Azure Firewall Standard-funktioner

  • Artikel

Azure Firewall Standard är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser.

Azure Firewall Standard features

Azure Firewall innehåller följande funktioner:

  • Inbyggd hög tillgänglighet
  • Tillgänglighetszoner
  • Obegränsad molnskalbarhet
  • Programmets FQDN-filtreringsregler
  • Regler för filtrering av nätverkstrafik
  • FQDN-taggar
  • Tjänsttaggar
  • Hotinformation
  • DNS-proxy
  • Anpassad DNS
  • FQDN i nätverksregler
  • Distribution utan offentlig IP-adress i tvingad tunnelläge
  • Stöd för utgående SNAT
  • Stöd för inkommande DNAT
  • Flera offentliga IP-adresser
  • Azure Monitor-loggning
  • Tvingad tunneltrafik
  • Webbkategorier
  • Certifieringar

Om du vill jämföra Azure Firewall-funktioner för alla brandväggs-SKU:er läser du Välj rätt Azure Firewall SKU för att uppfylla dina behov.

Inbyggd hög tillgänglighet

Hög tillgänglighet är inbyggd, så inga extra lastbalanserare krävs och det finns inget du behöver konfigurera.

Tillgänglighetszoner

Azure Firewall kan konfigureras under distributionen för att sträcka sig över flera Tillgänglighetszoner för ökad tillgänglighet. Med Tillgänglighetszoner ökar tillgängligheten till 99,99 % drifttid. Mer information finns i Service Level Agreement (SLA) för Azure Firewall. Serviceavtalet för drifttid på 99,99 % erbjuds när två eller flera Tillgänglighetszoner väljs.

Du kan också associera Azure Firewall med en specifik zon bara av närhetsskäl med servicestandarden 99,95 % serviceavtal.

Det kostar inget extra för en brandvägg som distribueras i mer än en tillgänglighetszon. Det finns dock extra kostnader för inkommande och utgående dataöverföringar som är associerade med Tillgänglighetszoner. Mer information finns i Prisinformation om bandbredd.

När brandväggen skalar skapas instanser i de zoner som den finns i. Så om brandväggen endast finns i zon 1 skapas nya instanser i zon 1. Om brandväggen finns i alla tre zonerna skapar den instanser över de tre zonerna när den skalar.

Azure Firewall-Tillgänglighetszoner är tillgängliga i regioner som stöder Tillgänglighetszoner. Mer information finns i Regioner som stöder Tillgänglighetszoner i Azure.

Kommentar

Tillgänglighetszoner kan bara konfigureras under distributionen. Du kan inte konfigurera en befintlig brandvägg för att inkludera Tillgänglighetszoner.

Mer information om Tillgänglighetszoner finns i Regioner och Tillgänglighetszoner i Azure.

Obegränsad molnskalbarhet

Azure Firewall kan skala ut så mycket du behöver för att hantera föränderliga nätverkstrafikflöden, så du behöver inte budgetera för din högsta trafik.

Programmets FQDN-filtreringsregler

Du kan begränsa utgående HTTP/S-trafik eller Azure SQL-trafik till en angiven lista över fullständigt kvalificerade domännamn (FQDN) inklusive jokertecken. Den här funktionen kräver inte TLS-avslutning.

Följande video visar hur du skapar en programregel:

Regler för filtrering av nätverkstrafik

Du kan centralt skapa nätverksfiltreringsreglerna tillåt eller neka efter källans och målets IP-adress, port och protokoll. Azure Firewall är helt tillståndskänslig så att den kan identifiera legitima paket för olika typer av anslutningar. Regler tillämpas och loggas i flera prenumerationer och virtuella nätverk.

Azure Firewall stöder tillståndskänslig filtrering av Layer 3- och Layer 4-nätverksprotokoll. Ip-protokoll för Layer 3 kan filtreras genom att välja Valfritt protokoll i nätverksregeln och välja jokertecken * för porten.

FQDN-taggar

FQDN-taggar gör det enkelt för dig att tillåta välkänd Nätverkstrafik i Azure-tjänsten via brandväggen. Anta exempelvis att du vill tillåta Windows Update-nätverkstrafik via brandväggen. Du skapar en programregel och inkluderar Windows Update-taggen. Nätverkstrafik från Windows Update kan nu flöda genom brandväggen.

