve Önleme Sistemleri (IDPS)
Ağ yetkisiz erişim algılama ve önleme sistemi (IDPS), ağınızı kötü amaçlı etkinlikler için izler, bilgileri günlüğe kaydeder, raporlar ve isteğe bağlı olarak engeller.
Azure Güvenlik Duvarı Premium, ağ trafiğindeki bayt dizileri veya kötü amaçlı yazılım tarafından kullanılan bilinen kötü amaçlı yönerge dizileri gibi belirli desenleri belirleyerek saldırıları hızla algılamak için imza tabanlı IDPS sunar. Bu IDPS imzaları hem uygulama hem de ağ düzeyindeki trafik için geçerlidir (Katmanlar 3-7). Bunlar tamamen yönetilir ve sürekli olarak güncelleştirilir. IDPS, şirket içi ağa giden/giden trafik de dahil olmak üzere gelen, uç uca (East-West) ve giden trafiğe uygulanabilir. IdPS özel IP adresi aralıklarınızı Özel IP aralıkları özelliğini kullanarak yapılandırabilirsiniz. Daha fazla bilgi için bkz . IDPS Özel IP aralıkları.
Azure Güvenlik Duvarı imzaları/kural kümeleri şunlardır:
- Gerçek kötü amaçlı yazılımları, Komut ve Denetim'i, açıklardan yararlanma setlerini ve geleneksel yöntemler tarafından kaçırılan kötü amaçlı etkinlikleri tanımlamaya odaklanın.
- Kötü amaçlı yazılım komutu ve kontrolü, kimlik avı, truva atları, botnet'ler, bilgilendirici olaylar, istismarlar, güvenlik açıkları, SCADA ağ protokolleri ve exploit kit etkinliği dahil olmak üzere 50'den fazla kategoride 67.000'in üzerinde kural.
- Günlük 20 ile 40'ın üzeri yeni kural yayınlandı.
- Gelişmiş kötü amaçlı yazılım algılama teknikleri, örneğin küresel sensör ağı geri bildirim döngüsü, kullanarak düşük yanlış pozitif oranı.
IDPS, şifrelenmemiş trafik için tüm bağlantı noktalarına ve protokollere yönelik saldırıları algılar. HTTPS trafik denetimi için Azure Güvenlik Duvarı, trafiğin şifresini çözmek ve kötü amaçlı etkinlikleri daha iyi algılamak için TLS denetleme özelliğini kullanabilir.
IDPS Atlama Listesi, belirli IP adreslerini, aralıkları ve alt ağları filtrelemenin dışında tutmanızı sağlar. Güvenlik duvarının performansı hala kullanım örneğinize bağlı olduğundan atlama listesinin aktarım hızı performansını iyileştirmeye yönelik olmadığını unutmayın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı performansı.
IDPS Özel IP aralıkları
Azure Güvenlik Duvarı Premium IDPS'de, trafiğin gelen, giden veya iç (East-West) olup olmadığını belirlemek için özel IP adresi aralıkları kullanılır. Her imza, imza kuralları tablosunda gösterildiği gibi belirli trafik yol tariflerine uygulanır. Varsayılan olarak, yalnızca IANA RFC 1918 tarafından tanımlanan aralıklar özel IP adresleri olarak kabul edilir. Özel IP adresi aralıkları arasındaki trafik dahili olarak kabul edilir. Gerektiğinde özel IP adresi aralıklarını kolayca düzenleyebilir, kaldırabilir veya ekleyebilirsiniz.
IDPS imza kuralları
IDPS imza kuralları şunları yapmanızı sağlar:
- Modlarını Devre Dışı, Uyarı veya Uyarı ve Reddetme olarak değiştirerek imzaları özelleştirin. En fazla 10.000 IDPS kuralını özelleştirebilirsiniz.
- Örneğin, hatalı bir imza nedeniyle meşru bir istek engellenirse, yanlış pozitif sorununu çözmek için ağ kuralları günlüklerinden kimlik numarasını kullanarak bu imzayı devre dışı bırakabilirsiniz.
