Share via

ميزات Azure Firewall Premium

  • مقالة

شعار شهادة PCI

يوفر جدار الحماية Azure Premium حماية متقدمة من المخاطر تلبي احتياجات البيئات الحساسة والمنظمة للغاية، مثل صناعات الدفع والرعاية الصحية.

يمكن للمؤسسات استخدام ميزات وحدة حفظ المخزون المتميزة (SKU) مثل فحص IDPS وTLS لمنع البرامج الضارة والفيروسات من الانتشار عبر الشبكات في كل من الاتجاهين الجانبي والأفقي. لتلبية متطلبات الأداء المتزايدة لفحص IDPS وTLS، يستخدم Azure Firewall Premium جهازا افتراضيا SKU أقوى. مثل وحدة SKU القياسية، يمكن ل Premium SKU توسيع نطاقها بسلاسة حتى 100 جيجابت في الثانية والتكامل مع مناطق التوفر لدعم اتفاقية مستوى الخدمة (SLA) بنسبة 99.99 بالمائة. يتوافق Premium SKU مع احتياجات البيئة الخاصة بمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).

مخطط نظرة عامة على Azure Firewall Premium

يتضمن Azure Firewall Premium الميزات التالية:

  • فحص بروتوكول أمان طبقة النقل - يفك تشفير حركة المرور الصادرة ويعالج البيانات، ثم يشفر البيانات ويرسلها إلى الوجهة.
  • IDPS - يسمح لك نظام اكتشاف التسلل عبر الشبكة والوقاية منه (IDPS) بمراقبة أنشطة الشبكة بحثاً عن أي نشاط ضار وتسجيل المعلومات حول هذا النشاط والإبلاغ عنه ومحاولة حظره اختيارياً.
  • تصفية عنوان URL - توسيع إمكانية تصفية FQDN لجدار حماية Azure للنظر في عنوان URL بأكمله مع أي مسار إضافي. على سبيل المثال، www.contoso.com/a/c بدلًا من www.contoso.com.
  • فئات الويب - يمكن للمسؤولين السماح أو رفض وصول المستخدم إلى فئات مواقع الويب مثل مواقع المقامرة ومواقع الشبكات الاجتماعية وغيرها.

لمقارنة ميزات Azure Firewall لجميع وحدات SKU لجدار الحماية، راجع اختيار Azure Firewall SKU المناسب لتلبية احتياجاتك.

فحص بروتوكول أمان طبقة النقل

يوفر بروتوكول TLS (أمان طبقة النقل) في المقام الأول التشفير للخصوصية والنزاهة والأصالة باستخدام الشهادات بين تطبيقين أو أكثر من تطبيقات الاتصال. يتم تشغيله في طبقة التطبيق ويستخدم على نطاق واسع لتشفير بروتوكول HTTP.

تنطوي حركة المرور المشفرة على مخاطر أمنية محتملة ويمكن أن تخفي نشاط المستخدم غير القانوني وحركة المرور الضارة. لا يحتوي جدار حماية Azure Firewall بدون فحص TLS (كما هو موضح في الرسم التخطيطي التالي) على رؤية للبيانات التي تتدفق في نفق TLS المشفر، لذلك لا يمكنه توفير تغطية الحماية الكاملة.

يوضح الرسم التخطيطي الثاني كيفية قيام Azure Firewall Premium بإنهاء اتصالات TLS وفحصها للكشف عن النشاط الضار في HTTPS والتنبيه به والتخفيف من حدته. ينشئ جدار الحماية اتصالين مخصصين ل TLS: أحدهما مع خادم الويب (contoso.com) واتصال آخر بالعميل. باستخدام شهادة CA المقدمة من العميل، فإنه يقوم بإنشاء شهادة أثناء التنقل، والتي تحل محل شهادة خادم الويب وتشاركها مع العميل لإنشاء اتصال TLS بين جدار الحماية والعميل.

جدار حماية Azure دون فحص TLS: TLS من طرف إلى طرف ل Azure Firewall Standard

جدار حماية Azure مع فحص TLS: TLS مع Azure Firewall Premium

يتم دعم حالات الاستخدام التالية مع جدار حماية Azure:

  • فحص TLS الصادر

    للحماية من حركة المرور الضارة التي يتم إرسالها من عميل داخلي مستضاف في Azure إلى الإنترنت.

  • فحص TLS بين الشرق والغرب (يشمل حركة المرور التي تنتقل من / إلى شبكة محلية)

    لحماية أحمال عمل Azure من حركة المرور الضارة المحتملة المرسلة من داخل Azure.

