Co je brána Azure Firewall?

Dokončeno

Tady se dozvíte základy služby Azure Firewall i Azure Firewall Manageru. Tento přehled by vám měl pomoct s rozhodováním, jestli jsou služby Azure Firewall a Azure Firewall Manager vhodné pro strategii zabezpečení sítě společnosti Contoso.

Přehled služby Azure Firewall

Azure Firewall je cloudová služba zabezpečení, která chrání prostředky virtuální sítě Azure před příchozími a odchozími hrozbami. V následujících několika částech se seznámíte se základy a klíčovými funkcemi služby Azure Firewall.

Co je brána firewall?

Brána firewall je funkce zabezpečení sítě, která se nachází mezi důvěryhodnou sítí a nedůvěryhodnou sítí, jako je například internet. Úlohou brány firewall je analyzovat veškerý příchozí a odchozí síťový provoz. Na základě této analýzy brána firewall buď povolí průchod provozu, nebo provoz odepře. V ideálním případě brána firewall umožňuje veškerý legitimní provoz při odepření škodlivého provozu, jako je malware a pokusy o vniknutí.

Ve výchozím nastavení většina bran firewall zamítá veškerý příchozí a odchozí provoz. Když brána firewall analyzuje síťový provoz, zkontroluje splnění určitých podmínek, než umožní průchod provozu. Tyto podmínky mohou být zadanou IP adresou, plně kvalifikovaným názvem domény, síťovým portem, síťovým protokolem nebo libovolnou kombinací.

Tyto podmínky společně definují pravidlo brány firewall. Brána firewall může mít jenom jedno pravidlo, ale většina bran firewall je nakonfigurovaná s mnoha pravidly. Průchod je povolený pouze síťový provoz, který splňuje podmínky pravidel brány firewall.

Některé brány firewall jsou založené na hardwaru a nacházejí se uvnitř zařízení, která jsou vytvořená tak, aby fungovala jako brány firewall. Další brány firewall jsou softwarové programy, které běží na výpočetních zařízeních pro obecné účely.

Co je brána Azure Firewall?

Azure Firewall je cloudová služba brány firewall. Ve většině konfigurací se služba Azure Firewall zřizuje v centrální virtuální síti. Provoz do a z paprskových virtuálních sítí a místní sítě prochází bránou firewall se sítí rozbočovače.

Veškerý provoz do internetu a z internetu je ve výchozím nastavení odepřen. Provoz je povolený jenom v případě, že projde různými testy, jako jsou nakonfigurovaná pravidla brány firewall.

Network diagram of a hub virtual network, several spoke virtual networks, and an on-premises network. It shows all traffic to and from the internet passing through an Azure Firewall instance in the hub network.

Poznámka:

Azure Firewall funguje nejen pro provoz do internetu i z internetu, ale také interně. Interní filtrování provozu zahrnuje paprskový provoz a hybridní cloudový provoz mezi vaší místní sítí a virtuální sítí Azure.

Klíčové funkce služby Azure Firewall úrovně Standard

Následující tabulka uvádí klíčové funkce služby Azure Firewall Standard.