Tjänsttaggar

En tjänsttagg representerar en grupp MED IP-adressprefix för att minimera komplexiteten vid skapande av säkerhetsregler. Du kan inte skapa en egen tjänsttagg eller ange vilka IP-adresser som ingår i en tagg. Microsoft hanterar adressprefixen som omfattar tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresser ändras.

Hotinformation

Hotinformationsbaserad filtrering kan aktiveras för brandväggen för att avisera och neka trafik från/till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet.

DNS-proxy

När DNS-proxyn är aktiverad kan Azure Firewall bearbeta och vidarebefordra DNS-frågor från ett virtuellt nätverk till önskad DNS-server. Den här funktionen är avgörande och krävs för att ha tillförlitlig FQDN-filtrering i nätverksregler. Du kan aktivera DNS-proxy i Inställningar för Azure Firewall och Brandväggsprincip. Mer information om DNS-proxy finns i DNS-inställningar för Azure Firewall.

Anpassad DNS

Med anpassad DNS kan du konfigurera Azure Firewall att använda din egen DNS-server, samtidigt som du ser till att brandväggens utgående beroenden fortfarande matchas med Azure DNS. Du kan konfigurera en enskild DNS-server eller flera servrar i DNS-inställningarna för Azure Firewall and Firewall Policy. Läs mer om anpassad DNS i DNS-inställningar för Azure Firewall.

Azure Firewall kan också matcha namn med hjälp av Azure Privat DNS. Det virtuella nätverk där Azure Firewall finns måste vara länkat till den privata Azure-zonen. Mer information finns i Använda Azure Firewall som DNS-vidarebefordrare med Private Link.

FQDN i nätverksregler

Du kan använda fullständigt kvalificerade domännamn (FQDN) i nätverksregler baserat på DNS-matchning i Azure Firewall and Firewall Policy.

De angivna FQDN:erna i regelsamlingarna översätts till IP-adresser baserat på brandväggens DNS-inställningar. Med den här funktionen kan du filtrera utgående trafik med hjälp av FQDN med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Eftersom den här funktionen baseras på DNS-matchning rekommenderar vi starkt att du aktiverar DNS-proxyn för att säkerställa att namnmatchningen överensstämmer med dina skyddade virtuella datorer och brandväggar.

Distribuera Azure Firewall utan offentlig IP-adress i läget Tvingad tunnel

Azure Firewall-tjänsten kräver en offentlig IP-adress i driftssyfte. Även om det är säkert föredrar vissa distributioner att inte exponera en offentlig IP-adress direkt till Internet.

I sådana fall kan du distribuera Azure Firewall i läget Tvingad tunnel. Den här konfigurationen skapar ett nätverkskort för hantering som används av Azure Firewall för dess åtgärder. Klientorganisationens Datapath-nätverk kan konfigureras utan en offentlig IP-adress, och Internettrafik kan tvingas tunneltrafik till en annan brandvägg eller blockeras.

Forcerat tunnelläge kan inte konfigureras vid körning. Du kan antingen omdistribuera brandväggen eller använda stopp- och startanläggningen för att konfigurera om en befintlig Azure-brandvägg i läget Tvingad tunnel. Brandväggar som distribueras i Säkra hubbar distribueras alltid i läget Tvingad tunnel.

Stöd för utgående SNAT

Alla IP-adresser för utgående trafik över virtuellt nätverk översätts till den offentliga Azure Firewall-IP-adressen (Source Network Address Translation). Du kan identifiera och tillåta trafik som kommer från ditt virtuella nätverk till fjärranslutna Internetmål. Azure Firewall inte SNAT när mål-IP är ett privat IP-intervall per IANA RFC 1918.

Om din organisation använder ett offentligt IP-adressintervall för privata nätverk kommer Azure Firewall att SNAT trafiken till en av brandväggens privata IP-adresser i AzureFirewallSubnet. Du kan konfigurera Azure Firewall till att inte SNAT ditt offentliga IP-adressintervall. Mer information finns i avsnittet om Azure Firewall och SNAT med privata IP-adressintervall.

