Projektowanie i implementowanie usługi Azure Firewall

Ukończone

Azure Firewall to zarządzana, sieciowa usługa zabezpieczeń oparta na chmurze, która zabezpiecza zasoby usługi Azure Virtual Network. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze.

Funkcje usługi Azure Firewall

Usługa Azure Firewall obejmuje te funkcje.

• Wbudowana wysoka dostępność. Wysoka dostępność jest wbudowana, więc nie są wymagane żadne dodatkowe moduły równoważenia obciążenia i nie trzeba nic konfigurować.

• Nieograniczona skalowalność chmury. Usługa Azure Firewall może skalować w poziomie tyle, ile potrzebujesz, aby uwzględnić zmieniające się przepływy ruchu sieciowego, dzięki czemu nie trzeba budżetować na szczytowy ruch.

• Reguły filtrowania nazw FQDN aplikacji. Możesz ograniczyć wychodzący ruch HTTP/S lub ruch usługi Azure SQL do określonej listy w pełni kwalifikowanych nazw domen (FQDN), w tym symboli wieloznacznych. Ta funkcja nie wymaga zakończenia protokołu TLS.

• Reguły filtrowania ruchu sieciowego. Można centralnie tworzyć reguły filtrowania sieci (zezwalania lub blokowania) na podstawie źródłowego i docelowego adresu IP, portu i protokołu. Usługa Azure Firewall jest w pełni stanowa, więc możesz rozróżniać autentyczne pakiety w ramach różnych typów połączeń. Reguły są wymuszane i rejestrowane w wielu subskrypcjach i sieciach wirtualnych.

• Tagi nazwy FQDN. Te tagi ułatwiają zezwolenie na dobrze znany ruch sieciowy usługi platformy Azure przez zaporę. Załóżmy na przykład, że chcesz zezwolić na ruch sieciowy z witryny Windows Update przez zaporę. Tworzysz regułę aplikacji i dołączasz tag „Windows Update”. Teraz ruch sieciowy z witryny Windows Update może przechodzić przez zaporę.

• Tagi usługi. Tag usługi reprezentuje grupę prefiksów adresów IP, aby zminimalizować złożoność tworzenia reguły zabezpieczeń. Nie można utworzyć własnego tagu usługi ani określić, które adresy IP znajdują się w tagu. Firma Microsoft zarządza prefiksami adresów obejmującymi ten tag i automatycznie aktualizuje tag usługi, gdy zmienią się adresy.

• Analiza zagrożeń. Filtrowanie oparte na analizie zagrożeń (IDPS) można włączyć, aby zapora wysyłała alerty i odrzucały ruch ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

• Inspekcja protokołu TLS. Zapora może odszyfrować ruch wychodzący, przetwarzać dane, a następnie szyfrować dane i wysyłać je do miejsca docelowego.

• Obsługa ruchu wychodzącego SNAT. Wszystkie wychodzące adresy IP ruchu sieci wirtualnej są tłumaczone na publiczny adres IP usługi Azure Firewall (Source Network Address Translation(SNAT)). Możesz zidentyfikować ruch pochodzący z sieci wirtualnej do zdalnych internetowych miejsc docelowych i zezwalać na niego.

• Obsługa przychodzącego DNAT. Przychodzący ruch sieciowy internetowy do publicznego adresu IP zapory jest tłumaczony (translacja docelowego adresu sieciowego) i filtrowany do prywatnych adresów IP w sieciach wirtualnych.

• Wiele publicznych adresów IP. W celu włączenia określonych scenariuszy DNAT i SNAT można skojarzyć z zaporą wiele publicznych adresów IP (maksymalnie 250).

• Rejestrowanie w usłudze Azure Monitor. Wszystkie zdarzenia są zintegrowane z usługą Azure Monitor, co umożliwia archiwizowanie dzienników na koncie magazynu, przesyłanie strumieniowe zdarzeń do usługi Event Hubs lub wysyłanie ich do dzienników usługi Azure Monitor.

• Wymuszane tunelowanie. Usługę Azure Firewall można skonfigurować tak, aby kierować cały ruch powiązany z Internetem do wyznaczonego następnego przeskoku, zamiast przechodzić bezpośrednio do Internetu. Na przykład masz lokalną zaporę brzegową lub inne wirtualne urządzenie sieciowe (WUS) do przetwarzania ruchu sieciowego w Internecie.

