Recursos do Firewall do Azure Standard
O Firewall do Azure Standard é um serviço de segurança de rede gerenciado e baseado em nuvem que protege os recursos da Rede Virtual do Azure.
O Firewall do Azure inclui os seguintes recursos:
- Elevada disponibilidade incorporada
- Zonas de Disponibilidade
- Escalabilidade da cloud sem restrições
- Regras de filtragem de FQDN de aplicação
- Regras de filtragem de tráfego de rede
- Etiquetas FQDN
- Etiquetas de serviço
- Informações sobre ameaças
- Proxy DNS
- DNS Personalizado
- FQDN nas regras de rede
- Implantação sem endereço IP público no modo de túnel forçado
- Suporte SNAT de saída
- Suporte DNAT de entrada
- Vários endereços IP públicos
- Registo do Azure Monitor
- Túnel forçado
- Categorias Web
- Certificações
Para comparar os recursos do Firewall do Azure para todas as SKUs de Firewall, consulte Escolha a SKU de Firewall do Azure certa para atender às suas necessidades.
Elevada disponibilidade incorporada
A alta disponibilidade é integrada, portanto, não são necessários balanceadores de carga extras e não há nada que você precise configurar.
Zonas de Disponibilidade
O Firewall do Azure pode ser configurado durante a implantação para abranger várias zonas de disponibilidade para aumentar a disponibilidade. Com as zonas de disponibilidade, sua disponibilidade aumenta para 99,99% de tempo de atividade. Para obter mais informações, consulte o Contrato de Nível de Serviço (SLA) do Firewall do Azure. O SLA de 99,99% de tempo de atividade é oferecido quando duas ou mais zonas de disponibilidade são selecionadas.
Você também pode associar o Firewall do Azure a uma zona específica apenas por motivos de proximidade, usando o SLA padrão de serviço de 99,95%.
Não há custo extra para um firewall implantado em mais de uma zona de disponibilidade. Além disso, a Microsoft anunciou que o Azure não cobrará pela transferência de dados entre zonas de disponibilidade, independentemente de você usar IPs privados ou públicos em seus recursos do Azure.
À medida que o firewall é dimensionado, ele cria instâncias nas zonas em que está. Portanto, se o firewall estiver apenas na Zona 1, novas instâncias serão criadas na Zona 1. Se o firewall estiver nas três zonas, ele criará instâncias nas três zonas à medida que for dimensionado.
As Zonas de Disponibilidade do Firewall do Azure estão disponíveis em regiões que dão suporte a Zonas de Disponibilidade. Para obter mais informações, consulte Regiões do Azure com zonas de disponibilidade.
Nota
As zonas de disponibilidade só podem ser configuradas durante a implantação. Não é possível configurar um firewall existente para incluir zonas de disponibilidade.
Para obter mais informações sobre zonas de disponibilidade, consulte Regiões e zonas de disponibilidade no Azure.
Escalabilidade da cloud sem restrições
O Firewall do Azure pode expandir tanto quanto você precisa para acomodar fluxos de tráfego de rede variáveis, para que você não precise fazer orçamento para seu pico de tráfego.
Regras de filtragem de FQDN de aplicação
Você pode limitar o tráfego HTTP/S de saída ou o tráfego SQL do Azure a uma lista especificada de nomes de domínio totalmente qualificados (FQDN), incluindo curingas. Esse recurso não requer terminação TLS.
O vídeo a seguir mostra como criar uma regra de aplicativo:
Regras de filtragem de tráfego de rede
Pode criar centralmente regras de filtragem de rede de permissão ou negação por endereço IP de origem e destino, porta e protocolo. O Azure Firewall tem total monitoração de estado, para conseguir distinguir pacotes legítimos para diferentes tipos de ligações. As regras são impostas e registadas em várias subscrições e redes virtuais.
O Firewall do Azure dá suporte à filtragem com monitoração de estado dos protocolos de rede de Camada 3 e Camada 4. Os protocolos IP da camada 3 podem ser filtrados selecionando Qualquer protocolo na regra Rede e selecionando o curinga * para a porta.
Etiquetas FQDN
As tags FQDN facilitam a permissão de tráfego de rede de serviço do Azure bem conhecido por meio do firewall. Por exemplo, digamos que deseja permitir tráfego de rede do Windows Update através da firewall. Crie uma regra de aplicação e inclua a etiqueta do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através da firewall.