يتم دعم حالة الاستخدام التالية بواسطة جدار حماية تطبيق ويب Azure على بوابة تطبيق Azure:

تلميح

تم إيقاف TLS 1.0 و1.1 ولن يتم دعمهما. تم اكتشاف أن إصدارات TLS 1.0 و1.1 من TLS / طبقة مآخذ توصيل آمنة (SSL) معرضة للخطر، وعلى الرغم من أنها لا تزال تعمل حالياً للسماح بالتوافق مع الإصدارات السابقة، فلا يوصى بها. ترحيل إلى TLS 1.2 في أقرب وقت ممكن.

لمعرفة المزيد حول متطلبات شهادة Azure Firewall Premium Intermediate CA، راجع شهادات Azure Firewall Premium.

لمعرفة المزيد حول فحص TLS، راجع إنشاء POC لفحص TLS في جدار حماية Azure.

IDPS

يسمح لك نظام الكشف عن اختراق الشبكة ومنعه (IDPS) بمراقبة شبكتك للنشاط الضار، وتسجيل المعلومات حول هذا النشاط، والإبلاغ عنه، ومحاولة حظره اختياريا.

يوفر Azure Firewall Premium IDPS المستند إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة، مثل تسلسل البايت في حركة مرور الشبكة، أو تسلسل التعليمات الضارة المعروفة التي تستخدمها البرامج الضارة. تنطبق توقيعات IDPS على كل من نسبة استخدام الشبكة على مستوى التطبيق والشبكة (الطبقات 3-7). تتم إدارتها بالكامل وتحديثها باستمرار. يمكن تطبيق IDPS على حركة المرور الواردة، والتحدث إلى المتحدث (الشرق والغرب)، وحركة المرور الصادرة. East-West فحص TLS (بما في ذلك نسبة استخدام الشبكة التي تنتقل من/إلى شبكة محلية. يمكنك تكوين نطاقات عناوين IP الخاصة ب IDPS باستخدام ميزة نطاقات IP الخاصة. لمزيد من المعلومات، راجع نطاقات IP الخاصة ب IDPS.

تتضمن تواقيع/مجموعات قواعد Azure Firewall ما يلي:

  • التركيز على أخذ بصمات البرمجيات الخبيثة الفعلية، والقيادة والتحكم، ومجموعات الاستغلال، والنشاط الضار الوحشي الذي غاب عن طرق الوقاية التقليدية.
  • أكثر من 67,000 قاعدة في أكثر من 50 فئة.
    • وتشمل الفئات القيادة والتحكم في البرامج الضارة، والتصيد الاحتيالي، وأحصنة طروادة، وشبكات الروبوت، والأحداث الإعلامية، والمآثر، ونقاط الضعف، وبروتوكولات شبكة SCADA، ونشاط مجموعة الاستغلال، والمزيد.
  • يصدر 20 إلى ما يفوق 40 + قاعدة جديدة كل يوم.
  • تصنيف إيجابي خاطئ منخفض باستخدام أحدث تقنيات الكشف عن البرامج الضارة مثل حلقة ملاحظات شبكة الاستشعار العالمية.

يسمح لك IDPS بالكشف عن الهجمات في جميع المنافذ والبروتوكولات لنسبة استخدام الشبكة غير المشفرة. ومع ذلك، عندما يحتاج حركة المرور HTTPS إلى فحص، يمكن استخدام Azure Firewall الخاص به TLS القدرة على فك تشفير حركة المرور والكشف عن أفضل الأنشطة الضارة.

قائمة تجاوز IDPS هي تكوين يسمح لك بعدم تصفية نسبة استخدام الشبكة إلى أي من عناوين IP والنطاقات والشبكات الفرعية المحددة في قائمة التجاوز. لا يقصد من قائمة تجاوز IDPS أن تكون طريقة لتحسين أداء معدل النقل، حيث لا يزال جدار الحماية خاضعا للأداء المرتبط بحالة الاستخدام الخاصة بك. لمزيد من المعلومات، راجع أداء Azure Firewall.

لقطة شاشة تعرض شاشة قائمة تجاوز IDPS.