- Yüksek öncelikli uyarıların görünürlüğünü artırmak için aşırı düşük öncelikli uyarılar oluşturan imzalarda ince ayar yapın.
- 67.000'den fazla imzanın tümünü görüntüleyin.
- CVE-ID gibi özniteliklere göre imzaları bulmak için akıllı aramayı kullanın.
IDPS imza kuralları aşağıdaki özelliklere sahiptir:
| Sütun | Açıklama |
|---|---|
| İmza Kimliği | Azure Güvenlik Duvarı Ağ Kuralları günlüklerinde de gösterilen her imza için dahili kimlik. |
| Mod | İmzanın etkin olup olmadığını ve güvenlik duvarının eşleşen trafiği engelleyip engellemediğini ya da uyarı verip vermediğini gösterir. Modu: - Devre dışı: İmza etkinleştirilmedi. - Uyarı: Şüpheli trafikle ilgili uyarılar. - Uyarı ve Reddetme: Şüpheli trafiği uyarır ve engeller. Bazı imzalar varsayılan olarak "Yalnızca Uyarı"dır, ancak "Uyarı ve Reddetme" olarak özelleştirilebilir. İmza modu şu şekilde belirlenir: 1. İlke Modu – İlkenin IDPS modundan türetilir. 2. Ana Politika – Ana politikanın IDPS modundan türetilir. 3. Geçersiz Kılındı – Kullanıcı tarafından özelleştirilmiş. 4. Sistem – Kategorisi nedeniyle sistem tarafından "Yalnızca Uyarı" olarak ayarlanır, ancak geçersiz kılınabilir. IDPS uyarıları, portalda ağ kuralı günlüğü sorgusu aracılığıyla erişilebilir. |
| Şiddet | İmzanın gerçek bir saldırı olma olasılığını gösterir: - Düşük (öncelik 3): Düşük olasılık, bilgilendirme olayları. - Orta (öncelik 2): Şüpheli, araştırma gerektirir. - Yüksek (öncelik 1): Ciddi saldırı, yüksek olasılık. |
| Yön | İmzanın uygulandığı trafik yönü: - Gelen: İnternet'ten özel IP aralığınıza doğru. - Giden: Özel IP aralığınızdan İnternet'e. - Dahili: Özel IP aralığınızda. - İç/Gelen: Özel IP aralığınızdan veya İnternet'ten özel IP aralığınıza. - İç/Dışa Dönük: Özel IP aralığınızdan özel bir IP aralığına veya İnternet'e. - Herhangi biri: Herhangi bir trafik yönüne uygulanır. |
| Grup | İmzanın ait olduğu grup adı. |
| Açıklama | Içerir: - Kategori adı: İmzanın kategorisi. - Üst düzey açıklama. - CVE-Id (isteğe bağlı): İlişkili CVE. |
| Protokol | İmzayla ilişkili protokol. |
| Kaynak/Hedef Bağlantı Noktaları | İmzayla bağlı bağlantı noktaları. |
| Son güncelleştirme | İmzanın son tanıtıldığı veya değiştirildiği tarih. |
IDPS hakkında daha fazla bilgi için Azure Güvenlik Duvarı IDPS'yi Test Sürüşüne Çıkarma sayfasına bakın.
URL filtreleme
URL filtreleme, Azure Güvenlik Duvarı'nın FQDN (Tam Etki Alanı Adı) filtreleme özelliğini genişleterek yalnızca www.contoso.com yerine www.contoso.com/a/c gibi bir URL'nin tamamını dikkate alır.
URL filtreleme hem HTTP hem de HTTPS trafiğine uygulanabilir. Azure Güvenlik Duvarı Premium, HTTPS trafiğini incelerken trafiğin şifresini çözmek, hedef URL'yi ayıklamak ve erişime izin verilip verilmediğini doğrulamak için TLS denetleme özelliğini kullanır. TLS incelemesinin uygulama kuralı düzeyinde etkinleştirilmesi gerekir. Etkinleştirildikten sonra URL'ler HTTPS trafiğini filtrelemek için kullanılabilir.