Funkce Popis
Překlad zdrojových síťových adres (SNAT) Veškerý odchozí provoz se odesílá na privátní IP adresu instance služby Azure Firewall. IP adresa každého zdrojového virtuálního počítače se přeloží na statickou veřejnou IP adresu instance služby Azure Firewall. Pro všechny externí cíle se zdá, že síťový provoz pochází z jedné veřejné IP adresy.
Překlad cílových síťových adres (DNAT) Veškerý příchozí provoz z externích zdrojů se odešle na veřejnou IP adresu instance služby Azure Firewall. Povolený provoz se přeloží na privátní IP adresu cílového prostředku ve vaší virtuální síti.
Pravidla aplikace Pravidla, která omezují odchozí provoz na seznam plně kvalifikovaných názvů domén. Můžete například povolit odchozí provoz pro přístup k plně kvalifikovanému názvu domény zadané instance databáze SQL.
Pravidla sítě Pravidla příchozího a odchozího provozu na základě parametrů sítě. Tyto parametry zahrnují cílovou nebo zdrojovou IP adresu; síťový port; a síťový protokol.
Analýza hrozeb Filtruje příchozí a odchozí provoz na základě pravidel analýzy hrozeb Microsoftu, která definují známé škodlivé IP adresy a názvy domén. Azure Firewall můžete nakonfigurovat pomocí jednoho ze dvou režimů analýzy hrozeb: upozorní vás, když provoz selže a pravidlo analýzy hrozeb nebo vás upozorní a provoz zamítne.
Stavové Prozkoumá síťové pakety v kontextu, nejen jednotlivě. Pokud jeden nebo více paketů dorazí neočekávaně vzhledem k aktuálnímu provozu, azure Firewall tyto pakety považuje za škodlivé a zamítá je.
Vynucené tunelování Umožňuje službě Azure Firewall směrovat veškerý odchozí provoz do zadaného síťového prostředku, nikoli přímo do internetu. Síťovým prostředkem může být místní hardwarová brána firewall nebo síťové virtuální zařízení, které zpracovává provoz před povolením průchodu do internetu.
Podpora značek Azure Firewall podporuje značky služeb a značky plně kvalifikovaného názvu domény pro snadnější konfiguraci pravidel. Značka služby je textová entita, která představuje službu Azure. Například AzureCosmosDB je značka služby pro službu Azure Cosmos DB. Značka plně kvalifikovaného názvu domény je textová entita, která představuje skupinu názvů domén přidružených k oblíbeným služby Microsoft. Například WindowsVirtualDesktop je značka plně kvalifikovaného názvu domény pro provoz služby Azure Virtual Desktop.
Proxy server DNS S povoleným proxy serverem DNS může Azure Firewall zpracovávat a předávat dotazy DNS z virtuálních sítí na požadovaný server DNS.
Vlastní DNS Umožňuje nakonfigurovat bránu Azure Firewall tak, aby používala vlastní server DNS a současně zajišťuje, aby se odchozí závislosti brány firewall stále přeložily pomocí Azure DNS.
Kategorie webů Funkce webových kategorií umožňuje správcům povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou například weby s hazardem, weby sociálních médií a další.
Sledování Azure Firewall protokoluje veškerý příchozí a odchozí síťový provoz a výsledné protokoly můžete analyzovat pomocí služby Azure Monitor, Power BI, Excelu a dalších nástrojů.

Co je Azure Firewall Premium?

Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje potřeby vysoce citlivých a regulovaných prostředí, jako jsou platby a zdravotnictví.

Firewall Premium architecture

Klíčové funkce služby Azure Firewall Premium

Následující tabulka uvádí klíčové funkce služby Azure Firewall Premium.

Funkce Popis
Kontrola protokolu TLS Dešifruje odchozí provoz, zpracuje data, pak data zašifruje a odešle je do cíle.
IDPS Systém pro detekci a prevenci neoprávněných vniknutí sítě (IDPS) umožňuje monitorovat síťové aktivity pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ho a volitelně se ho pokusit zablokovat.
Filtrování adres URL Rozšiřuje možnosti filtrování plně kvalifikovaného názvu domény služby Azure Firewall, aby zvážila celou adresu URL. Například místo www.contoso.com/a/c www.contoso.com.
Kategorie webů Správa istrátory mohou uživatelům povolit nebo odepřít přístup k kategoriím webových stránek, jako jsou například herní weby, weby sociálních médií a další. Webové kategorie můžou být v Azure Firewall Premium jemněji vyladěné.

Co je Azure Firewall Basic?

Azure Firewall Basic je určený pro malé a střední zákazníky (SMB) k zabezpečení cloudových prostředí Azure. Poskytuje základní ochranu, kterou zákazníci SMB potřebují za cenově dostupnou cenu.

Diagram showing Firewall Basic.

Azure Firewall Basic je podobný standardu brány firewall, ale má následující hlavní omezení:

  • Podporuje pouze režim upozornění Intel pro hrozby.
  • Jednotka pevného škálování pro spuštění služby na dvou back-endových instancích virtuálního počítače
  • Doporučeno pro prostředí s odhadovanou propustností 250 Mb/s.

