Azure Firewall Premium funktioner

  • Artikel
  • 7 minuter för att läsa

PCI-certifieringslogotyp för ICSA-certifiering " border="false

Azure Firewall Premium ger avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer, till exempel betalnings- och sjukvårdsbranscherna.

Organisationer kan använda Premium SKU-funktioner (Stock-Keeping Unit) som IDPS och TLS-inspektion för att förhindra att skadlig kod och virus sprids över nätverk i både laterala och horisontella riktningar. För att uppfylla de ökade prestandakraven för IDPS- och TLS-inspektion Azure Firewall Premium en kraftfullare SKU för virtuella datorer. Precis som standard-SKU:n kan Premium-SKU:n sömlöst skala upp till 30 Gbit/s och integreras med tillgänglighetszoner för att stödja servicenivåavtalet (SLA) på 99,99 procent. Den Premium SKU:n uppfyller miljöbehoven för Payment Card Industry Data Security Standard (PCI DSS).

Azure Firewall Premium översiktsdiagram

Azure Firewall Premium innehåller följande funktioner:

  • TLS-kontroll – dekrypterar utgående trafik, bearbetar data och krypterar sedan data och skickar dem till målet.
  • IDPS – Med ett system för identifiering och skydd mot nätverksintrång (IDPS) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
  • URL-filtrering – utökar Azure Firewall FQDN-filtreringsfunktion för att överväga en hel URL. Till exempel i www.contoso.com/a/c stället för www.contoso.com .
  • Webbkategorier – administratörer kan tillåta eller neka användare åtkomst till webbplatskategorier som webbplatser, webbplatser för sociala medier med mera.

TLS-kontroll

Azure Firewall Premium avslutar utgående och öst-väst-TLS-anslutningar. Inkommande TLS-inspektion stöds med Azure Application Gateway tillåter kryptering från slutpunkt till slutpunkt. Azure Firewall de nödvändiga mervärdessäkerhetsfunktionerna och omkrypterar trafiken som skickas till det ursprungliga målet.

Tips

TLS 1.0 och 1.1 blir inaktuella och stöds inte. TLS 1.0- och 1.1-versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara, och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte. Migrera till TLS 1.2 så snart som möjligt.

Mer information om certifikatkrav Azure Firewall Premium mellanliggande certifikatutfärdare finns i Azure Firewall Premium certifikat.

INTERNFLYKTINGAR

Med ett system för identifiering och skydd mot nätverksintrång (IDPS) kan du övervaka nätverket för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.

Azure Firewall Premium signaturbaserad IPS för snabb identifiering av attacker genom att söka efter specifika mönster, till exempel bytesekvenser i nätverkstrafik eller kända skadliga instruktionssekvenser som används av skadlig kod. IDPS-signaturerna gäller för trafik på både program- och nätverksnivå (skikt 4–7), de är fullständigt hanterade och uppdateras kontinuerligt. IDPS kan tillämpas på inkommande, eker-till-eker (öst-väst) och utgående trafik.

Här Azure Firewall signaturer/regeluppsättningar:

  • Fokus ligger på att fingeravtrycka faktisk skadlig kod, kommando och kontroll, kryphålskit och i den skadliga aktivitet som de traditionella förebyggande metoderna kan missa.
  • Över 58 000 regler i över 50 kategorier.
    • Kategorierna omfattar skadlig kod command and control, nätfiske, trojaner, botnät, informationshändelser, kryphål, sårbarheter, SCADA-nätverksprotokoll, aktivitet i exploit kit med mera.
  • 20 till 40+ nya regler släpps varje dag.
  • Lågt falskt positivt omdöme med hjälp av den senaste sandbox-miljön för skadlig kod och feedbackslinga för globala sensornätverk.

Med IDPS kan du identifiera attacker i alla portar och protokoll för icke-krypterad trafik. Men när HTTPS-trafik behöver inspekteras kan Azure Firewall använda sin TLS-inspektionsfunktion för att dekryptera trafiken och bättre identifiera skadliga aktiviteter.

Med listan över kringgå idps-adresser kan du inte filtrera trafik till någon av de IP-adresser, intervall och undernät som anges i listan över förbikopplingar.

Med regler för IDPS-signatur (förhandsversion) kan du:

  • Anpassa en eller flera signaturer och ändra deras läge till Inaktiverad, Avisering eller Avisering och Neka.

    Om du till exempel får en falsk positiv händelse där en giltig begäran blockeras av Azure Firewall på grund av en felaktig signatur kan du använda signatur-ID:t från loggarna för programregler och ange dess IDPS-läge till av. Detta gör att den ”felaktiga” signaturen ignoreras och löser problemet med den falska positiva identifieringen.