Web kategorileri
Web kategorileri, yöneticilerin kumar veya sosyal medya gibi belirli web sitesi kategorilerine kullanıcı erişimine izin vermesine veya erişimi reddetmesine olanak tanır. Bu özellik hem Azure Güvenlik Duvarı Standart hem de Premium'da kullanılabilse de, Premium SKU hem HTTP hem de HTTPS trafiği için URL'nin tamamına göre kategorileri eşleştirerek daha ayrıntılı denetim sunar.
Azure Güvenlik Duvarı Premium web kategorileri yalnızca güvenlik duvarı ilkelerinde kullanılabilir. İlke SKU'nuzun güvenlik duvarı örneği SKU'nuzla eşleştiğinden emin olun. Örneğin, Güvenlik Duvarı Premium örneği için Güvenlik Duvarı Premium ilkesi gerekir.
Örneğin, Azure Güvenlik Duvarı www.google.com/news için bir HTTPS isteğini yakalarsa:
- Güvenlik Duvarı Standart, yalnızca FQDN'yi inceler ve
www.google.com'yi Arama Motoru olarak kategorize eder. - Güvenlik Duvarı Premium, tam URL'yi inceler ve
www.google.com/newsolarak Haberler şeklinde kategorize eder.
Kategoriler Sorumluluk, Yüksek Bant Genişliği, İş Kullanımı, Üretkenlik Kaybı, Genel Sörf ve Kategorilere Ayrılmamış altında önem derecelerine göre düzenlenir. Ayrıntılı açıklamalar için bkz . Azure Güvenlik Duvarı web kategorileri.
Web kategorileri günlüğü
Web kategorilerine göre filtrelenen trafik Uygulama günlüklerine kaydedilir.
Web kategorileri alanı yalnızca güvenlik duvarı ilkesi uygulama kurallarınızda açıkça yapılandırılmışsa görüntülenir. Örneğin, eğer hiçbir kural Arama Motorlarını açıkça reddetmiyorsa ve bir kullanıcı www.bing.com talebinde bulunursa, sadece bir varsayılan red mesajı görüntülenir.
Kategori istisnaları
Daha yüksek önceliğe sahip ayrı izin verme veya reddetme kuralı koleksiyonlarını yapılandırarak web kategorisi kurallarında özel durumlar oluşturabilirsiniz. Örneğin, 100 önceliği ile www.linkedin.com'e izin verin ve 200 önceliği ile Sosyal ağ kategorisini reddederek bir istisna oluşturun.
Web kategorisi araması
Güvenlik Duvarı İlkesi Ayarları altındaki Web Kategorisi Denetimi özelliğini kullanarak FQDN veya URL kategorisini tanımlayın. Bu, hedef trafik için uygulama kurallarını tanımlamaya yardımcı olur.
Önemli
Web Kategorisi Denetimi özelliğini kullanmak için kullanıcının abonelik düzeyinde Microsoft.Network/azureWebCategories/* erişimi olmalıdır.
Kategori değişikliği
Güvenlik Duvarı İlkesi Ayarları'ndakiWeb Kategorileri sekmesinin altında, bir FQDN veya URL'nin farklı bir kategoride olması gerektiğine inanıyorsanız veya kategorilere ayrılmamış bir FQDN veya URL için öneriniz varsa, kategori değişikliği isteyebilirsiniz. Kategori değişikliği raporu gönderdikten sonra, istek durumunu izlemek için bir belirteç alırsınız.
TLS sonlandırmayı desteklemeyen web kategorileri
Çalışanların sistem durumu verileri gibi belirli web trafiğinin şifresi gizlilik ve uyumluluk nedeniyle TLS sonlandırma kullanılarak çözülemez. Aşağıdaki web kategorileri TLS sonlandırmayı desteklemez:
- Eğitim
- Finance
- Hükümet
- Sağlık ve tıp
Belirli URL'lerde TLS sonlandırmayı desteklemek için bunları uygulama kurallarına el ile ekleyin. Örneğin, bu web sitesine izin vermek için ekleyin www.princeton.edu .
Desteklenen bölgeler
Azure Güvenlik Duvarı'nın kullanılabildiği bölgelerin listesi için bkz. Bölgeye göre kullanılabilir Azure ürünleri.