Přehled Azure Firewall Manageru

Azure Firewall Manager poskytuje centrální bod konfigurace a správy několika instancí služby Azure Firewall. Azure Firewall Manager umožňuje vytvořit jednu nebo více zásad brány firewall a rychle je použít na více bran firewall.

Co jsou zásady brány firewall?

Konfigurace jedné brány Azure Firewall může být složitá. Brána firewall může být například nakonfigurovaná s více kolekcemi pravidel. Kolekce je kombinací některé nebo všech následujících položek:

  • Jedno nebo více pravidel překladu síťových adres (NAT)
  • Jedno nebo více pravidel sítě
  • Jedno nebo více pravidel aplikace

Pokud zahrnete další nastavení brány firewall, jako jsou vlastní pravidla DNS a analýzy hrozeb, může být konfigurace jenom jedné brány firewall zátěží. Přidání této zátěže jsou dva běžné scénáře zabezpečení sítě:

  • Vaše síťové architektury vyžadují více bran firewall.
  • Chcete, aby každá brána firewall implementuje základní úroveň pravidel zabezpečení, která platí pro všechny, a také zvláštní pravidla pro určené skupiny, jako jsou vývojáři, uživatelé databáze a marketingové oddělení.

Kvůli zjednodušení složitosti správy těchto a podobných scénářů brány firewall můžete implementovat zásady brány firewall. Zásada brány firewall je prostředek Azure, který obsahuje jednu nebo více kolekcí pravidel překladu adres (NAT), sítě a aplikací. Obsahuje také vlastní nastavení DNS, nastavení analýzy hrozeb a další.

Klíčovým bodem je, že Azure nabízí prostředek s názvem Zásady brány firewall. Zásada brány firewall, kterou vytvoříte, je instance tohoto prostředku. Jako samostatný prostředek můžete zásadu rychle použít na více bran firewall pomocí Azure Firewall Manageru. Můžete vytvořit jednu zásadu, která bude základní zásadou, a pak mít specializovanější zásady, které dědí pravidla základní zásady.

Klíčové funkce Azure Firewall Manageru

Následující tabulka uvádí klíčové funkce Azure Firewall Manageru.

Funkce Popis
Centralizovaná správa Spravujte všechny konfigurace brány firewall v celé síti.
Správa více bran firewall Nasaďte, nakonfigurujte a monitorujte libovolný počet bran firewall z jednoho rozhraní.
Podporuje více síťových architektur. Chrání standardní virtuální sítě Azure i služby Azure Virtual WAN Hubs.
Automatizované směrování provozu Síťový provoz se automaticky směruje do brány firewall (pokud se používá jenom s centrem Azure Virtual WAN).
Hierarchické zásady Umožňuje vytvářet tzv. nadřazené a podřízené zásady brány firewall. Nadřazená zásada obsahuje pravidla a nastavení, která chcete použít globálně. Podřízená zásada dědí všechna pravidla a nastavení nadřazeného objektu.
Podpora poskytovatelů zabezpečení třetích stran Umožňuje integrovat řešení zabezpečení jako služby (SECaaS) třetích stran za účelem ochrany připojení k internetu vaší sítě.
Plán ochrany před útoky DDoS Virtuální sítě můžete přidružit k plánu ochrany před útoky DDoS v azure Firewall Manageru.
Správa zásad firewallu webových aplikací Zásady firewallu webových aplikací (WAF) můžete centrálně vytvářet a přidružit pro platformy pro doručování aplikací, včetně služby Azure Front Door a Aplikace Azure Gateway.

Poznámka:

Díky tomu, že vám umožníte integrovat řešení SECaaS třetích stran, může být vaší strategií zabezpečení sítě monitorovat provoz místní sítě pomocí brány Azure Firewall při monitorování internetového provozu pomocí poskytovatele SECaaS třetí strany.

Možnosti architektury

Azure Firewall Manager poskytuje správu zabezpečení pro následující dvě síťové architektury:

  • Virtuální síť rozbočovače. Standardní virtuální síť Azure, ve které se používá jedna nebo více zásad brány firewall.
  • Zabezpečené virtuální centrum. Centrum Azure Virtual WAN, ve kterém se používá jedna nebo více zásad brány firewall.