Azure Firewall ontwerpen en implementeren

Voltooid

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid.

Azure Firewall-functies

Azure Firewall bevat de volgende functies:

• Ingebouwde hoge beschikbaarheid : hoge beschikbaarheid is ingebouwd, dus er zijn geen extra load balancers vereist en u hoeft niets te configureren.
• Onbeperkte schaalbaarheid van de cloud: Azure Firewall kan zoveel uitschalen als u nodig hebt om veranderende netwerkverkeersstromen aan te passen, zodat u geen budget hoeft te maken voor uw piekverkeer.
• FQDN-filterregels voor toepassingen: u kunt uitgaand HTTP/S-verkeer of Azure SQL-verkeer beperken tot een opgegeven lijst met FQDN's (Fully Qualified Domain Names), inclusief jokertekens. Voor deze functie is geen TLS-beëindiging vereist.
• Regels voor het filteren van netwerkverkeer: u kunt netwerkfilterregels centraal maken of weigeren op bron- en doel-IP-adres, poort en protocol. Azure Firewall is volledig stateful, wat betekent dat het legitieme pakketten voor verschillende soorten verbindingen kan onderscheiden. Regels worden afgedwongen en vastgelegd voor meerdere abonnementen en virtuele netwerken.
• FQDN-tags : met deze tags kunt u eenvoudig bekende Netwerkverkeer van de Azure-service via uw firewall toestaan. Stel dat u Windows Update-netwerkverkeer wilt toestaan in de firewall. U maakt een toepassingsregel die de Windows Update-tag bevat. Het netwerkverkeer van Windows Update kan nu door uw firewall.
• Servicetags : een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels om de complexiteit voor het maken van beveiligingsregels te minimaliseren. U kunt niet uw eigen servicetag maken en ook niet opgeven welke IP-adressen zijn opgenomen in een tag. Microsoft beheert de adresvoorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij als adressen worden gewijzigd.
• Bedreigingsinformatie : filteren op basis van bedreigingsinformatie (IDPS) kan worden ingeschakeld voor uw firewall om verkeer van/naar bekende schadelijke IP-adressen en domeinen te waarschuwen en te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.
• TLS-inspectie : de firewall kan uitgaand verkeer ontsleutelen, de gegevens verwerken, vervolgens de gegevens versleutelen en naar de bestemming verzenden.
• Uitgaande SNAT-ondersteuning : alle IP-adressen voor uitgaand virtueel netwerkverkeer worden omgezet in het openbare IP-adres van Azure Firewall (Source Network Address Translation (SNAT)). U kunt verkeer dat afkomstig is uit uw virtuele netwerk naar externe internetbestemmingen identificeren en toestaan.
• Binnenkomende DNAT-ondersteuning : binnenkomend internetnetwerkverkeer naar uw openbare IP-adres van uw firewall wordt vertaald (Destination Network Address Translation) en gefilterd op de privé-IP-adressen in uw virtuele netwerken.
• Meerdere openbare IP-adressen : u kunt meerdere openbare IP-adressen (maximaal 250) koppelen aan uw firewall om specifieke DNAT- en SNAT-scenario's mogelijk te maken.
• Azure Monitor-logboekregistratie : alle gebeurtenissen zijn geïntegreerd met Azure Monitor, zodat u logboeken kunt archiveren naar een opslagaccount, gebeurtenissen naar uw Event Hubs kunt streamen of naar Azure Monitor-logboeken kunt verzenden.
• Geforceerde tunneling: u kunt Azure Firewall configureren om al het internetverkeer te routeren naar een aangewezen volgende hop in plaats van rechtstreeks naar internet te gaan. U kunt bijvoorbeeld een on-premises edge-firewall of een ander NVA (virtueel netwerkapparaat) gebruiken om netwerkverkeer te verwerken voordat het wordt doorgegeven aan internet.
• Webcategorieën : met webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen. Webcategorieën zijn opgenomen in Azure Firewall Standard, maar deze zijn nauwkeuriger afgestemd op Azure Firewall Premium Preview. In tegenstelling tot de mogelijkheid voor webcategorieën in de Standard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie volgens de volledige URL voor zowel HTTP- als HTTPS-verkeer.
• Certificeringen : Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), International Organization for Standardization (ISO) en ICSA Labs die compatibel zijn.

