Azure 防火牆進階版功能
Azure 防火牆進階版提供進階威脅防護,其可滿足高度敏感性和受管制環境的需求,例如付款和醫療保健產業。
組織可以利用 IDPS 和 TLS 檢查等進階版庫存單位 (SKU) 功能,以防止惡意程式碼和病毒在網路之間以橫向和水平方向散播。 為了符合 IDPS 和 TLS 檢查提升效能的需求,Azure 防火牆進階版使用更強大的虛擬機器 SKU。 如同標準 SKU,進階 SKU 可以順暢地擴大至 100 Gbps,並與可用性區域整合,以支援 99.99% 的服務等級協定 (SLA)。 進階版 SKU 符合支付卡產業資料安全性標準 (PCI DSS) 環境需求。
Azure 防火牆進階版包含下列功能:
- TLS 檢查 - 解密輸出流量、處理資料,然後加密資料並將其傳送至目的地。
- IDPS - 網路入侵偵測和防護系統 (IDPS) 可讓您監視網路活動是否有惡意活動、記錄此活動的相關資訊、進行報告,以及選擇性地嘗試予以封鎖。
- URL 篩選 - 會擴充 Azure 防火牆的 FQDN 篩選功能,以考慮整個 URL 以及任何其他路徑。 例如,
www.contoso.com/a/c而不是www.contoso.com。 - Web 類別 - 可讓管理員可以允許或拒絕使用者對某些網站類別 (例如賭博網站、社交媒體網站等) 的存取。
若要比較所有防火牆 SKU 的 Azure 防火牆功能,請參閱選擇正確的 Azure 防火牆 SKU 以符合您的需求。
TLS 檢查
TLS (傳輸層安全性) 通訊協定主要會使用兩個或多個通訊應用程式之間的憑證,以提供隱私權、完整性和真實性的密碼編譯。 其會在應用程式層中執行,並廣泛用來加密 HTTP 通訊協定。
加密流量可能具有安全性風險,且可以隱藏不合法的使用者活動和惡意流量。 沒有 TLS 檢查的 Azure 防火牆 (如下圖所示) 無法看到在加密 TLS 通道中流動的資料,因此無法提供完整的保護涵蓋範圍。
第二個圖表顯示 Azure 防火牆進階版如何終止並檢查 TLS 連線,以偵測、警示及減輕 HTTPS 中的惡意活動。 防火牆會建立兩個專用 TLS 連線:一個使用網頁伺服器 (contoso.com),另一個與用戶端連線。 其會使用客戶提供的 CA 憑證來產生即時憑證,以取代網頁伺服器憑證,並與用戶端共用,從而建立防火牆與用戶端之間的 TLS 連線。
沒有 TLS 檢查的 Azure 防火牆:
具有 TLS 檢查的 Azure 防火牆:
Azure 防火牆支援下列使用案例:
輸出 TLS 檢查
防止從裝載於 Azure 內部用戶端傳送至網際網路的惡意流量。
東西向 TLS 檢查 (包含往來於內部部署網路的流量)
保護您的 Azure 工作負載免於遭受從 Azure 內傳送的潛在惡意流量。
Azure 應用程式閘道上的 Azure Web 應用程式防火牆支援下列使用案例:
輸入 TLS 檢查
保護裝載於 Azure 中的內部伺服器或應用程式免於遭受來自網際網路或外部網路的惡意要求。 應用程式閘道提供端對端加密。
如需相關資訊,請參閱:
提示
TLS 1.0 和 1.1 即將淘汰,且將不受支援。 我們已發現 TLS 1.0 與 1.1 版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本。 請儘快移轉至 TLS 1.2。
若要深入瞭解 Azure 防火牆進階版中繼 CA 憑證需求,請參閱 Azure 防火牆進階版憑證。
若要深入了解 TLS 檢查,請參閱在 Azure 防火牆中建置 POC 以進行 TLS 檢查。
IDPS
網路入侵偵測和防護系統 (IDPS) 可讓您監視網路是否有惡意活動、記錄此活動的相關資訊、回報,以及選擇性地嘗試將其封鎖。
Azure 防火牆進階版提供簽章型 IDPS,以允許透過尋找特定模式來快速偵測攻擊,例如網路流量中的位元組序列,或惡意程式碼所使用的已知惡意指令序列。 IDPS 簽章同時適合應用程式和網路層級流量 (層級 3-7)。 其完全受控且會持續更新。 IDPS 可以套用至輸入、輪輻對輪輻 (東-西) 和輸出流量。 輪幅到輪幅 (東西向) 包含往來於內部部署網路的流量。 您可以使用私人 IP 範圍功能來設定 IDPS 私人 IP 位址範圍。 如需詳細資訊,請參閱 IDPS 私人 IP 範圍。
Azure 防火牆簽章/規則集包括:
- 強調對實際惡意程式碼、命令和控制、惡意探索套件,以及傳統防護方法遺漏的惡意活動進行指紋識別。
- 在超過 50 種類別中,有超過 67,000 個規則。