• Kategorie sieci Web. Kategorie sieci Web umożliwiają administratorom zezwalanie lub odmawianie dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne. Kategorie sieci Web są uwzględniane w usłudze Azure Firewall w warstwie Standardowa, ale jest ona bardziej dostrojona w usłudze Azure Firewall — wersja zapoznawcza Premium. W przeciwieństwie do możliwości kategorii sieci Web w jednostce SKU w warstwie Standardowa, która pasuje do kategorii opartej na nazwie FQDN, jednostka SKU Premium odpowiada kategorii zgodnie z całym adresem URL zarówno dla ruchu HTTP, jak i HTTPS.

• Certyfikaty. Usługa Azure Firewall to payment card industry (PCI), Service Organization Controls (SOC), International Organization for Standardization (ISO) i ICSA Labs zgodnych.

Przetwarzanie reguł w usłudze Azure Firewall

W usłudze Azure Firewall można skonfigurować reguły NAT, reguły sieci i reguły aplikacji. Usługa Azure Firewall domyślnie odrzuca cały ruch, dopóki reguły nie zostaną ręcznie skonfigurowane tak, aby zezwalały na ruch.

Przetwarzanie reguł przy użyciu reguł klasycznych

W przypadku reguł klasycznych kolekcje reguł są przetwarzane zgodnie z typem reguły w kolejności priorytetu, niższe liczby do wyższych liczb z zakresu od 100 do 65 000. Nazwa kolekcji reguł może zawierać tylko litery, cyfry, podkreślenia, kropki lub łączniki. Musi również zaczynać się literą lub cyfrą i musi kończyć się literą, cyfrą lub podkreśleniami. Maksymalna długość nazwy to 80 znaków. Najlepszym rozwiązaniem jest wstępne odstępowanie numerów priorytetu kolekcji reguł w przyrostach 100. Przyrosty zapewniają miejsce na dodawanie większej liczby kolekcji reguł w razie potrzeby.

Przetwarzanie reguł przy użyciu zasad zapory

W przypadku zasad zapory reguły są zorganizowane wewnątrz kolekcji reguł, które znajdują się w grupach kolekcji reguł. Kolekcje reguł mogą być następującymi typami:

• DNAT (docelowe tłumaczenie adresów sieciowych)
• Sieć
• Aplikacja

Można zdefiniować wiele typów kolekcji reguł w ramach jednej grupy kolekcji reguł. Możesz zdefiniować zero lub więcej reguł w kolekcji reguł, ale reguły w kolekcji reguł muszą być tego samego typu.

W przypadku zasad zapory reguły są przetwarzane na podstawie priorytetu grupy kolekcji reguł i priorytetu kolekcji reguł. Priorytet to dowolna liczba z zakresu od 100 (najwyższy priorytet) do 65 000 (najniższy priorytet). Grupy kolekcji reguł o najwyższym priorytcie są przetwarzane najpierw, a wewnątrz grupy kolekcji reguł kolekcji reguł kolekcji z najwyższym priorytetem są przetwarzane jako pierwsze.

Reguły aplikacji są zawsze przetwarzane po regułach sieci, które są zawsze przetwarzane po regułach DNAT niezależnie od priorytetu kolekcji reguł lub priorytetu kolekcji reguł i dziedziczenia zasad.

Wdrażanie i konfigurowanie usługi Azure Firewall

Podczas wdrażania usługi Azure Firewall należy wziąć pod uwagę te czynniki.

• Zapora może centralnie tworzyć, wymuszać i rejestrować zasady aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych.
• Zapora używa statycznego publicznego adresu IP dla zasobów sieci wirtualnej.
• Zapora jest w pełni zintegrowana z usługą Azure Monitor na potrzeby rejestrowania i analizy.

Najważniejsze kroki wdrażania i konfigurowania usługi Azure Firewall to:

1. Utwórz grupę zasobów.
2. Utwórz sieć wirtualną i podsieci.
3. Utwórz maszynę wirtualną obciążenia w podsieci.
4. Wdróż zaporę i zasady w sieci wirtualnej.
5. Utwórz domyślną trasę wychodzącą.
6. Konfigurowanie reguły aplikacji.
7. Skonfiguruj regułę sieci.
8. Skonfiguruj regułę docelowego translatora adresów sieciowych (DNAT).
9. Przetestuj zaporę.

Sprawdź swoją wiedzę

1.

Filtrowanie jakiego kierunku ruchu obsługuje usługa Azure Firewall?

Tylko ruch wychodzący.

Tylko ruch przychodzący.

Ruch przychodzący i wychodzący.

2.

Który poziom priorytetu jest najwyższy dla reguły zabezpieczeń?

0

100

110

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.