Regelverwerking in Azure Firewall

In De Azure Firewall kunt u NAT-regels, netwerkregels en toepassingsregels configureren. Dit kan worden gedaan met behulp van klassieke regels of firewallbeleid. Een Azure Firewall weigert standaard al het verkeer, totdat regels handmatig zijn geconfigureerd om verkeer toe te staan.

Regelverwerking met klassieke regels

Met klassieke regels worden regelverzamelingen verwerkt volgens het regeltype in prioriteitsvolgorde, lagere getallen naar hogere getallen van 100 tot 65.000. De naam van een regelverzameling mag alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepjes bevatten. Het moet ook beginnen met een letter of een cijfer en moet eindigen met een letter, een getal of een onderstrepingsteken. De maximale naamlengte is 80 tekens. Het is raadzaam om in eerste instantie de prioriteitsnummers van uw regelverzameling te verplaatsen in stappen van 100 (bijvoorbeeld 100, 200, 300, enzovoort), zodat u uzelf ruimte geeft om meer regelverzamelingen toe te voegen wanneer dat nodig is.

Regelverwerking met firewallbeleid

Met firewallbeleid worden regels ingedeeld in regelverzamelingen die zijn opgenomen in regelverzamelingsgroepen. Regelverzamelingen kunnen van de volgende typen zijn:

• DNAT (Destination Network Address Translation)
• Netwerk
• Toepassing

U kunt meerdere regelverzamelingstypen definiëren binnen één regelverzamelingsgroep en u kunt nul of meer regels definiëren in een regelverzameling, maar de regels binnen een regelverzameling moeten van hetzelfde type zijn (bijvoorbeeld DNAT, Netwerk of Toepassing).

Met firewallbeleid worden regels verwerkt op basis van regelverzamelingsgroepprioriteit en regelverzamelingsprioriteit. Prioriteit is een getal tussen 100 (hoogste prioriteit) en 65.000 (laagste prioriteit). Groepen regelverzamelingen met de hoogste prioriteit worden eerst verwerkt en binnen een regelverzamelingsgroep worden regelverzamelingen met de hoogste prioriteit (dat wil bijvoorbeeld het laagste getal) eerst verwerkt.

In het geval van een firewallbeleid dat wordt overgenomen van een bovenliggend beleid, heeft regelverzamelingsgroepen in het bovenliggende beleid altijd voorrang, ongeacht de prioriteit van het onderliggende beleid.

Toepassingsregels worden altijd verwerkt na netwerkregels, die zelf altijd worden verwerkt na DNAT-regels, ongeacht de prioriteit van regelverzameling of regelverzameling en overname van beleid.

Uitgaande connectiviteit met behulp van netwerkregels en toepassingsregels

Als u zowel netwerkregels als toepassingsregels configureert, worden netwerkregels toegepast in volgorde van prioriteit voordat toepassingsregels worden toegepast. Bovendien worden alle regels beëindigd, dus als er een overeenkomst wordt gevonden in een netwerkregel, worden er daarna geen andere regels verwerkt.

Als er geen netwerkregelovereenkomst is en als het protocol HTTP, HTTPS of MSSQL is, wordt het pakket vervolgens geëvalueerd door de toepassingsregels in volgorde van prioriteit. Voor HTTP zoekt Azure Firewall naar een toepassingsregelovereenkomst op basis van de hostheader, terwijl Azure Firewall voor HTTPS zoekt naar een toepassingsregelovereenkomst op basis van servernaamindicatie (SNI).

Binnenkomende connectiviteit met BEHULP van DNAT-regels en netwerkregels

Inkomende internetverbinding kan worden ingeschakeld door DNAT te configureren. Zoals eerder vermeld, worden DNAT-regels toegepast in prioriteit vóór netwerkregels. Als er een overeenkomst wordt gevonden, wordt een impliciete bijbehorende netwerkregel toegevoegd om het vertaalde verkeer toe te staan. Om veiligheidsredenen is het raadzaam om een specifieke internetbron toe te voegen om DNAT-toegang tot het netwerk toe te staan en jokertekens te voorkomen.