- 這些類別包括惡意程式碼命令和控制、網路釣魚、特洛伊木馬後門程式、殭屍網路、資訊事件、惡意探索、弱點、SCADA 網路通訊協定、惡意探索套件活動等等。
- 每天會發行 20 到 40 個以上的新規則。
- 使用全域感應器網路意見反應迴圈等最先進的惡意程式碼偵測技術,降低誤判為真率。
IDPS 可讓您在所有連接埠和通訊協定中偵測是否有針對未加密流量的攻擊。 不過,當需要檢查 HTTPS 流量時,Azure 防火牆可以使用其 TLS 檢查功能來解密流量,並更妥善地偵測惡意活動。
IDPS 略過清單是一項設定,可讓您不篩選流向略過清單中所指定任何 IP 位址、範圍和子網路的流量。 IDPS 略過清單不適合用來改善輸送量效能,因為防火牆仍受限於與使用案例相關聯的效能。 如需詳細資訊,請參閱 Azure 防火牆效能。
IDPS 私人 IP 範圍
在 Azure 防火牆進階 IDPS 中,私人 IP 位址範圍可用來識別流量為輸入、輸出或內部 (東-西) 流量。 每個簽章都會套用至特定流量方向,如簽章規則資料表中所述。 根據預設,只有 IANA RFC 1918 定義的範圍會視為私人 IP 位址。 因此,從私人 IP 位址範圍傳送到私人 IP 位址範圍的流量會被視為內部流量。 若要修改私人 IP 位址,您現在可以視需要輕鬆地編輯、移除或新增範圍。
IDPS 簽章規則
IDPS 簽章規則可讓您:
自訂一或多個簽章,並將其模式變更為 [已停用]、[警示] 或 [警示和拒絕]。
例如,如果您收到誤判為真,情況是合法的要求因為簽章「錯誤」而遭到 Azure 防火牆封鎖,則您可以使用網路規則記錄中的簽章識別碼,並將其 IDPS 模式設定為 [關閉]。 這會讓系統忽略「錯誤」的簽章,從而解決誤判為真問題。
針對會建立過多低優先順序警示,而干擾到高優先順序警示可見度的簽章,您可以對其套用相同的微調程序。
取得整個 55,000 個簽章的整體檢視
智慧型搜尋
此動作可讓您依任何類型的屬性搜尋整個簽章資料庫。 例如,您可以在搜尋列中輸入識別碼搜尋特定 CVE 識別碼,以探索要處理此 CVE 的簽章。
IDPS 簽章規則具有下列屬性:
| 資料行 | 描述 |
|---|---|
| 簽章識別碼 | 每個簽章的內部識別碼。 此識別碼也會顯示在 Azure 防火牆網路規則記錄中。 |
| [模式] | 指出簽章是否作用中,以及防火牆是否會在相符的流量時捨棄或發出警示。 下列簽章模式可以覆寫 IDPS 模式 - 已停用:您的防火牆上未啟用簽章。 - 警示:偵測到可疑流量時,您會收到警示。 - 警示和拒絕:您會收到警示,而可疑流量會遭到封鎖。 少數簽章類別定義為 [僅限警示],因此即使 IDPS 模式設定為 [警示和拒絕],符合其簽章的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來進行覆寫。 IDPS 簽章模式取決於下列其中一個原因: 1.由原則模式定義 - 簽章模式衍生自現有原則的 IDPS 模式。 2.由父代原則定義 - 簽章模式衍生自父代原則的 IDPS 模式。 3.覆寫 - 您可以覆寫和自訂簽章模式。 4.由系統定義 - 因為其 [類別],簽章模式會由系統設定為 [僅警示]。 您可以覆寫此簽章模式。 注意:IDPS 警示可透過網路規則記錄查詢在入口網站中使用。 |
| 嚴重性 | 每個簽章都有相關聯的嚴重性等級並指派優先順序,指出簽章是實際攻擊的可能性。 - 低 (優先順序 3):異常事件是通常不會在網路上發生或記錄資訊事件的事件。 攻擊的可能性很低。 - 中 (優先順序 2):簽章表示可疑性質的攻擊。 系統管理員應進一步調查。 - 高 (優先順序 1):攻擊簽章表示正在啟動嚴重本質的攻擊。 封包具有合法用途的可能性很低。 |
| 方向 | 套用簽章的流量方向。 - 輸入:簽章只會對源自網際網路並流向已設定私人 IP 位址範圍的流量套用。 - 輸出:簽章只會對源自已設定私人 IP 位址範圍並流向網際網路的流量套用。 - 輸出:簽章只會對往返傳送至已設定私人 IP 位址範圍的流量套用。 - 內部/輸入:簽章會對源自已設定私人 IP 位址範圍或源自網際網路並流向已設定私人 IP 位址範圍的流量套用。 - 內部/輸出:簽章會對傳送自已設定私人 IP 位址範圍並流向已設定私人 IP 位址範圍或網際網路的流量套用。 - 任何:簽章一律會對任何流量方向套用。 |
| 群組 | 簽章所屬群組的名稱。 |