نطاقات IP الخاصة ب IDPS

في Azure Firewall Premium IDPS، تُستخدم نطاقات عناوين IP الخاصة لتحديد ما إذا كانت نسبة استخدام الشبكة واردة أو صادرة أو داخلية (شرق-غرب). يُطبق كل توقيع على اتجاه معين لنسبة استخدام الشبكة، كما هو موضح في جدول قواعد التوقيع. بشكل افتراضي، تعتبر النطاقات المحددة من خلال IANA RFC 1918 فقط عناوين IP خاصة. لذلك، تعتبر نسبة استخدام الشبكة المرسلة من نطاق عنوان IP خاص إلى نطاق عناوين IP خاص داخلية. لتعديل عناوين IP الخاص، يمكنك الآن تحرير النطاقات أو إزالتها أو إضافتها بسهولة حسب الحاجة.

لقطة شاشة تعرض نطاقات عناوين IP الخاصة ب IDPS.

قواعد توقيع IDPS

تسمح لك قواعد توقيع IDPS بما يلي:

  • قم بتخصيص توقيع واحد أو أكثر وقم بتغيير الوضع الخاص به إلى معطل أو تنبيه أو تنبيه ورفض. يجب ألا يتجاوز الحد الأقصى لعدد قواعد IDPS المخصصة 10,000.

    على سبيل المثال، إذا تلقيت إيجابية خاطئة حيث تم حظر طلب شرعي بواسطة جدار حماية Azure بسبب توقيع خاطئ، يمكنك استخدام معرف التوقيع من سجلات قواعد الشبكة وتعيين وضع IDPS الخاص به إلى إيقاف التشغيل. يؤدي هذا إلى تجاهل التوقيع "الخطأ" ويحل المشكلة الإيجابية الكاذبة.

  • يمكنك تطبيق نفس إجراء الضبط الدقيق للتوقيعات التي تنشئ عددا كبيرا جدا من التنبيهات ذات الأولوية المنخفضة، ومن ثمَّ تتداخل مع الرؤية للتنبيهات ذات الأولوية العالية.

  • احصل على رؤية شاملة لأكثر من 67,000 توقيع

  • البحث الذكي

    يسمح لك هذا الإجراء بالبحث من خلال قاعدة بيانات التواقيع بأكملها عن طريق أي نوع من السمات. على سبيل المثال، يمكنك البحث عن معرف CVE محدد لاكتشاف التواقيع التي تهتم ب CVE هذا عن طريق كتابة المعرف في شريط البحث.

تحتوي قواعد توقيع IDPS على الخصائص التالية:

العمود ‏‏الوصف
معرف التوقيع المعرف الداخلي لكل توقيع. يتم تقديم هذا المعرف أيضًا في سجلات قواعد شبكة جدار حماية Azure.
وضع يشير إلى ما إذا كان التوقيع نشطا أم لا، وما إذا كان جدار الحماية يسقط أو ينبه عند نسبة استخدام الشبكة المتطابقة. يمكن أن يتجاوز وضع التوقيع أدناه وضع IDPS
- معطل: لم يتم تمكين التوقيع على جدار الحماية.
- تنبيه: تتلقى تنبيهات عند الكشف عن نسبة استخدام الشبكة المشبوهة.
- التنبيه والرفض: تتلقى تنبيهات ويتم حظر نسبة استخدام الشبكة المشبوهة. يتم تعريف عدد قليل من فئات التوقيع على أنها "تنبيه فقط"، لذلك بشكل افتراضي، لا يتم حظر حركة المرور المطابقة لتوقيعاتها على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". يمكنك تجاوز ذلك عن طريق تخصيص هذه التواقيع المحددة إلى وضع التنبيه والرفض .

يتم تحديد وضع توقيع IDPS بأحد الأسباب التالية:

1. يتم تحديده بواسطة وضع النهج - يتم اشتقاق وضع التوقيع من وضع IDPS للنهج الحالي.
2. يتم تحديده بواسطة النهج الأصل - يتم اشتقاق وضع التوقيع من وضع IDPS للنهج الأصل.
3. تم التجاوز – يمكنك تجاوز وضع التوقيع وتخصيصه.
4. تم تحديده بواسطة النظام - يتم تعيين وضع التوقيع على التنبيه فقط بواسطة النظام بسبب فئته. يمكنك تجاوز وضع التوقيع هذا.

ملاحظة: تتوفر تنبيهات IDPS في البوابة الإلكترونية عبر استعلام سجل قواعد الشبكة.
الأهمية لكل توقيع مستوى خطورة مقترن وأولوية معينة تشير إلى احتمال أن يكون التوقيع هجوما فعليا.
- منخفض (الأولوية 3): الحدث غير الطبيعي هو الحدث الذي لا يحدث عادة على شبكة أو يتم تسجيل الأحداث الإعلامية. احتمال الهجوم منخفض.
- متوسط (الأولوية 2):يشير التوقيع إلى هجوم ذي طبيعة مريبة. وينبغي للمسؤول أن يواصل إجراء مزيد من التحقيقات.
- عالية (الأولوية 1): تشير توقيعات الهجوم إلى أن هجوما ذا طبيعة شديدة يجري شنه. هناك احتمال ضئيل أن يكون للحزم غرض شرعي.
الاتجاه اتجاه نسبة استخدام الشبكة الذي يتم تطبيق التوقيع عليه.

