Návrh a implementace služby Azure Firewall

  • 12 min

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností.

Diagram konfigurace brány Azure Firewall

Funkce Azure Firewallu

Azure Firewall zahrnuje tyto funkce.

  • Integrovaná vysoká dostupnost Vysoká dostupnost je integrovaná, takže nejsou potřeba žádné další nástroje pro vyrovnávání zatížení a není potřeba nic konfigurovat.

  • Neomezená cloudová škálovatelnost Azure Firewall může vertikálně navýšovat kapacitu tak, jak potřebujete, aby vyhovoval měnícím se tokům síťového provozu, takže pro špičku provozu nemusíte rozpočetovat.

  • Pravidla filtrování plně kvalifikovaného názvu domény aplikace Odchozí provoz HTTP/S nebo provoz Azure SQL můžete omezit na zadaný seznam plně kvalifikovaných názvů domén (FQDN), včetně zástupných znaků. Tato funkce nevyžaduje ukončení protokolu TLS.

  • Pravidla filtrování síťového provozu Můžete centrálně vytvořit pravidla síťového filtrování pro povolení nebo blokování podle zdrojové a cílové IP adresy, portu a protokolu. Brána Azure Firewall je plně stavová, takže dokáže odlišit legitimní pakety pro různé typy spojení. Pravidla jsou vynucována a protokolována napříč různými předplatnými a virtuálními sítěmi.

  • Značky plně kvalifikovaného názvu domény Tyto značky usnadňují povolení dobře známého síťového provozu služby Azure přes vaši bránu firewall. Řekněme například, že chcete povolit síťové přenosy z webu Windows Update přes bránu firewall. Můžete vytvořit pravidlo aplikace a zahrnout značku webu Windows Update. Teď je možný síťový přenos z webu Windows Update přes vaši bránu firewall.

  • Značky služeb. Značka služby představuje skupinu předpon IP adres a tím pomáhá minimalizovat složitost vytváření pravidla zabezpečení. Nemůžete vytvořit vlastní značku služby ani určit, které IP adresy jsou součástí značky. Společnost Microsoft spravuje předpony adres obsažené ve značce služby a automaticky aktualizuje značku služby při změně adresy.

  • Analýza hrozeb: Filtrování na základě analýzy hrozeb (IDPS) je možné povolit pro bránu firewall, aby upozorňovala a odepíral provoz ze známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.

  • Kontrola protokolu TLS. Brána firewall může dešifrovat odchozí provoz, zpracuje data, pak je zašifruje a odešle do cíle.

  • Podpora odchozích SNAT Všechny IP adresy odchozího provozu virtuální sítě se překládají na veřejnou IP adresu služby Azure Firewall (Source Network Address Translation) (SNAT). Můžete identifikovat a povolit provoz pocházející z vaší virtuální sítě do vzdálených internetových cílů.

  • Podpora příchozích DNAT. Příchozí internetový síťový provoz do veřejné IP adresy brány firewall se přeloží (překlad cílových síťových adres) a vyfiltruje se na privátní IP adresy ve vašich virtuálních sítích.

  • Několik veřejných IP adres. K bráně firewall můžete přidružit několik veřejných IP adres (až 250), abyste povolili konkrétní scénáře DNAT a SNAT.

  • Protokolování služby Azure Monitor Všechny události jsou integrované se službou Azure Monitor a umožňují archivovat protokoly do účtu úložiště, streamovat události do služby Event Hubs nebo je odesílat do protokolů služby Azure Monitor.

  • Vynucené tunelování. Službu Azure Firewall můžete nakonfigurovat tak, aby směrovat veškerý internetový provoz do určeného dalšího segmentu směrování místo přímého přechodu na internet. Máte například místní hraniční bránu firewall nebo jiné síťové virtuální zařízení pro zpracování internetového síťového provozu.

  • Webové kategorie. Webové kategorie umožňují správcům povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou weby s hazardem, weby sociálních médií a další. Webové kategorie jsou zahrnuté ve službě Azure Firewall Standard, ale v Azure Firewall Premium Preview je to jemněji vyladěné. Na rozdíl od funkce webových kategorií ve skladové posílané jednotce Standard, která odpovídá kategorii založené na plně kvalifikovaném názvu domény, odpovídá skladová položka Premium kategorii podle celé adresy URL provozu HTTP i HTTPS.

  • Certifikace. Azure Firewall je pcI (Payment Card Industry), Service Organization Controls (SOC), International Organization for Standardization (ISO) a ICSA Labs kompatibilní.

Zpracování pravidel ve službě Azure Firewall

Ve službě Azure Firewall můžete nakonfigurovat pravidla překladu adres (NAT), pravidla sítě a pravidla aplikací. Azure Firewall ve výchozím nastavení zakazuje veškerý provoz, dokud nejsou pravidla ručně nakonfigurovaná tak, aby povolovala provoz.

Zpracování pravidel pomocí klasických pravidel

U klasických pravidel se kolekce pravidel zpracovávají podle typu pravidla v pořadí priority, nižší čísla na vyšší čísla od 100 do 65 000. Název kolekce pravidel může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky. Musí také začínat písmenem nebo číslem a musí končit písmenem, číslem nebo podtržítkem. Maximální délka názvu je 80 znaků. Osvědčeným postupem je nejprve vysaďte čísla priorit kolekce pravidel v přírůstcích po 100. Přírůstky poskytují místo pro přidání dalších kolekcí pravidel v případě potřeby.

Zpracování pravidel pomocí zásad brány firewall

Pomocí zásad brány firewall jsou pravidla uspořádána do kolekcí pravidel, které jsou obsaženy ve skupinách kolekcí pravidel. Kolekce pravidel můžou mít následující typy:

  • DNAT (překlad adres cílové sítě)
  • Síť
  • Aplikace

V rámci jedné skupiny kolekcí pravidel můžete definovat více typů kolekce pravidel. V kolekci pravidel můžete definovat nula nebo více pravidel, ale pravidla v kolekci pravidel musí být stejného typu.

Pomocí zásad brány firewall se pravidla zpracovávají na základě priority skupiny kolekce pravidel a priority kolekce pravidel. Priorita je libovolné číslo mezi 100 (nejvyšší prioritou) a 65 000 (nejnižší prioritou). Skupiny kolekcí pravidel s nejvyšší prioritou se zpracovávají jako první a uvnitř skupiny kolekcí pravidel se nejprve zpracovávají kolekce pravidel s nejvyšší prioritou.

Pravidla aplikací se vždy zpracovávají po pravidlech sítě, která se vždy zpracovávají po pravidlech DNAT bez ohledu na prioritu kolekce pravidel nebo prioritu kolekce pravidel a dědičnost zásad.

Nasazení a konfigurace služby Azure Firewall

Při nasazování služby Azure Firewall zvažte tyto faktory.

  • Brána firewall může centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi.
  • Brána firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě.
  • Brána firewall je plně integrovaná se službou Azure Monitor pro protokolování a analýzy.

Mezi klíčové kroky pro nasazení a konfiguraci služby Azure Firewall patří:

  1. Vytvořte skupinu prostředků.
  2. Vytvořte virtuální síť a podsítě.
  3. Vytvořte virtuální počítač úlohy v podsíti.
  4. Nasaďte bránu firewall a zásady do virtuální sítě.
  5. Vytvořte výchozí odchozí trasu.
  6. Nakonfigurujte pravidlo aplikace.
  7. Nakonfigurujte pravidlo sítě.
  8. Nakonfigurujte pravidlo cílového překladu adres (DNAT).
  9. Otestujte bránu firewall.