متى يتم استخدام Azure Firewall Premium
يمكن للمؤسسات الاستفادة من Azure Firewall Premium ميزات مثل IDPS وفحص TLS لمنع البرامج الضارة والفيروسات من الانتشار عبر الشبكات في كل من الاتجاهات الجانبية والأفقية. لتلبية متطلبات الأداء المتزايدة لفحص IDPS وTLS، يستخدم Azure Firewall Premium جهازا افتراضيا SKU أقوى. وعلى غرار SKU القياسية، يمكن Premium SKU توسيع نطاقها بسلاسة إلى 30 جيجابت في الثانية والاندماج مع مناطق التوافر لدعم اتفاقية مستوى الخدمة (SLA) بنسبة 99.99 في المائة. يتوافق Premium SKU مع احتياجات البيئة الخاصة بمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
لمساعدتك في تحديد ما إذا كان Azure Firewall Premium مناسبا لمؤسستك، خذ بعين الاعتبار السيناريوهات التالية:
تريد فحص حركة مرور شبكة الاتصال المشفرة TLS الصادرة
يمكن لـ Azure Firewall Premium TLS Inspection فك تشفير حركة المرور الصادرة، ومعالجتها، ثم تشفير البيانات وإرسالها إلى الوجهة.
ينهي Azure Firewall Premium اتصالات TLS الصادرة الشرقية الغربية. يتم اعتماد فحص TLS الوارد مع Azure Application Gateway التي تسمح بالتشفير من طرف إلى طرف. يقوم Azure Firewall بوظائف الأمان ذات القيمة المضافة المطلوبة ويعيد تشفير حركة المرور التي يتم إرسالها إلى الوجهة الأصلية.
تريد حماية الشبكة باستخدام الكشف عن حركة المرور الضارة المستندة إلى التوقيع
يسمح لك نظام الكشف عن اختراق الشبكة ومنعه (IDPS) بمراقبة شبكتك للنشاط الضار، وتسجيل المعلومات حول هذا النشاط، والإبلاغ عنه، ومحاولة حظره اختياريا.
يوفر Azure Firewall Premium IDPS المستند إلى التوقيع للسماح بالكشف السريع عن الهجمات من خلال البحث عن أنماط محددة، مثل تسلسل البايت في حركة مرور الشبكة، أو تسلسل التعليمات الضارة المعروفة التي تستخدمها البرامج الضارة. تنطبق تواقيع IDPS على كل من حركة مرور التطبيق ومستوى الشبكة (الطبقات 4-7)، ويتم إدارتها بالكامل وتحديثها باستمرار. يمكن تطبيق IDPS على حركة المرور الواردة، والتحدث إلى المتحدث (الشرق والغرب)، وحركة المرور الصادرة.
تتضمن تواقيع/مجموعات قواعد Azure Firewall ما يلي:
- التركيز على أخذ بصمات البرمجيات الخبيثة الفعلية، والقيادة والتحكم، ومجموعات الاستغلال، والنشاط الضار الوحشي الذي غاب عن طرق الوقاية التقليدية.
- أكثر من 55000 قاعدة في أكثر من 50 فئة.
- وتشمل الفئات قيادة البرمجيات الخبيثة والتحكم، وهجمات DoS والروبوتات، والأحداث الإعلامية، ومآثر، ونقاط الضعف، وبروتوكولات شبكة SCADA، واستغلال نشاط العدة، وأكثر من ذلك.
- يصدر 20 إلى ما يفوق 40 + قاعدة جديدة كل يوم.
- تصنيف إيجابي زائف منخفض باستخدام رمل البرامج الضارة المتطورة وحلقة التغذية المرتدة لشبكة الاستشعار العالمية.
يسمح لك IDPS بالكشف عن الهجمات في كافة المنافذ والبروتوكولات لحركة المرور غير المشفرة. ومع ذلك، عندما يحتاج حركة المرور HTTPS إلى فحص، يمكن استخدام Azure Firewall الخاص به TLS القدرة على فك تشفير حركة المرور والكشف عن أفضل الأنشطة الضارة.
تسمح لك قائمة تجاوز IDPS بعدم تصفية حركة المرور إلى أي من عناوين IP والنطاقات والشبكات الفرعية المحددة في قائمة الالتفافية.
يمكنك أيضا استخدام قواعد التوقيع عند تعيين وضع IDPS إلى تنبيه، ولكن هناك توقيع واحد أو أكثر تريد حظره، بما في ذلك حركة المرور المقترنة به. في هذه الحالة، يمكنك إضافة قواعد توقيع جديدة عن طريق تعيين وضع TLS Inspection للرفض.
تريد توسيع إمكانية تصفية FQDN ل Azure Firewall للنظر في عنوان URL بأكمله
يمكن لـ Azure Premium Firewall التصفية على عنوان URL بأكمله. على سبيل المثال، www.contoso.com/a/c بدلًا من www.contoso.com.
يمكن تطبيق تصفية عنوان URL على كل من حركة مرور HTTP وHTTPS. عند فحص حركة المرور HTTPS، يمكن لـ Azure Firewall Premium استخدام قدرة فحص TLS الخاصة به لفك تشفير حركة المرور واستخراج عنوان URL الهدف للتحقق مما إذا كان الوصول مسموحا به. يتطلب فحص TLS التقيد على مستوى قاعدة التطبيق. بمجرد تمكينه، يمكنك استخدام عناوين URL للتصفية باستخدام HTTPS.
تريد السماح بالوصول أو رفضه استنادًا إلى الفئات
تتيح فئات الويب للمسؤولين السماح بوصول المستخدم إلى فئات مواقع الويب أو رفضه مثل: مواقع المقامرة، ومواقع الشبكات الاجتماعية وغيرها. يتم تضمين فئات الويب في Azure Firewall Standard ولكن يتم ضبطها بدقة في Azure Firewall Premium. بدلًا من إمكانية فئات الويب في SKU القياسية التي تُطابق الفئة استنادًا إلى اسم مجال مؤهل بالكامل FQDN، يُطابق SKU المُميز الفئة وفقًا لعنوان الويب بأكمله لكل من نسبة استخدام الشبكة لـ HTTP وHTTPS.
على سبيل المثال، إذا اعترض جدار حماية Azure طلب HTTPS www.google.com/news، فمن المتوقع التصنيف التالي:
- Firewall Standard – سيتم فحص فقط الجزء FQDN، لذلك سيتم تصنيف www.google.com كمحرك بحث.
- Firewall Standard – سيتم فحص عنوان URL الكامل، لذلك سيتم تصنيف www.google.com/news كأخبار.
يتم تنظيم الفئات على أساس الشدة تحت المسؤولية، وعرض النطاق الترددي العالي، والاستخدام في مجال الأعمال، وفقدان الإنتاجية، وتصفح الويب العام، وغير مصنف.
هل تحتاج إلى مساعدة؟ راجع دليل استكشاف الأخطاء وإصلاحها الذي نقدمه أو يمكنك توفير ملاحظات معينة عبر الإبلاغ عن مشكلة.