Etiquetas de serviço
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regras de segurança. Você não pode criar sua própria tag de serviço, nem especificar quais endereços IP estão incluídos em uma tag. A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.
Informações sobre ameaças
A filtragem baseada em informações sobre ameaças pode ser ativada para que seu firewall alerte e negue tráfego de/para domínios e endereços IP mal-intencionados conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft.
Proxy DNS
Com o proxy DNS habilitado, o Firewall do Azure pode processar e encaminhar consultas DNS de uma Rede Virtual para o servidor DNS desejado. Essa funcionalidade é crucial e necessária para ter uma filtragem FQDN confiável nas regras de rede. Você pode habilitar o proxy DNS nas configurações de Firewall e Política de Firewall do Azure. Para saber mais sobre o proxy DNS, consulte Configurações de DNS do Firewall do Azure.
DNS Personalizado
O DNS personalizado permite que você configure o Firewall do Azure para usar seu próprio servidor DNS, garantindo que as dependências de saída do firewall ainda sejam resolvidas com o DNS do Azure. Você pode configurar um único servidor DNS ou vários servidores nas configurações DNS do Firewall do Azure e da Política de Firewall. Saiba mais sobre DNS personalizado, consulte Configurações de DNS do Firewall do Azure.
O Firewall do Azure também pode resolver nomes usando o DNS Privado do Azure. A rede virtual onde o Firewall do Azure reside deve estar vinculada à Zona Privada do Azure. Para saber mais, consulte Usando o Firewall do Azure como Encaminhador DNS com Link Privado.
FQDN nas regras de rede
Você pode usar FQDNs (nomes de domínio totalmente qualificados) em regras de rede baseadas na resolução DNS no Firewall do Azure e na Política de Firewall.
Os FQDNs especificados em suas coleções de regras são convertidos para endereços IP com base nas configurações de DNS do firewall. Esse recurso permite filtrar o tráfego de saída usando FQDNs com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Como esse recurso é baseado na resolução de DNS, é altamente recomendável habilitar o proxy DNS para garantir que a resolução de nomes seja consistente com suas máquinas virtuais protegidas e firewall.
Implantar o Firewall do Azure sem endereço IP público no modo de túnel forçado
O serviço Firewall do Azure requer um endereço IP público para fins operacionais. Embora seguras, algumas implantações preferem não expor um endereço IP público diretamente à Internet.
Nesses casos, você pode implantar o Firewall do Azure no modo de Túnel Forçado. Essa configuração cria uma NIC de gerenciamento que é usada pelo Firewall do Azure para suas operações. A rede Tenant Datapath pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado encapsulado para outro firewall ou bloqueado.
O modo de túnel forçado não pode ser configurado em tempo de execução. Você pode reimplantar o Firewall ou usar o recurso parar e iniciar para reconfigurar um Firewall do Azure existente no modo de Túnel Forçado. Os firewalls implantados em Secure Hubs são sempre implantados no modo de túnel forçado.
Suporte SNAT de saída
Todos os endereços IP de tráfego de rede virtual de saída são convertidos no IP público do Azure Firewall (Tradução de Endereços de Rede de Origem). Pode identificar e permitir tráfego com origem na sua rede virtual para destinos de Internet remotos. Quando o Firewall do Azure tem vários IPs públicos configurados para fornecer conectividade de saída, qualquer IP público pode ser escolhido e não recomendamos a criação de dependências nas quais o IP público pode ser usado para conexões de saída.
Em cenários em que você tem alta taxa de transferência ou padrões de tráfego dinâmico, é recomendável usar um Gateway NAT do Azure. O Gateway NAT do Azure seleciona dinamicamente IPs públicos para fornecer conectividade de saída. Para saber mais sobre como integrar o Gateway NAT com o Firewall do Azure, consulte Dimensionar portas SNAT com o Gateway NAT do Azure.
O Gateway NAT do Azure pode ser usado com o Firewall do Azure associando o Gateway NAT à sub-rede do Firewall do Azure. Consulte o tutorial Integrar gateway NAT com o Firewall do Azure para obter orientação sobre essa configuração.
O Firewall do Azure não SNAT quando o IP de destino é um intervalo de IP privado por IANA RFC 1918.