| 描述 | 結構化自下列三個部分: - 類別名稱:簽章所屬類別的名稱,如 Azure 防火牆 IDPS 簽章規則類別中所述。 - 簽章的高階描述 在簽章與特定 CVE 相關聯的情況下,- CVE-ID (選用)。 |
| 通訊協定 | 與此簽章相關聯的通訊協定。 |
| 來源/目的地連接埠 | 與此簽章相關聯的連接埠。 |
| 上次更新 | 此簽章的上次引進或修改日期。 |
如需 IDPS 的詳細資訊,請參閱在試用產品上取得 Azure 防火牆 IDPS。
URL 篩選
URL 篩選會擴充 Azure 防火牆的 FQDN 篩選功能,以考慮整個 URL。 例如,www.contoso.com/a/c 而不是 www.contoso.com。
URL 篩選可以同時在 HTTP 和 HTTPS 流量上套用。 檢查 HTTPS 流量時,Azure 防火牆進階版可以使用其 TLS 檢查功能來解密流量,並擷取目標 URL 來驗證是否允許存取。 TLS 檢查需要在應用程式規則層級加入。 一旦啟用,您就可以使用 URL 搭配 HTTPS 進行篩選。
Web 類別
Web 類別可讓管理員允許或拒絕使用者對某些網站類別 (例如賭博網站、社交媒體網站等) 的存取。 Web 類別也隨附於 Azure 防火牆標準版,但在 Azure 防火牆進階版中會更精細。 相對於標準版 SKU 中的 Web 類別功能會根據 FQDN 比對類別,進階版 SKU 會根據 HTTP 和 HTTPS 流量的整個 URL 比對類別。
Azure 防火牆進階版 Web 類別僅能於防火牆原則中取得。 確保您的原則 SKU 符合防火牆執行個體的 SKU。 例如,如果您有防火牆進階版執行個體,則必須使用防火牆進階版原則。
例如,如果 Azure 防火牆攔截 www.google.com/news 的 HTTPS 要求,則預期會有下列分類:
防火牆標準版 - 僅檢查 FQDN 部分,因此
www.google.com會分類為搜尋引擎。防火牆進階版 - 檢查完整 URL,因此
www.google.com/news會分類為新聞。
這些類別會根據責任、高頻寬、商務用途、生產力損失、一般隨意瀏覽和未分類的嚴重性來組織。 如需 Web 類別的詳細描述,請參閱 Azure 防火牆 Web 類別。
Web 類別記錄
您可以在應用程式記錄中檢視已依 Web 類別篩選的流量。 Web 類別欄位只有在防火牆原則應用程式規則中已明確設定時才會顯示。 例如,如果您沒有明確拒絕搜尋引擎的規則,且使用者要求移至 www.bing.com,則只會顯示預設拒絕訊息,而非 Web 類別訊息。 這是因為未明確設定 Web 類別。
類別例外狀況
您可以建立 Web 類別規則的例外狀況。 在規則集合群組內建立優先順序較高的個別允許或拒絕規則集合。 例如,您可以設定允許優先順序為 100 www.linkedin.com 的規則集合,以及拒絕優先順序為 200 社交網路的規則集合。 這會為預先定義的社交網路 Web 類別建立例外狀況。
Web 類別搜尋
您可以使用 Web 類別檢查功能來識別指定 FQDN 或 URL 的類別。 若要使用此功能,請選取 [防火牆原則設定] 底下的 [Web 類別] 索引標籤。 這在定義目的地流量的應用程式規則時很有用。
重要
若要使用 Web 類別檢查功能,用戶必須具有訂用帳戶層級的 Microsoft.Network/azureWebCategories/* 存取權,而不是資源群組層級。
類別變更
在 [防火牆原則設定] 中的 [Web 類別] 索引標籤下,您可以在下列情況中要求分類變更:
認為 FQDN 或 URL 應該位於不同的類別之下
或
具有未分類 FQDN 或 URL 的建議類別
提交類別變更報告之後,系統會在通知中提供權杖,指出我們已收到處理要求。 您可以在搜尋列中輸入權杖,以檢查要求是否正在進行、遭到拒絕或已核准。 請務必儲存權杖識別碼以執行這項操作。
不支援 TLS 終止的 Web 類別
由於隱私權與合規性原因,加密的特定 Web 流量無法使用 TLS 終止進行解密。 例如,由於隱私權原因,透過公司網路 Web 流量傳輸的員工健康情況資料不應該使用 TLS 終止。
因此,下列 Web 類別不支援 TLS 終止:
- 教育程度
- Finance
- 政府
- 健康和醫學
因應措施是,如果您想要特定 URL 支援 TLS 終止,您可以在應用程式規則中手動新增具有 TLS 終止的 URL。 例如,您可以將 www.princeton.edu 新增至應用程式規則以允許此網站。
支援的區域
如需瀏覽 Azure 防火牆支援的區域,請參閱依區域提供的 Azure 產品。