  • Du kan använda samma finjusteringsprocedur för signaturer som skapar för många aviseringar med låg prioritet, och därför påverkar synligheten för aviseringar med hög prioritet.

  • Få en holistisk vy över hela 55 000 signaturer

  • Smart sökning

    Gör att du kan söka igenom hela signaturdatabasen med valfri typ av attribut. Du kan till exempel söka efter specifika CVE-ID för att identifiera vilka signaturer som tar hand om denna CVE genom att helt enkelt skriva ID:t i sökfältet.

URL-filtrering

URL-filtrering utökar Azure Firewall FQDN-filtreringsfunktion för att överväga en hel URL. Till exempel i www.contoso.com/a/c stället för www.contoso.com .

URL-filtrering kan tillämpas både på HTTP- och HTTPS-trafik. När HTTPS-trafik inspekteras kan Azure Firewall Premium använda sin TLS-inspektionsfunktion för att dekryptera trafiken och extrahera mål-URL:en för att verifiera om åtkomst tillåts. TLS-kontroll kräver att du anmäler dig på programregelnivå. När det är aktiverat kan du använda URL:er för filtrering med HTTPS.

Webbkategorier

Med webbkategorier kan administratörer tillåta eller neka användaråtkomst till webbplatskategorier som webbplatser, webbplatser för sociala medier med mera. Webbkategorier kommer också att ingå i Azure Firewall Standard, men det kommer att finjusteras mer i Azure Firewall Premium. Till skillnad från funktionen Webbkategorier i standard-SKU:n som matchar kategorin baserat på ett FQDN matchar SKU:n för Premium kategorin enligt hela URL:en för både HTTP- och HTTPS-trafik.

Om du till Azure Firewall fångar upp en HTTPS-begäran www.google.com/news för förväntas följande kategorisering:

  • Firewall Standard – endast FQDN-delen undersöks, www.google.com så kategoriseras som sökmotor.

  • Brandväggsinställningar Premium – den fullständiga URL:en undersöks, www.google.com/news så kategoriseras som Nyheter.

Kategorierna är ordnade baserat på allvarlighetsgrad under Ansvar, Hög bandbredd, Affärsanvändning, Produktivitetsförlust, Allmänt Tillgängliga och Ej kategoriserade. En detaljerad beskrivning av webbkategorierna finns i Azure Firewall webbkategorier.

Loggning av webbkategori

Du kan visa trafik som har filtrerats efter webbkategorier i programloggarna. Fältet Webbkategorier visas bara om det uttryckligen har konfigurerats i brandväggsprincipens programregler. Om du till exempel inte har en regel som uttryckligen nekar sökmotorer och en användare begär att gå till www.bing.com visas endast ett standardmeddelande om nekande i stället för ett meddelande i webbkategorier. Det beror på att webbkategorin inte uttryckligen har konfigurerats.

Kategoriundantag

Du kan skapa undantag till dina regler för webbkategorier. Skapa en separat regelsamling för att tillåta eller neka med högre prioritet i regelsamlingsgruppen. Du kan till exempel konfigurera en regelsamling som tillåter med prioritet 100, med en regelsamling som nekar sociala nätverk www.linkedin.com med prioritet 200. Detta skapar undantaget för den fördefinierade webbkategorin Sociala nätverk.

Du kan identifiera vilken kategori ett visst FQDN eller URL är med hjälp av funktionen Webbkategorikontroll. Om du vill använda det här väljer du fliken Webbkategorier under Brandväggsprincip Inställningar. Detta är särskilt användbart när du definierar programregler för måltrafik.

Sökdialogruta för brandväggskategori

Kategoriändring

Under fliken Webbkategorier i Brandväggsprincip Inställningar kan du begära en kategoriseringsändring om du:

  • tror att ett FQDN eller en URL ska tillhöra en annan kategori

    eller

  • har en föreslagen kategori för ett ej kategoriserat FQDN eller en URL

När du skickar en kategoriändringsrapport får du en token i meddelandena som anger att vi har tagit emot begäran om bearbetning. Du kan kontrollera om begäran pågår, nekas eller godkänns genom att ange token i sökfältet. Se till att spara ditt token-ID för att göra det.

