何时使用 Azure 防火墙(高级版)
组织可以使用 IDPS 和 TLS 检查等 Azure 防火墙(高级版)功能,防止恶意软件和病毒在网络中横向(水平)传播。 为了满足 IDPS 和 TLS 检查提高的性能需求,Azure 防火墙(高级版)使用更强大的虚拟机 SKU。 与标准 SKU 一样,高级 SKU 最多可以无缝扩展到 30 Gbps 并与可用性区域集成以支持 99.99% 的服务水平协议 (SLA)。 高级版 SKU 符合支付卡行业数据安全标准 (PCI DSS) 环境需求。
为了帮助确定 Azure 防火墙(高级版)是否适合你的组织,请考虑以下场景:
你想要检查出站 TLS 加密网络流量
Azure 防火墙(高级版)TLS 检查可以解密出站流量、处理数据,然后加密数据并将其发送到目标。
Azure 防火墙高级版终止出站和东-西 TLS 连接。 允许端到端加密的 Azure 应用程序网关支持入站 TLS 检查。 Azure 防火墙执行必需的增值安全功能,并重新加密发送到原始目的地的流量。
你想要使用基于签名的恶意流量检测来保护网络
网络入侵检测和防护系统 (IDPS) 允许监视网络是否存在恶意活动。 它还允许记录有关此活动的信息、报告该活动以及选择性地尝试阻止它。
Azure 防火墙高级版提供基于签名的 IDPS,允许通过查找特定模式(例如网络流量中的字节序列或恶意软件使用的已知恶意指令序列)来快速检测攻击。 IDPS 签名适用于应用程序和网络级别流量(第 4-7 层)。 它们是完全托管的,并会持续更新。 可以将 IDPS 应用到入站、网状(东-西)和出站流量。
Azure 防火墙签名/规则集包括:
- 侧重于对实际恶意软件、命令和控制、攻击工具包以及传统防护方法遗漏的疯狂恶意活动进行指纹识别。
- 超过 55,000 条规则,类别超过 50 种。
- 类别包括恶意软件命令和控制、DoS 攻击、僵尸网络、信息性事件、攻击、漏洞、SCADA 网络协议、攻击工具包活动等。
- 每天发布 20 到 40 个新规则。
- 使用最先进的恶意软件沙箱和全局传感器网络反馈循环,降低误报级别。
通过 IDPS,你可以检测所有端口和协议中对未加密流量的攻击。 但是,当需要检查 HTTPS 通信时,Azure 防火墙可以使用其 TLS 检查功能来解密通信并更好地检测恶意活动。
通过 IDPS 绕过列表,你可以不将流量筛选到绕过列表中指定的任何 IP 地址、范围和子网。
当 IDPS 模式设置为“警报”时,还可以使用签名规则。 但是,有一个或多个要阻止的特定签名,包括其关联的流量。 在这种情况下,可通过将 TLS 检查模式设置为“拒绝”来添加新的签名规则。
你想要扩展 Azure 防火墙的 FQDN 筛选功能,以包含整个 URL
Azure 防火墙(高级版)可以筛选整个 URL。 例如,www.contoso.com/a/c,而非 www.contoso.com。
URL 筛选可以应用于 HTTP 和 HTTPS 流量。 检查 HTTPS 通信时,Azure 防火墙高级版可以使用其 TLS 检查功能来解密流量,并提取目标 URL 以验证是否允许访问。 TLS 检查要求在应用程序规则级别选择加入。 启用后,可以使用 URL 筛选 HTTPS。
你想要根据类别允许或拒绝访问
管理员可以使用 Web 类别功能允许或拒绝用户访问网站类别,例如赌博网站、社交媒体网站等。 Web 类别还包含在 Azure 防火墙标准版中,但 Azure 防火墙高级版对它进行了更多优化。 标准版 SKU 中的 Web 类别功能根据 FQDN 来匹配类别,而高级版 SKU 则根据 HTTP 和 HTTPS 流量的整个 URL 来匹配类别。
例如,如果 Azure 防火墙拦截了对 www.google.com/news 的 HTTPS 请求,则应进行以下分类:
- 防火墙(标准版)- 仅检查 FQDN 部分,因此 www.google.com 归类为“搜索引擎”。
- 防火墙(高级版)- 将检查完整的 URL,因此 www.google.com/news 归类为“资讯”。
这些类别是根据“责任”、“高带宽”、“商业用途”、“生产力损失”、“常规网上冲浪”和“未分类”下的严重性组织。