Opis usługi Azure Firewall

  • 2 min

Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która zapewnia ochronę przed zagrożeniami dla obciążeń i zasobów w chmurze działających na platformie Azure.

Usługę Azure Firewall można wdrożyć w dowolnej sieci wirtualnej, ale najlepszym rozwiązaniem jest użycie jej w scentralizowanej sieci wirtualnej. Wszystkie inne sieci wirtualne i lokalne będą następnie kierowane przez nią. Zaletą tego modelu jest możliwość centralnego wywierania kontroli nad ruchem sieciowym dla wszystkich sieci wirtualnych w różnych subskrypcjach.

Diagram showing how Azure Firewall is running on a centralized virtual network can protect both cloud-based VNets and your on-premises network.

Za pomocą usługi Azure Firewall można skalować użycie w górę, aby uwzględnić zmieniające się przepływy ruchu sieciowego, dzięki czemu nie trzeba budżetować na szczytowy ruch. Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania go do zapory jako bramy domyślnej podsieci.

Najważniejsze funkcje usługi Azure Firewall

Usługa Azure Firewall jest oferowana w trzech jednostkach SKU: Standardowa, Premium i Podstawowa. Poniższa lista zawiera listę niektórych kluczowych funkcji, które są uwzględnione we wszystkich jednostkach SKU usługi Azure Firewall.

  • Wbudowana wysoka dostępność i strefy dostępności: wysoka dostępność jest wbudowana, więc nie ma nic do skonfigurowania. Ponadto usługę Azure Firewall można skonfigurować tak, aby obejmowała wiele stref dostępności w celu zwiększenia dostępności.
  • Filtrowanie na poziomie sieci i aplikacji: użyj adresu IP, portu i protokołu, aby obsługiwać w pełni kwalifikowane filtrowanie nazw domen dla ruchu wychodzącego HTTP i kontrolek filtrowania sieci.
  • Wychodzący protokół SNAT i przychodzące DNAT do komunikacji z zasobami internetowymi: przetłumacz prywatny adres IP zasobów sieciowych na publiczny adres IP platformy Azure (translacja adresów sieciowych źródłowych lub SNAT), aby zidentyfikować i zezwolić na ruch pochodzący z sieci wirtualnej do miejsc docelowych w Internecie. Podobnie, przychodzący ruch internetowy do publicznego adresu IP zapory jest tłumaczony (docelowy translacja adresów sieciowych lub DNAT) i filtrowany do prywatnych adresów IP zasobów w sieci wirtualnej.
  • Wiele publicznych adresów IP: te adresy mogą być skojarzone z usługą Azure Firewall.
  • Analiza zagrożeń: filtrowanie oparte na analizie zagrożeń można włączyć, aby zapora wysyłała alerty i odrzucały ruch ze znanych złośliwych adresów IP i domen.
  • Integracja z usługą Azure Monitor: zintegrowana z usługą Azure Monitor w celu umożliwienia zbierania, analizowania i działania na podstawie danych telemetrycznych z dzienników usługi Azure Firewall.

Szczegółowe informacje o funkcjach dostępnych dla każdej z dostępnych jednostek SKU (standardowa, Premium i podstawowa) znajdują się w sekcji Dowiedz się więcej w lekcji podsumowania i zasobów.