- الواردة: يتم تطبيق التوقيع فقط على نسبة استخدام الشبكة القادمة من الإنترنت والموجهة في نطاق عنوان IP خاص مكوّن.
- الصادرة: يتم تطبيق التوقيع فقط على نسبة استخدام الشبكة المرسلة من نطاق عنوان IP خاص مكوّن إلى الإنترنت.
- داخلي: يتم تطبيق التوقيع فقط على نسبة استخدام الشبكة المرسلة من نطاق عناوين IP الخاص الذي تم تكوينه والموجهة إليه.
- داخلي/وارد: يتم تطبيق التوقيع على نسبة استخدام الشبكة التي تصل من نطاق عنوان IP الخاص المكون أو من الإنترنت والموجه إلى نطاق عناوين IP الخاص الذي تم تكوينه.
- داخلي/صادر: يتم تطبيق التوقيع على نسبة استخدام الشبكة المرسلة من نطاق عناوين IP الخاص المكون والموجه إلى نطاق عناوين IP الخاص الذي تم تكوينه أو إلى الإنترنت.
- أي: يتم تطبيق التوقيع دائما على أي اتجاه حركة مرور.
Group (المجموعة) اسم المجموعة الذي ينتمي إليه التوقيع.
‏‏الوصف منظم من الأجزاء الثلاثة التالية:
- اسم الفئة: اسم الفئة الذي ينتمي إليه التوقيع كما هو موضح في فئات قاعدة توقيع IDPS لجدار حماية Azure.
- وصف عالي المستوى للتوقيع
- CVE-ID (اختياري) في حالة ارتباط التوقيع بـ CVE معين.
البروتوكول البروتوكول المرتبط بهذا التوقيع.
منافذ المصدر/الوجهة المنافذ المقترنة بهذا التوقيع.
آخر تحديث آخر تاريخ تم فيه تقديم هذا التوقيع أو تعديله.

لقطة شاشة تعرض أعمدة قاعدة توقيع IDPS.

لمزيد من المعلومات حول IDPS، راجع أخذ IDPS جدار حماية Azure على محرك أقراص اختبار.

تصفية URL

تعمل تصفية عناوين URL على توسيع إمكانية تصفية FQDN في Azure Firewall لمراعاة عنوان URL بالكامل. على سبيل المثال، www.contoso.com/a/c بدلًا من www.contoso.com.

يمكن تطبيق تصفية عنوان URL على كل من حركة مرور HTTP وHTTPS. عند فحص حركة المرور HTTPS، يمكن لـ Azure Firewall Premium استخدام قدرة فحص TLS الخاصة به لفك تشفير حركة المرور واستخراج عنوان URL الهدف للتحقق مما إذا كان الوصول مسموحا به. يتطلب فحص TLS التقيد على مستوى قاعدة التطبيق. بمجرد تمكينه، يمكنك استخدام عناوين URL للتصفية باستخدام HTTPS.

فئات ويب

تتيح فئات الويب للمسؤولين السماح أو رفض وصول المستخدم إلى فئات مواقع الويب مثل مواقع المقامرة ومواقع التواصل الاجتماعي وغيرها. يتم أيضا تضمين فئات الويب في Azure Firewall Standard، ولكنها أكثر دقة في Azure Firewall Premium. بدلًا من إمكانية فئات الويب في SKU القياسية التي تُطابق الفئة استنادًا إلى اسم مجال مؤهل بالكامل FQDN، يُطابق SKU المُميز الفئة وفقًا لعنوان الويب بأكمله لكل من نسبة استخدام الشبكة لـ HTTP وHTTPS.

تتوفر فئات ويب Azure Firewall Premium فقط في نهج جدار الحماية. تأكد من أن نهج SKU الخاص بك يطابق SKU لمثيل جدار الحماية الخاص بك. على سبيل المثال، إذا كان لديك مثيل Firewall Premium، فيجب عليك استخدام نهج Firewall Premium.

