Základní funkce služby Azure Firewall
Azure Firewall Basic je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network.
Azure Firewall Basic zahrnuje následující funkce:
- Integrovaná vysoká dostupnost
- Zóny dostupnosti
- Pravidla filtrování plně kvalifikovaných názvů domén aplikací
- Pravidla filtrování síťového provozu
- Značky plně kvalifikovaných názvů domén
- Značky služeb
- Analýza hrozeb v režimu upozornění
- Podpora pro odchozí SNAT
- Podpora DNAT u příchozích přenosů
- Více veřejných IP adres
- Protokolování Azure Monitor
- Certifikace
Porovnání funkcí služby Azure Firewall pro všechny skladové položky brány firewall najdete v tématu Volba správné skladové položky služby Azure Firewall podle vašich potřeb.
Integrovaná vysoká dostupnost
Vysoká dostupnost je integrovaná, takže nejsou potřeba žádné další nástroje pro vyrovnávání zatížení a není potřeba nic konfigurovat.
Zóny dostupnosti
Azure Firewall je možné nakonfigurovat během nasazování tak, aby se více Zóny dostupnosti pro zajištění vyšší dostupnosti. Službu Azure Firewall můžete také přidružit ke konkrétní zóně z důvodů blízkosti. Další informace o dostupnosti najdete ve smlouvě o úrovni služeb (SLA) služby Azure Firewall.
Za bránu firewall nasazenou ve více než jedné zóně dostupnosti nejsou žádné další poplatky. Existují však další náklady na příchozí a odchozí přenosy dat spojené s Zóny dostupnosti. Další informace najdete v tématu Podrobnosti o cenách šířky pásma.
Azure Firewall Zóny dostupnosti jsou dostupné v oblastech, které podporují Zóny dostupnosti. Další informace najdete v tématu Oblasti, které podporují Zóny dostupnosti v Azure.
Pravidla filtrování plně kvalifikovaných názvů domén aplikací
Odchozí provoz HTTP/S nebo provoz Azure SQL můžete omezit na zadaný seznam plně kvalifikovaných názvů domén (FQDN), včetně zástupných znaků. Tato funkce nevyžaduje ukončení protokolu TLS.
Následující video ukazuje, jak vytvořit pravidlo aplikace:
Pravidla filtrování síťového provozu
Můžete centrálně vytvořit pravidla síťového filtrování pro povolení nebo blokování podle zdrojové a cílové IP adresy, portu a protokolu. Brána Azure Firewall je plně stavová, takže dokáže odlišit legitimní pakety pro různé typy spojení. Pravidla jsou vynucována a protokolována napříč různými předplatnými a virtuálními sítěmi.
Azure Firewall podporuje stavové filtrování síťových protokolů vrstvy 3 a vrstvy 4. Protokoly IP vrstvy 3 je možné filtrovat výběrem libovolného protokolu v pravidle sítě a výběrem zástupného znaku * pro port.
Značky plně kvalifikovaných názvů domén
Značky plně kvalifikovaného názvu domény usnadňují povolení dobře známého síťového provozu služby Azure přes vaši bránu firewall. Řekněme například, že chcete povolit síťové přenosy z webu Windows Update přes bránu firewall. Můžete vytvořit pravidlo aplikace a zahrnout značku webu Windows Update. Teď je možný síťový přenos z webu Windows Update přes vaši bránu firewall.
Značky služeb
Značka služby představuje skupinu předpon IP adres, které pomáhají minimalizovat složitost vytváření pravidel zabezpečení. Nemůžete vytvořit vlastní značku služby ani určit, které IP adresy jsou součástí značky. Společnost Microsoft spravuje předpony adres obsažené ve značce služby a automaticky aktualizuje značku služby při změně adresy.
Analýza hrozeb
Filtrování na základě analýzy hrozeb je možné povolit pro bránu firewall, aby upozorňovala provoz z/na známé škodlivé IP adresy a domény. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.
Podpora pro odchozí SNAT
Veškeré IP adresy pro odchozí provoz z virtuálních sítí se překládají na veřejnou IP adresu brány Azure Firewall na základě zdroje (SNAT). Můžete identifikovat a povolit provoz pocházející z vaší virtuální sítě do vzdálených internetových cílů. Azure Firewall se neschová, pokud je cílová IP adresa privátním rozsahem IP adres na IANA RFC 1918.
Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall bude směrovat provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.
Využití portů SNAT můžete monitorovat v metrikách služby Azure Firewall. Další informace a naše doporučení týkající se využití portů SNAT najdete v dokumentaci k protokolům brány firewall a metrikám.
Podrobnější informace o chování překladu adres (NAT) služby Azure Firewall najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.
Podpora DNAT u příchozích přenosů
Příchozí internetový síťový provoz do veřejné IP adresy brány firewall se přeloží (překlad cílových síťových adres) a vyfiltruje se na privátní IP adresy ve vašich virtuálních sítích.
Více veřejných IP adres
K bráně firewall můžete přidružit několik veřejných IP adres .
To umožňuje následující scénáře:
- DNAT – Na back-endové servery můžete přeložit několik standardních instancí portů. Například pokud máte dvě veřejné IP adresy, můžete pro obě IP adresy překládat port TCP 3389 (RDP).
- SNAT – Pro odchozí připojení SNAT je k dispozici více portů, což snižuje potenciál vyčerpání portů SNAT. V tuto chvíli Azure Firewall náhodně vybere zdrojovou veřejnou IP adresu, kterou se má použít pro připojení. Pokud ve své síti využíváte následné filtrování, musíte povolit všechny veřejné IP adresy přidružené k vaší bráně firewall. Pokud chcete tuto konfiguraci zjednodušit, zvažte použití předpony veřejné IP adresy.
Protokolování Azure Monitor
Všechny události jsou integrované se službou Azure Monitor a umožňují archivovat protokoly do účtu úložiště, streamovat události do centra událostí nebo je odesílat do protokolů služby Azure Monitor. Ukázky protokolů služby Azure Monitor najdete v protokolech služby Azure Monitor pro službu Azure Firewall.
Další informace najdete v tématu Kurz: Monitorování protokolů a metrik brány Azure Firewall.
Sešit služby Azure Firewall poskytuje flexibilní plátno pro analýzu dat služby Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav na webu Azure Portal. Další informace najdete v tématu Monitorování protokolů pomocí sešitu služby Azure Firewall.
Certifikace
Azure Firewall je standard PCI (Payment Card Industry), Service Organization Controls (SOC) a International Organization for Standardization (ISO). Další informace najdete v tématu Certifikace dodržování předpisů služby Azure Firewall.