Se a sua organização utilizar um intervalo de endereços IP públicos para redes privadas, a Firewall do Azure fará SNAT do tráfego para um dos endereços IP privados da firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não SNAT seu intervalo de endereços IP públicos. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.
Você pode monitorar a utilização da porta SNAT nas métricas do Firewall do Azure. Saiba mais e veja nossa recomendação sobre a utilização da porta SNAT em nossa documentação de métricas e logs de firewall.
Para obter informações mais detalhadas sobre os comportamentos NAT do Firewall do Azure, consulte Comportamentos NAT do Firewall do Azure.
Suporte DNAT de entrada
O tráfego de entrada da rede da Internet para o endereço IP público do firewall é traduzido (Tradução de Endereço de Rede de Destino) e filtrado para os endereços IP privados em suas redes virtuais.
Vários endereços IP públicos
Pode associar vários endereços IP públicos (até 250) à sua firewall.
Isso permite os seguintes cenários:
- DNAT - Você pode traduzir várias instâncias de porta padrão para seus servidores de back-end . Por exemplo, se tiver dois endereços IP públicos, poderá converter a porta TCP 3389 (RDP) para ambos os endereços IP.
- SNAT - Mais portas estão disponíveis para conexões SNAT de saída, reduzindo o potencial de exaustão da porta SNAT. Neste momento, o Firewall do Azure seleciona aleatoriamente o endereço IP público de origem a ser usado para uma conexão. Se tiver alguma filtragem a jusante na rede, terá de permitir todos os endereços IP públicos associados à firewall. Considere o uso de um prefixo de endereço IP público para simplificar essa configuração.
Para obter mais informações sobre comportamentos NAT, consulte Comportamentos NAT do Firewall do Azure.
Registo do Azure Monitor
Todos os eventos são integrados com o Azure Monitor, permitindo que você arquive logs em uma conta de armazenamento, transmita eventos para seu hub de eventos ou envie-os para logs do Azure Monitor. Para obter exemplos de log do Azure Monitor, consulte Logs do Azure Monitor para o Firewall do Azure.
Para obter mais informações, consulte Tutorial: Monitorar logs e métricas do Firewall do Azure.
A Pasta de Trabalho do Firewall do Azure fornece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Para obter mais informações, consulte Monitorar logs usando a Pasta de Trabalho do Firewall do Azure.
Túnel forçado
Você pode configurar o Firewall do Azure para rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, você pode ter um firewall de borda local ou outro dispositivo virtual de rede (NVA) para processar o tráfego de rede antes que ele seja passado para a Internet. Para obter mais informações, veja Túnel forçado do Azure Firewall.
Categorias Web
As categorias da Web permitem que os administradores permitam ou neguem o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros. As categorias da Web estão incluídas no Firewall Standard do Azure, mas são mais ajustadas no Azure Firewall Premium. Ao contrário do recurso de categorias da Web no SKU padrão que corresponde à categoria baseada em um FQDN, o SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS. Para obter mais informações sobre o Azure Firewall Premium, consulte Recursos do Azure Firewall Premium.
Por exemplo, se o Firewall do Azure intercetar uma solicitação HTTPS para www.google.com/news
, a seguinte categorização é esperada:
Firewall Standard – apenas a parte FQDN é examinada, por isso
www.google.com
é categorizada como Search Engine.Firewall Premium – o URL completo é examinado, por isso
www.google.com/news
é categorizado como Notícias.
As categorias são organizadas com base na gravidade em Responsabilidade, Alta largura de banda, Uso comercial, Perda de produtividade, Navegação geral e Sem categoria.
Exceções por categoria
Você pode criar exceções às suas regras de categoria da Web. Crie uma coleção de regras de permissão ou negação separada com uma prioridade mais alta dentro do grupo de coleta de regras. Por exemplo, você pode configurar uma coleção de regras que permite www.linkedin.com
com prioridade 100, com uma coleção de regras que nega redes sociais com prioridade 200. Isso cria a exceção para a categoria predefinida da Web de redes sociais.
Certificações
O Firewall do Azure é compatível com PCI (Payment Card Industry), SOC (Service Organization Controls) e ISO (International Organization for Standardization). Para obter mais informações, consulte Certificações de conformidade do Firewall do Azure.