Recursos do Firewall do Azure Básico

  • Artigo

O Firewall do Azure Básico é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual do Azure.

Diagram showing Firewall Basic.

O Firewall do Azure Básico inclui os seguintes recursos:

  • Alta disponibilidade interna
  • Zonas de Disponibilidades
  • Regras de filtragem de FQDN de aplicativo
  • Regras de filtragem de tráfego de rede
  • Marcas de FQDN
  • Marcas de serviço
  • Inteligência contra ameaças em modo de alerta
  • Suporte a SNAT de saída
  • Suporte a DNAT de entrada
  • Vários endereços IP públicos
  • Registro em log do Azure Monitor
  • Certificações

Para comparar os recursos do Firewall do Azure para todas as SKUs do Firewall, confira Escolher o SKU do Azure Firewall correto para atender às suas necessidades.

Alta disponibilidade interna

A alta disponibilidade é interna, portanto, nenhum balanceador de carga adicional é necessário e nenhuma configuração é necessária.

Zonas de Disponibilidades

O Firewall do Azure pode ser configurado durante a implantação para abranger várias Zonas de Disponibilidade para aumentar a disponibilidade. Você também pode associar o Firewall do Azure a uma zona específica por motivos de proximidade. Para saber mais sobre disponibilidade, consulte o Contrato de Nível de Serviço (SLA) do Firewall do Azure.

Não há custo adicional para um firewall implantado em mais de uma Zona de Disponibilidade. No entanto, há custos adicionais para transferências de dados de entrada e saída associados com as Zonas de Disponibilidade. Para saber mais, confira Detalhes de preços de largura de banda.

As Zonas de Disponibilidade do Firewall do Azure estão disponíveis nas regiões que dão suporte a Zonas de Disponibilidade. Para mais informações, consulte Regiões que dão suporte às Zonas de Disponibilidade no Azure.

Regras de filtragem de FQDN de aplicativo

Você pode limitar o tráfego HTTP/S de saída ou o tráfego SQL do Azure para uma lista especificada de FQDNs (nomes de domínio totalmente qualificados), incluindo caracteres curinga. Esse recurso não exige o encerramento de TLS.

O vídeo a seguir mostra como criar uma regra de aplicativo:

Regras de filtragem de tráfego de rede

Você pode criar centralmente regras de filtragem de rede para permitir ou negar por endereço IP de origem e destino, porta e protocolo. O Firewall do Azure é totalmente com estado, para que possa distinguir pacotes legítimos de diferentes tipos de conexões. As regras são impostas e registradas em várias assinaturas e redes virtuais.

O Firewall do Azure dá suporte à filtragem de estado dos protocolos de rede de Camada 3 e Camada 4. Os protocolos IP da Camada 3 podem ser filtrados selecionando Qualquer protocolo na Regra de rede e selecionando o curinga * para a porta.

Marcas de FQDN

As marcas de FQDN facilitam a permissão de tráfego de rede do serviço do Azure conhecido através do firewall. Por exemplo, digamos que você deseja permitir o tráfego de rede do Windows Update por meio de seu firewall. Você cria uma regra de aplicativo e inclui a marca do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através do firewall.

Marcas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regra de segurança. Você não pode criar sua própria marca de serviço ou especificar quais endereços IP estão incluídos em uma marca. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.

Inteligência contra ameaças

A filtragem baseada em inteligência contra ameaças pode ser habilitada para seu firewall para alertar tráfego de/para endereços IP e domínios mal-intencionados conhecidos. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft.

Suporte a SNAT de saída

Todos os endereços IP de tráfego de rede virtual de saída são convertidos no IP público do Firewall do Azure (conversão de endereço de rede de origem). Você pode identificar e permitir o tráfego proveniente de sua rede virtual para destinos de Internet remotos. O Firewall do Azure não usa SNAT quando o IP de destino é um intervalo IP privado de acordo com o IANA RFC 1918.

Se sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure usará SNAT para o tráfego de um dos endereços IP privados do firewall em AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.

Você pode monitorar a utilização da porta SNAT nas métricas do Firewall do Azure. Saiba mais e veja nossa recomendação sobre a utilização da porta SNAT em nossa documentação de logs e métricas de firewall.

Para obter informações mais detalhadas sobre os comportamentos da NAT do Firewall do Azure, consulte Comportamentos da NAT do Firewall do Azure.

Suporte a DNAT de entrada

O tráfego de rede da Internet de entrada para o seu endereço IP público do firewall é convertido (conversão de endereços de rede de destino) e filtrado para os endereços IP privados nas redes virtuais.

Vários endereços IP públicos

Você pode associar vários endereços IP públicos com seu firewall.

Isso permite os seguintes cenários:

  • DNAT: várias instâncias de porta padrão podem ser traduzidas em seus servidores de back-end. Por exemplo, se você tem dois endereços IP públicos, pode traduzir a porta TCP 3389 (RDP) para os dois endereços IP.
  • SNAT – mais portas estão disponíveis para conexões SNAT de saída, reduzindo a possibilidade de esgotamento da porta SNAT. Neste momento, o Firewall do Azure seleciona aleatoriamente o endereço IP público do código-fonte a ser usado para uma conexão. Se você tiver qualquer filtragem downstream em sua rede, precisará permitir todos os endereços IP públicos associados com seu firewall. Considere usar um prefixo de endereço IP público para simplificar essa configuração.

Registro em log do Azure Monitor

Todos os eventos são integrados ao Azure Monitor, permitindo que você arquive logs em uma conta de armazenamento, transmita eventos ao hub de eventos ou envie-os aos logs do Azure Monitor. Para obter amostras de log do Azure Monitor, confira Logs do Azure Monitor do Firewall do Azure.

Para saber mais, confira Tutorial: Monitorar os logs e as métricas do Firewall do Azure.

O workbook do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados no portal do Azure. Para obter mais informações, confira Monitorar logs usando o workbook do Firewall do Azure.

Certificações

O Firewall do Azure está em conformidade com PCI (Payment Card Industry), SOC (Service Organization Controls) e ISO (International Organization for Standardization). Para obter mais informações, confira Certificações de conformidade do Firewall do Azure.