Du kan övervaka SNAT-portanvändning i Azure Firewall-mått. Läs mer och se vår rekommendation om SNAT-portanvändning i vår dokumentation om brandväggsloggar och mått.

Mer detaljerad information om NAT-beteenden i Azure Firewall finns i NAT-beteenden för Azure Firewall.

Stöd för inkommande DNAT

Inkommande Internetnätverkstrafik till brandväggens offentliga IP-adress översätts (målnätverksadressöversättning) och filtreras till de privata IP-adresserna i dina virtuella nätverk.

Flera offentliga IP-adresser

Du kan associera flera offentliga IP-adresser (upp till 250) med brandväggen.

Detta möjliggör följande scenarier:

  • DNAT – Du kan översätta flera standardportinstanser till dina serverdelsservrar. Om du till exempel har två offentliga IP-adresser kan du översätta TCP-port 3389 (RDP) för båda IP-adresserna.
  • SNAT – Fler portar är tillgängliga för utgående SNAT-anslutningar, vilket minskar risken för SNAT-portöverbelastning. För närvarande väljer Azure Firewall slumpmässigt den offentliga käll-IP-adress som ska användas för en anslutning. Om du har filtrering nedströms i nätverket måste du tillåta alla offentliga IP-adresser som är associerade med brandväggen. Överväg att använda ett offentligt IP-adressprefix för att förenkla den här konfigurationen.

Mer information om NAT-beteenden finns i NAT-beteenden i Azure Firewall.

Azure Monitor-loggning

Alla händelser är integrerade med Azure Monitor, så att du kan arkivera loggar till ett lagringskonto, strömma händelser till din händelsehubb eller skicka dem till Azure Monitor-loggar. Azure Monitor-loggexempel finns i Azure Monitor-loggar för Azure Firewall.

Mer information finns i Självstudie: Övervaka Loggar och mått för Azure Firewall.

Azure Firewall-arbetsboken ger en flexibel arbetsyta för dataanalys i Azure Firewall. Du kan använda den för att skapa omfattande visuella rapporter i Azure-portalen. Mer information finns i Övervaka loggar med hjälp av Azure Firewall-arbetsbok.

Tvingad tunneltrafik

Du kan konfigurera Azure Firewall för att dirigera all Internetbunden trafik till ett angivet nästa hopp i stället för att gå direkt till Internet. Du kan till exempel ha en lokal gränsbrandvägg eller en annan virtuell nätverksinstallation (NVA) för att bearbeta nätverkstrafik innan den skickas till Internet. Mer information finns i Tvingad tunneltrafik i Azure Firewall.

Webbkategorier

Med webbkategorier kan administratörer tillåta eller neka användare åtkomst till webbplatskategorier som spelwebbplatser, webbplatser för sociala medier och andra. Webbkategorier ingår i Azure Firewall Standard, men de är mer finjusterade i Azure Firewall Premium. Till skillnad från funktionen webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar Premium SKU kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik. Mer information om Azure Firewall Premium finns i Azure Firewall Premium-funktioner.

Om Azure Firewall till exempel fångar upp en HTTPS-begäran för www.google.com/newsförväntas följande kategorisering:

  • Firewall Standard – endast FQDN-delen granskas, så www.google.com kategoriseras som sökmotor.

  • Firewall Premium – den fullständiga URL:en granskas, så www.google.com/news kategoriseras som Nyheter.

Kategorierna är ordnade baserat på allvarlighetsgrad under Ansvar, Hög bandbredd, Företagsanvändning, Produktivitetsförlust, Allmän surfning och Ej kategoriserad.

Kategori undantag

Du kan skapa undantag till dina webbkategoriregler. Skapa en separat regelsamling för tillåt eller neka med högre prioritet i regelsamlingsgruppen. Du kan till exempel konfigurera en regelsamling som tillåter www.linkedin.com med prioritet 100, med en regelsamling som nekar sociala nätverk med prioritet 200. Då skapas undantaget för webbkategorin för fördefinierade sociala nätverk .

Certifieringar

Azure Firewall är PCI (Payment Card Industry), SERVICE Organization Controls (SOC) och ISO-kompatibel (International Organization for Standardization). Mer information finns i Efterlevnadscertifieringar för Azure Firewall.

Nästa steg