使用 Azure 防火牆進階版的時機
組織可以使用 IDPS 和 TLS 檢查等 Azure 防火牆進階版功能,以防止惡意程式碼和病毒在網路之間以橫向和水平方向散播。 為了符合 IDPS 和 TLS 檢查提升效能的需求,Azure 防火牆進階版使用更強大的虛擬機器 SKU。 如同標準版 SKU 一般,進階版 SKU 可以順暢地擴大至 30 Gbps,並與可用性區域整合,以支援 99.99% 的服務等級協定 (SLA)。 進階版 SKU 符合支付卡產業資料安全性標準 (PCI DSS) 環境需求。
為了協助您判斷 Azure 防火牆進階版是否適合您的組織,請考慮下列案例:
您想要檢查輸出 TLS 加密的網路流量
Azure 防火牆進階版 TLS 檢查可以解密輸出流量、處理資料,然後加密資料並將其傳送至目的地。
Azure 防火牆進階版會終止輸出和東-西 TLS 連線。 支援 TLS 檢查搭配 Azure 應用程式閘道,允許端對端加密。 Azure 防火牆會執行必要的加值安全性功能,並重新加密傳送至原始目的地的流量。
您想要使用簽章型惡意流量偵測來保護網路
網路入侵檢測和預防系統 (IDPS) 可讓您監視網路是否有惡意活動。 其也可讓您記錄此活動的相關資訊、報告該活動,以及選擇性地嘗試封鎖該活動。
Azure 防火牆進階版提供簽章型 IDPS,以允許透過尋找特定模式來快速偵測攻擊,例如網路流量中的位元組序列,或惡意程式碼所使用的已知惡意指令序列。 IDPS 簽章適用於應用程式和網路層級流量 (層級 4-7)。 其完全受控且會持續更新。 您可以將 IDPS 套用至輸入、輪輻對輪輻 (東-西) 和輸出流量。
Azure 防火牆簽章/規則集包括:
- 強調對實際惡意程式碼、命令和控制、惡意探索套件,以及傳統防護方法遺漏的惡意活動進行指紋識別。
- 在超過 50 種類別中,有超過 55,000 個規則。
- 這些類別包括惡意程式碼命令和控制、DoS 攻擊、殭屍網路、資訊事件、惡意探索、弱點、SCADA 網路通訊協定、惡意探索套件活動等等。
- 每天會發行 20 到 40 個以上的新規則。
- 使用最先進的惡意程式碼沙箱和全域感應器網路回饋迴圈,降低誤判為真率。
IDPS 可讓您在所有連接埠和通訊協定中偵測是否有針對未加密流量的攻擊。 不過,當需要檢查 HTTPS 流量時,Azure 防火牆可以使用其 TLS 檢查功能來解密流量,並更妥善地偵測惡意活動。
IDPS 略過清單可讓您不篩選流向略過清單中所指定任何 IP 位址、範圍和子網路的流量。
您也可以在 IDPS 模式設定為 [警示] 時使用簽章規則。 但您可能需要封鎖一或多個特定簽章,包括其相關聯的流量。 在此情況下,您可以藉由將 TLS 檢查模式設定為 [拒絕] 來新增簽章規則。
您想要擴大 Azure 防火牆的 FQDN 篩選功能以考慮整個 URL
Azure 防火牆進階版可以篩選整個 URL。 例如,www.contoso.com/a/c 而不是 www.contoso.com。
URL 篩選可以同時在 HTTP 和 HTTPS 流量上套用。 檢查 HTTPS 流量時,Azure 防火牆進階版可以使用其 TLS 檢查功能來解密流量,並擷取目標 URL 來驗證是否允許存取。 TLS 檢查需要在應用程式規則層級加入。 一旦啟用,您就可以使用 URL 搭配 HTTPS 進行篩選。
您想要根據類別允許或拒絕存取
Web 類別功能可讓管理員允許或拒絕使用者對某些網站類別 (例如賭博網站、社交媒體網站等) 的存取。 Web 類別也隨附於 Azure 防火牆標準版,但在 Azure 防火牆進階版中會更精細。 相對於標準版 SKU 中的 Web 類別功能會根據 FQDN 比對類別,進階版 SKU 會根據 HTTP 和 HTTPS 流量的整個 URL 比對類別。
例如,如果 Azure 防火牆攔截 www.google.com/news 的 HTTPS 要求,則預期會有下列分類:
- 防火牆標準版 – 只會檢查 FQDN 部分,因此 www.google.com 會分類為搜尋引擎。
- 防火牆進階版 – 將會檢查完整的 URL,因此 www.google.com/news 會分類為新聞。
這些類別會根據嚴重性在責任、高頻寬、商務使用、生產力流失、一般瀏覽和未分類下進行組織。