Az Azure Firewall alapszintű funkciói
Az Azure Firewall Basic egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat.
Az Azure Firewall Basic a következő funkciókat tartalmazza:
- Beépített magas rendelkezésre állás
- Rendelkezésre állási zónák
- Alkalmazások teljes tartománynevére vonatkozó szűrési szabályok
- Hálózati forgalomra vonatkozó szűrési szabályok
- FQDN-címkék
- Szolgáltatáscímkék
- Fenyegetésfelderítés riasztási módban
- Kimenő SNAT-támogatás
- Bejövő DNAT-támogatás
- Több nyilvános IP-cím
- Azure Monitor-naplózás
- Tanúsítványok
Az Azure Firewall minden tűzfalverzióhoz tartozó funkcióinak összehasonlításához tekintse meg az igényeinek megfelelő Azure Firewall-verzió kiválasztása című témakört.
Beépített magas rendelkezésre állás
A magas rendelkezésre állás be van építve, ezért nincs szükség további terheléselosztókra, és nincs szükség konfigurálásra.
Rendelkezésre állási zónák
Az Azure Firewall az üzembe helyezés során konfigurálható úgy, hogy több rendelkezésre állási zónára terjedjen ki a nagyobb rendelkezésre állás érdekében. Az Azure Firewallt egy adott zónához is társíthatja közelségi okokból. A rendelkezésre állásról további információt az Azure Firewall szolgáltatásiszint-szerződésében (SLA) talál.
Egynél több rendelkezésre állási zónában üzembe helyezett tűzfalnak nincs többletköltsége.
Az Azure Firewall rendelkezésre állási zónái olyan régiókban érhetők el, amelyek támogatják a rendelkezésre állási zónákat. További információ: A rendelkezésre állási zóna támogatásával rendelkező régiók.
Alkalmazások teljes tartománynevére vonatkozó szűrési szabályok
A kimenő HTTP/S-forgalmat vagy az Azure SQL-forgalmat a teljes tartománynevek (FQDN) megadott listájára korlátozhatja, beleértve a helyettesítő kártyákat is. Ez a funkció nem igényli a Transport Layer Security (TLS) leállítását.
Az alábbi videó bemutatja, hogyan hozhat létre alkalmazásszabályt:
Hálózati forgalomra vonatkozó szűrési szabályok
Központilag hozhat létre engedélyező vagy tiltó hálózatszűrési szabályokat forrás és cél IP-cím, -port és -protokoll alapján. Az Azure Firewall teljes mértékben állapotalapú, így képes megkülönböztetni különböző típusú kapcsolatok érvényes csomagjait. A szabályok több előfizetésen és virtuális hálózaton érvényesíthetők és naplózhatók.
Az Azure Firewall támogatja a 3. réteg és a 4. réteg hálózati protokolljainak állapotalapú szűrését. A 3. rétegbeli IP-protokollok szűréséhez válassza a Hálózati szabály Bármely protokollja lehetőséget, és válassza ki a porthoz tartozó helyettesítő *kártyát.
FQDN-címkék
Az FQDN-címkék megkönnyítik a jól ismert Azure-szolgáltatás hálózati forgalmának engedélyezését a tűzfalon keresztül. Tegyük fel például, hogy engedélyezni kívánja a Windows Update hálózati forgalmát a tűzfalon keresztül. Létrehozhat egy alkalmazásszabályt, és hozzáadhatja a Windows Update címkéjét. A Windows Update hálózati forgalma ezután akadálytalanul áthaladhat a tűzfalon.
Szolgáltatáscímkék
A szolgáltatáscímkék IP-címelőtagok egy csoportját jelölik, hogy a biztonsági szabályok létrehozásának összetettsége minimalizálható legyen. Nem hozhat létre saját szolgáltatáscímkét, és nem határozhatja meg, hogy mely IP-címek szerepelnek a címkén. A szolgáltatáscímkékben lévő címelőtagokat a Microsoft kezeli, és a címek változásával automatikusan frissíti a szolgáltatáscímkéket.
Fenyegetésészlelési intelligencia
A fenyegetésintelligencia-alapú szűrés engedélyezhető a tűzfal számára az ismert rosszindulatú IP-címek és tartományok felé irányuló forgalom riasztásához. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.
Kimenő SNAT-támogatás
A rendszer a kimenő virtuális hálózati forgalomhoz tartozó minden IP-címet lefordít az Azure Firewall nyilvános IP-címére (forráshálózati címfordítás, SNAT). Azonosíthatja és engedélyezheti a virtuális hálózatból a távoli internetes célhelyekre irányuló forgalmat. Az Azure Firewall nem SNAT, ha a cél IP-cím egy privát IP-címtartomány az IANA RFC 1918-ban.
Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, az Azure Firewall az AzureFirewallSubnet egyik privát IP-címére irányítja a forgalmat. Az Azure Firewall konfigurálható úgy, hogy ne SNAT-t állítsunk be a nyilvános IP-címtartományba. További információért tekintse meg az Azure Firewall SNAT magánhálózati IP-címtartományairól szóló részt.
Az SNAT-portok kihasználtságát az Azure Firewall metrikáiban figyelheti. További információ és az SNAT-portok kihasználtságára vonatkozó javaslatunk a tűzfalnaplók és metrikák dokumentációjában található.
Az Azure Firewall NAT-viselkedéséről további információt az Azure Firewall NAT-viselkedései című témakörben talál.
Bejövő DNAT-támogatás
A rendszer lefordítja a tűzfal nyilvános IP-címére irányuló bejövő internetes hálózati forgalmat (célhálózati címfordítás), és szűri a virtuális hálózatok magánhálózati IP-címére.
Több nyilvános IP-cím
Több nyilvános IP-címet is társíthat a tűzfalhoz.
Több nyilvános IP-cím teszi lehetővé a következő forgatókönyveket:
- DNAT – Több szabványos portpéldányt is lefordíthat a háttérkiszolgálókra. Ha például két nyilvános IP-címmel rendelkezik, akkor mindkét IP-címhez lefordíthatja a 3389-es (RDP) TCP-portot.
- SNAT – További portok érhetők el a kimenő SNAT-kapcsolatokhoz, ami csökkenti az SNAT-portok kimerülésének lehetőségét. Az Azure Firewall jelenleg véletlenszerűen választja ki a kapcsolathoz használandó nyilvános forrás IP-címet. Ha a hálózaton bármilyen lefelé irányuló szűrés van érvényben, engedélyeznie kell a tűzfalhoz társított összes nyilvános IP-címet. A konfiguráció egyszerűsítése érdekében fontolja meg egy nyilvános IP-címelőtag használatát.
Azure Monitor-naplózás
Minden esemény integrálva van az Azure Monitorral, így naplókat archiválhat egy tárfiókba, eseményeket streamelhet az eseményközpontba, vagy elküldheti őket az Azure Monitor-naplókba. Az Azure Monitor-naplómintákért tekintse meg az Azure Firewall Azure Monitor-naplóit.
További információ: Oktatóanyag: Azure Firewall-naplók és metrikák monitorozása.
Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. További információ: Naplók monitorozása az Azure Firewall-munkafüzet használatával.
Tanúsítványok
Az Azure Firewall a Payment Card Industry (PCI), a Service Organization Controls (SOC) és a International Organization for Standardization (ISO) szabványnak megfelelő. További információkért tekintse meg az Azure Firewall megfelelőségi tanúsítványait.