Rapportdialogruta för brandväggskategori

Regioner som stöds

Azure Firewall Premium stöds i följande regioner:

  • Australien, centrala (offentligt/Australien)
  • Australien, centrala 2 (offentligt/Australien)
  • Australien, östra (offentligt/Australien)
  • Australien, sydöstra (offentligt/Australien)
  • Brasilien, södra (offentligt/Brasilien)
  • Brasilien, sydöstra (offentligt/Brasilien)
  • Kanada, centrala (offentligt/Kanada)
  • Kanada, östra (offentlig/Kanada)
  • Indien, centrala (offentligt/Indien)
  • USA, centrala (offentlig/USA)
  • USA, centrala (EUAP) (offentligt/kanarie(USA))
  • Kina, norra 2 (Mooncake/Kina)
  • Kina, östra 2 (Mooncake/Kina)
  • Asien, östra (offentlig/Asien och stillahavsområdet)
  • USA, östra (offentlig/USA)
  • USA, östra 2 (offentlig/USA)
  • Frankrike, centrala (offentligt/Frankrike)
  • Frankrike, södra (offentligt/Frankrike)
  • Tyskland, västra centrala (offentligt/Tyskland)
  • Japan, östra (offentligt/Japan)
  • Japan, västra (offentligt/Japan)
  • Sydkorea, centrala (offentligt/Sydkorea)
  • Sydkorea, södra (offentligt/Korea)
  • USA, norra centrala (offentlig/USA)
  • Europa, norra (offentligt/Europa)
  • Östra Tyskland (offentligt/Tyskland)
  • Sydafrika, norra (offentligt/Sydafrika)
  • USA, södra centrala (offentlig/USA)
  • Indien, södra (offentligt/Indien)
  • Sydostasien (offentlig/Asien och stillahavsområdet)
  • Schweiz, norra (offentligt/Schweiz)
  • Förenade Arabemiraten, centrala (offentligt/Förenade Arabemiraten)
  • Förenade Arabemiraten, norra (offentligt/Förenade Arabemiraten)
  • Storbritannien, södra (offentligt/Storbritannien)
  • Storbritannien, västra (offentligt/Storbritannien)
  • USGov Arizona (Fairfax/USGov)
  • USGov Texas (Fairfax/USGov)
  • USGov Virginia (Fairfax/USGov)
  • USA, västra centrala (offentlig/USA)
  • Europa, västra (offentligt/Europa)
  • Indien, västra (offentligt/Indien)
  • USA, västra (offentlig/USA)
  • USA, västra 2 (offentlig/USA)
  • USA, västra 3 (offentlig/USA)

Kända problem

Azure Firewall Premium har följande kända problem:

Problem Beskrivning Åtgärd
ESNI-stöd för FQDN-upplösning i HTTPS Krypterad SNI stöds inte i HTTPS-handskakning. Idag stöder endast Firefox ESNI via anpassad konfiguration. En rekommenderad lösning är att inaktivera den här funktionen.
Klientcertifikat (TLS) Klientcertifikat används för att skapa ett ömsesidigt identitetsförtroende mellan klienten och servern. Klientcertifikat används under en TLS-förhandling. Azure Firewall omförhandling av en anslutning till servern och har ingen åtkomst till den privata nyckeln för klientcertifikaten. Ingen
QUIC/HTTP3 QUIC är den nya huvudversionen av HTTP. Det är ett UDP-baserat protokoll över 80 (PLAN) och 443 (SSL). FQDN/URL/TLS-kontroll stöds inte. Konfigurera att UDP 80/443 ska skickas som nätverksregler.
Ej betrodda kund signerade certifikat Kund signerade certifikat är inte betrodda av brandväggen när de tas emot från en intranätbaserad webbserver. En korrigering undersöks.
Fel käll-IP-adress i Aviseringar med IDPS för HTTP (utan TLS-kontroll). När HTTP-trafik i oformaterad text används och IDPS utfärdar en ny avisering och målet är en offentlig IP-adress, är källans IP-adress fel (den interna IP-adressen visas i stället för den ursprungliga IP-adressen). En korrigering undersöks.
Certifikatspridning När ett CA-certifikat har tillämpats i brandväggen kan det ta mellan 5 och 10 minuter innan certifikatet har tillämpats. En korrigering undersöks.
Stöd för TLS 1.3 TLS 1.3 stöds delvis. TLS-tunneln från klienten till brandväggen baseras på TLS 1.2 och från brandväggen till den externa webbservern baseras på TLS 1.3. Uppdateringar undersöks.
Privat KeyVault-slutpunkt KeyVault har stöd för privat slutpunktsåtkomst för att begränsa nätverksexponeringen. Betrodda Azure-tjänster kan kringgå den här begränsningen om ett undantag har konfigurerats enligt beskrivningen i KeyVault-dokumentationen. Azure Firewall visas för närvarande inte som en betrodd tjänst och kan inte komma åt Key Vault. En korrigering undersöks.
Listan Kringgå IDPS Listan Kringgå IDPS stöder inte IP-grupper. En korrigering undersöks.

Nästa steg