Toepassingsregels worden niet toegepast op binnenkomende verbindingen. Als u dus inkomend HTTP/S-verkeer wilt filteren, moet u WaF (Web Application Firewall) gebruiken.

Als u voor verbeterde beveiliging een regel wijzigt om de toegang tot verkeer te weigeren dat eerder was toegestaan, worden alle relevante bestaande sessies verwijderd.

Azure Firewall implementeren en configureren

Houd rekening met het volgende bij het implementeren van Azure Firewall:

• Het kan beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.
• Er wordt gebruikgemaakt van een statisch, openbaar IP-adres voor uw virtuele netwerkbronnen. Hiermee kunnen externe firewalls verkeer identificeren dat afkomstig is van uw virtuele netwerk.
• Het is volledig geïntegreerd met Azure Monitor voor logboekregistratie en analyse.
• Bij het maken van firewallregels kunt u het beste de FQDN-tags gebruiken.

De belangrijkste fasen van het implementeren en configureren van Azure Firewall zijn als volgt:

• Een brongroep maken
• Een virtueel netwerk en subnetten maken
• Een workload-VM maken in een subnet
• De firewall en het beleid implementeren in het virtuele netwerk
• Een standaardroute voor uitgaand verkeer maken
• Een toepassingsregel configureren
• Een netwerkregel configureren
• Een DNAT-regel (Destination NAT) configureren
• De firewall testen

Azure Firewall implementeren met Beschikbaarheidszones

Een van de belangrijkste functies van Azure Firewall is Beschikbaarheidszones.

Wanneer u Azure Firewall implementeert, kunt u deze configureren voor meerdere Beschikbaarheidszones voor een hogere beschikbaarheid. Wanneer u Azure Firewall op deze manier configureert, neemt uw beschikbaarheid toe tot 99,99% uptime. De SLA met een actieve tijdsduur van 99,99% wordt aangeboden wanneer er twee of meer Beschikbaarheidszones zijn geselecteerd.

U kunt Azure Firewall ook koppelen aan een specifieke zone om redenen van nabijheid, met behulp van Service Standard SLA van 99,95%.

Zie de Service Level Agreement (SLA) voor Azure Firewall voor meer informatie.

Er zijn geen extra kosten verbonden aan een firewall die is geïmplementeerd in een beschikbaarheidszone. Er zijn echter extra kosten verbonden aan binnenkomende en uitgaande gegevensoverdrachten die zijn gekoppeld aan Beschikbaarheidszones.

Zie Prijsinformatie voor bandbreedte voor meer informatie.

Azure Firewall-Beschikbaarheidszones zijn alleen beschikbaar in regio's die ondersteuning bieden voor Beschikbaarheidszones.

Beschikbaarheidszones kan alleen worden geconfigureerd tijdens de implementatie van de firewall. U kunt een bestaande firewall niet configureren om Beschikbaarheidszones op te nemen.

Methoden voor het implementeren van een Azure Firewall met Beschikbaarheidszones

U kunt verschillende methoden gebruiken voor het implementeren van uw Azure Firewall met behulp van Beschikbaarheidszones.

• Azure Portal
• Azure PowerShell: zie Een Azure Firewall implementeren met Beschikbaarheidszones met behulp van Azure PowerShell
• Azure Resource Manager-sjabloon - zie quickstart: Azure Firewall implementeren met Beschikbaarheidszones - Azure Resource Manager-sjabloon

Test uw kennis

1.

Filteren van welke richting van verkeer wordt door Azure Firewall ondersteund?

Alleen uitgaand.

Alleen inkomend.

Binnenkomend en uitgaand.

2.

Welke van de volgende prioriteitsniveaus wordt als hoogste beschouwd voor een beveiligingsregel?

0

100

110

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.