على سبيل المثال، إذا اعترض Azure Firewall طلب HTTPS www.google.com/news، فمن المتوقع أن يكون التصنيف التالي:

  • Firewall Standard – يتم فحص جزء FQDN فقط، لذلك www.google.com يتم تصنيفه كمحرك بحث.

  • Firewall Premium – يتم فحص عنوان URL الكامل، لذلك www.google.com/news يتم تصنيفه على أنه News.

يتم تنظيم الفئات بناءً على درجة الخطورة ضمن المسؤولية، والنطاق الترددي العالي، واستخدام الأعمال، وفقدان الإنتاجية، والتصفح العام، وغير المصنف. للحصول على وصف تفصيلي لفئات الويب، راجع فئات ويب Azure Firewall.

تسجيل فئة ويب

يمكنك عرض حركة المرور التي تمت تصفيتها حسب فئات الويب في سجل التطبيقات. لا يُعرض حقل فئات الويب إلا إذا تم تكوينه بشكل صريح في قواعد تطبيق سياسة جدار الحماية. على سبيل المثال، إذا لم يكن لديك قاعدة ترفض صراحة محركات البحث، وطلب المستخدم الانتقال إلى www.bing.com، يتم عرض رسالة رفض افتراضية فقط بدلا من رسالة فئات ويب. وذلك لأن فئة الويب لم يتم تكوينها بشكل صريح.

استثناءات الفئة

يمكنك إنشاء استثناءات لقواعد فئة الويب الخاصة بك. إنشاء مجموعة قواعد السماح أو الرفض المنفصلة بأولوية أعلى ضمن مجموعة القواعد. على سبيل المثال، يمكنك تهيئة مجموعة قواعد تسمح لـ www.linkedin.com بالأولوية 100، مع مجموعة قواعد ترفض الشبكات الاجتماعية ذات الأولوية 200. يؤدي هذا إلى إنشاء استثناء لفئة ويب الشبكات الاجتماعية المعرفة مسبقا.

يمكنك تحديد فئة FQDN أو عنوان URL معين باستخدام ميزة Web Category Check. لاستخدام هذا، حدد علامة التبويب فئات الويب ضمن إعدادات نهج جدار الحماية. هذا مفيد عند تحديد قواعد التطبيق الخاصة بك لنسبة استخدام الشبكة للوجهة.

حوار البحث عن فئة جدار الحماية

هام

لاستخدام ميزة التحقق من فئة ويب، يجب أن يكون لدى المستخدم حق الوصول إلى Microsoft.Network/azureWebCategories/* لمستوى الاشتراك ، وليس مستوى مجموعة الموارد.

تغيير الفئة

ضمن علامة التبويب فئات الويب في نهج جدار الحماية الإعدادات، يمكنك طلب تغيير الفئة إذا كنت:

  • تعتقد أن FQDN أو عنوان URL يجب أن يكون ضمن فئة مختلفة

    أو

  • لديك فئة مقترحة لـ FQDN أو URL غير مصنف

بمجرد إرسال تقرير تغيير الفئة، يتم منحك رمزا مميزا في الإعلامات التي تشير إلى أننا تلقينا طلب المعالجة. يمكنك التحقق مما إذا كان الطلب قيد التقدم أو مرفوضاً أو معتمداً عن طريق إدخال الرمز المميز في شريط البحث. تأكد من حفظ مُعرف الرمز الخاص بك للقيام بذلك.

حوار تقرير فئة جدار الحماية

فئات الويب التي لا تدعم إنهاء TLS

نظرا لأسباب تتعلق بالخصوصية والتوافق، لا يمكن فك تشفير حركة مرور معينة على الويب مشفرة باستخدام إنهاء TLS. على سبيل المثال، لا ينبغي إنهاء TLS للبيانات الصحية للموظفين التي يتم إرسالها من خلال حركة مرور الويب عبر شبكة الشركة لأسباب تتعلق بالخصوصية.

نتيجة لذلك، لا تدعم فئات الويب التالية إنهاء TLS:

  • التعليم
  • Finance
  • الحكومة
  • الصحة والطب

كحل بديل، إذا كنت تريد عنوان URL معين لدعم إنهاء TLS، يمكنك إضافة عنوان URL واحد أو أكثر يدويا مع إنهاء TLS في قواعد التطبيق. على سبيل المثال، يمكنك إضافة www.princeton.edu إلى قواعد التطبيق للسماح بموقع الويب هذا.

المناطق المدعومة

بالنسبة للمناطق المدعومة لجدار حماية Azure، راجع منتجات Azure المتوفرة حسب المنطقة.

الخطوات التالية