Az Azure Firewall alapszintű funkciói

  • Cikk

Az Azure Firewall Basic egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat.

Diagram showing Firewall Basic.

Az Azure Firewall Basic a következő funkciókat tartalmazza:

  • Beépített magas rendelkezésre állás
  • Rendelkezésre állási zónák
  • Alkalmazások teljes tartománynevére vonatkozó szűrési szabályok
  • Hálózati forgalomra vonatkozó szűrési szabályok
  • FQDN-címkék
  • Szolgáltatáscímkék
  • Fenyegetésfelderítés riasztási módban
  • Kimenő SNAT-támogatás
  • Bejövő DNAT-támogatás
  • Több nyilvános IP-cím
  • Azure Monitor-naplózás
  • Tanúsítványok

Az Azure Firewall összes tűzfal-termékváltozatának összehasonlítása: Válassza ki a megfelelő Azure Firewall termékváltozatot az igényeinek megfelelően.

Beépített magas rendelkezésre állás

A magas rendelkezésre állás be van építve, ezért nincs szükség további terheléselosztókra, és nincs szükség konfigurálásra.

Rendelkezésre állási zónák

Az Azure Firewall az üzembe helyezés során konfigurálható úgy, hogy több rendelkezésre állási zónára terjedjen ki a nagyobb rendelkezésre állás érdekében. Az Azure Firewallt egy adott zónához is társíthatja közelségi okokból. A rendelkezésre állásról további információt az Azure Firewall szolgáltatásiszint-szerződésében (SLA) talál.

Egynél több rendelkezésre állási zónában üzembe helyezett tűzfalnak nincs többletköltsége. A rendelkezésre állási zónákkal társított bejövő és kimenő adatátvitelek azonban további költségekkel járnak. További információ: Sávszélesség díjszabásának részletei.

Az Azure Firewall rendelkezésre állási zónái olyan régiókban érhetők el, amelyek támogatják a rendelkezésre állási zónákat. További információkért tekintse meg az Azure rendelkezésre állási zónákat támogató régiókat.

Alkalmazások teljes tartománynevére vonatkozó szűrési szabályok

A kimenő HTTP/S-forgalmat vagy az Azure SQL-forgalmat a teljes tartománynevek (FQDN) megadott listájára korlátozhatja, beleértve a helyettesítő kártyákat is. Ez a funkció nem igényel TLS-leállítást.

Az alábbi videó bemutatja, hogyan hozhat létre alkalmazásszabályt:

Hálózati forgalomra vonatkozó szűrési szabályok

Központilag hozhat létre engedélyező vagy tiltó hálózatszűrési szabályokat forrás és cél IP-cím, -port és -protokoll alapján. Az Azure Firewall teljes mértékben állapotalapú, így képes megkülönböztetni különböző típusú kapcsolatok érvényes csomagjait. A szabályok több előfizetésen és virtuális hálózaton érvényesíthetők és naplózhatók.

Az Azure Firewall támogatja a 3. réteg és a 4. réteg hálózati protokolljainak állapotalapú szűrését. A 3. rétegbeli IP-protokollok szűréséhez válassza a Hálózati szabály Bármely protokollja lehetőséget, és válassza ki a porthoz tartozó helyettesítő *kártyát.

FQDN-címkék

Az FQDN-címkék megkönnyítik a jól ismert Azure-szolgáltatás hálózati forgalmának engedélyezését a tűzfalon keresztül. Tegyük fel például, hogy engedélyezni kívánja a Windows Update hálózati forgalmát a tűzfalon keresztül. Létrehozhat egy alkalmazásszabályt, és hozzáadhatja a Windows Update címkéjét. A Windows Update hálózati forgalma ezután akadálytalanul áthaladhat a tűzfalon.

Szolgáltatáscímkék

A szolgáltatáscímkék IP-címelőtagok egy csoportját jelölik, hogy a biztonsági szabályok létrehozásának összetettsége minimalizálható legyen. Nem hozhat létre saját szolgáltatáscímkét, és nem határozhatja meg, hogy mely IP-címek szerepelnek a címkén. A szolgáltatáscímkékben lévő címelőtagokat a Microsoft kezeli, és a címek változásával automatikusan frissíti a szolgáltatáscímkéket.

Fenyegetésészlelési intelligencia

A fenyegetésintelligencia-alapú szűrés engedélyezhető a tűzfal számára az ismert rosszindulatú IP-címek és tartományok felé irányuló forgalom riasztásához. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

Kimenő SNAT-támogatás

A rendszer a kimenő virtuális hálózati forgalomhoz tartozó minden IP-címet lefordít az Azure Firewall nyilvános IP-címére (forráshálózati címfordítás, SNAT). Azonosíthatja és engedélyezheti a virtuális hálózatból a távoli internetes célhelyekre irányuló forgalmat. Az Azure Firewall nem SNAT, ha a cél IP-cím egy privát IP-címtartomány az IANA RFC 1918-ban.

Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, az Azure Firewall az AzureFirewallSubnet egyik privát IP-címére irányítja a forgalmat. Az Azure Firewall konfigurálható úgy, hogy ne SNAT-t állítsunk be a nyilvános IP-címtartományba. További információért tekintse meg az Azure Firewall SNAT magánhálózati IP-címtartományairól szóló részt.

Az SNAT-portok kihasználtságát az Azure Firewall metrikáiban figyelheti. További információ és az SNAT-portok kihasználtságára vonatkozó javaslatunk a tűzfalnaplók és metrikák dokumentációjában található.

Az Azure Firewall NAT-viselkedéséről további információt az Azure Firewall NAT-viselkedései című témakörben talál.

Bejövő DNAT-támogatás

A rendszer lefordítja a tűzfal nyilvános IP-címére irányuló bejövő internetes hálózati forgalmat (célhálózati címfordítás), és szűri a virtuális hálózatok magánhálózati IP-címére.

Több nyilvános IP-cím

Több nyilvános IP-címet is társíthat a tűzfalhoz.

Ez a következő forgatókönyveket teszi lehetővé:

  • DNAT – Több szabványos portpéldányt is lefordíthat a háttérkiszolgálókra. Ha például két nyilvános IP-címmel rendelkezik, akkor mindkét IP-címhez lefordíthatja a 3389-es (RDP) TCP-portot.
  • SNAT – További portok érhetők el a kimenő SNAT-kapcsolatokhoz, ami csökkenti az SNAT-portok kimerülésének lehetőségét. Az Azure Firewall jelenleg véletlenszerűen választja ki a kapcsolathoz használandó nyilvános forrás IP-címet. Ha a hálózaton bármilyen lefelé irányuló szűrés van érvényben, engedélyeznie kell a tűzfalhoz társított összes nyilvános IP-címet. A konfiguráció egyszerűsítése érdekében fontolja meg egy nyilvános IP-címelőtag használatát.

Azure Monitor-naplózás

Minden esemény integrálva van az Azure Monitorral, így naplókat archiválhat egy tárfiókba, eseményeket streamelhet az eseményközpontba, vagy elküldheti őket az Azure Monitor-naplókba. Az Azure Monitor-naplómintákért tekintse meg az Azure Firewall Azure Monitor-naplóit.

További információ: Oktatóanyag: Azure Firewall-naplók és metrikák monitorozása.

Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. További információ: Naplók monitorozása az Azure Firewall-munkafüzet használatával.

Tanúsítványok

Az Azure Firewall a Payment Card Industry (PCI), a Service Organization Controls (SOC) és a International Organization for Standardization (ISO) szabványnak megfelelő. További információkért tekintse meg az Azure Firewall megfelelőségi tanúsítványait.