Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Брандмауэр Azure Basic — это управляемая облачная служба безопасности сети, которая защищает ресурсы Azure виртуальная сеть.
Брандмауэр Azure Basic включает следующие функции:
- Встроенный высокий уровень доступности
- зоны доступности;
- Правила фильтрации FQDN для приложений
- правила фильтрации трафика;
- Теги полного доменного имени
- Теги служб
- Аналитика угроз в режиме оповещения
- поддержку исходящих данных SNAT;
- Поддержка DNAT для входящего трафика
- Несколько общедоступных IP-адресов
- ведение журналов Azure Monitor;
- Сертификация
Чтобы сравнить Брандмауэр Azure функции для всех версий брандмауэра, см. статью "Выбор подходящей Брандмауэр Azure версии для удовлетворения ваших потребностей".
Встроенный высокий уровень доступности
Встроены средства обеспечения высокого уровня доступности, поэтому не требуются дополнительные подсистемы балансировки нагрузки и ничего не нужно настраивать.
зоны доступности;
Брандмауэр Azure можно настроить во время развертывания. Это позволит охватить несколько зон доступности, что повысит уровень доступности. Вы также можете связать Брандмауэр Azure с определенной зоной по соображениям близости. Дополнительные сведения о доступности см. в соглашении об уровне обслуживания (SLA) Брандмауэр Azure.
Для брандмауэра, развернутого в нескольких зонах доступности, не взимается дополнительная плата.
Брандмауэр Azure Зоны доступности доступны в регионах, поддерживающих зоны доступности. Дополнительные сведения см. в разделе "Регионы с поддержкой зоны доступности".
Правила фильтрации FQDN для приложений
Можно ограничить исходящий трафик HTTP или HTTPS либо трафик Azure SQL указанным списком полных доменных имен (FQDN), включая подстановочные знаки. Для этой функции не требуется завершение соединения по протоколу TLS.
В следующем видео показано, как создать правило приложения:
правила фильтрации трафика;
Вы можете централизованно создавать правила, разрешающие или запрещающие фильтрацию сетевого трафика по исходному и целевому IP-адресу, порту и протоколу. Брандмауэр Azure полностью отслеживает состояние, поэтому он может различать правомерные пакеты для разных типов подключений. Правила применяются и регистрируются в нескольких подписках и виртуальных сетях.
Брандмауэр Azure поддерживает фильтрацию с отслеживанием состояния для сетевых протоколов уровня 3 и 4. Протоколы IP уровня 3 можно фильтровать, выбрав любой протокол в правиле сети и выбрав подстановочный знак * для порта.
Теги полного доменного имени
Теги FQDN упрощают настройку прохождения трафика известных служб Azure через брандмауэр. К примеру, вам нужно, чтобы брандмауэр пропускал трафик Центра обновления Windows. Вы создаете правило приложения и добавляете тег обновления Windows. Теперь трафик из Центра обновления Windows сможет проходить через брандмауэр.
Теги служб
Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности. Невозможно создать собственный тег службы или задать IP-адреса, которые будут входить в тег. Корпорация Майкрософт управляет префиксами адресов, заключенными в теге службы, и автоматически обновляет тег службы при изменении адресов.
Аналитика угроз
Фильтрация на основе аналитики угроз может быть включена для брандмауэра для оповещения трафика от или до известных вредоносных IP-адресов и доменов. IP-адреса и домены берутся из канала Microsoft Threat Intelligence.
поддержку исходящего трафика SNAT
Все исходящие IP-адреса виртуальной сети преобразуются в общедоступный IP-адрес брандмауэра Azure (исходное преобразование сетевых адресов (SNAT)). Можно определить и разрешить трафик, исходящий из виртуальной сети, к удаленным интернет-адресатам. Брандмауэр Azure не использует SNAT, если IP-адрес назначения является IP-адресом частного диапазона согласно IANA RFC 1918.
Если ваша организация использует диапазон общедоступных IP-адресов для частных сетей, брандмауэр Azure выполнит SNAT для трафика на один из своих частных IP-адресов в AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.
Вы можете отслеживать использование портов SNAT в метриках службы Брандмауэр Azure. Узнайте больше и ознакомьтесь с рекомендациями по использованию портов SNAT в разделе Журналы и метрики Брандмауэра Azure.
Для получения более подробной информации о поведении NAT Azure Firewall см. Поведении NAT Брандмауэра Azure.
Поддержка DNAT для входящего трафика
Входящий Интернет-трафик, поступающий на общедоступный IP-адрес брандмауэра, преобразуется (этот процесс называется преобразованием сетевых адресов назначения — DNAT) и фильтруется по частным IP-адресам в виртуальных сетях.
Несколько общедоступных IP-адресов
С брандмауэром можно связать несколько общедоступных IP-адресов.
Несколько общедоступных IP-адресов позволяют использовать следующие сценарии:
- DNAT. Позволяет преобразовать несколько стандартных экземпляров порта для внутренних серверов. Например, если у вас есть два общедоступных IP-адреса, вы можете перенаправлять TCP-порт 3389 (RDP) для обоих IP-адресов.
- SNAT — дополнительные порты доступны для исходящих подключений SNAT, что снижает вероятность нехватки портов SNAT. На данный момент Брандмауэр Azure случайно выбирает общедоступные IP-адреса источника, которые можно использовать для подключения. Если в вашей сети установлена любая фильтрация вниз по потоку, необходимо разрешить все публичные IP-адреса, которые связаны с вашим межсетевым экраном. Чтобы упростить эту настройку, можно использовать префикс общедоступного IP-адреса.
журналирование в Azure Monitor
Все события интегрированы с Azure Monitor, что позволяет архивировать журналы в учетную запись хранения, передавать события в концентратор событий или отправлять их в журналы Azure Monitor. Примеры журналов Azure Monitor см. в разделе Журналы Azure Monitor для службы Брандмауэр Azure.
Дополнительные сведения см. в руководстве по мониторингу журналов и метрик Брандмауэр Azure.
Рабочая тетрадь Azure Firewall предоставляет гибкий инструмент для анализа данных Azure Firewall. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Дополнительные сведения см. в статье Мониторинг журналов с помощью рабочей тетради Azure Firewall.
Сертификация
Брандмауэр Azure соответствует требованиям стандартов безопасности данных индустрии платёжных карт (PCI DSS), контролям обслуживания организаций (SOC), а также Международной организации по стандартизации (ISO). Дополнительные сведения см. в статье о сертификатах соответствия Брандмауэра Azure.