Azure 防火墙高级版功能

ICSA 认证徽标PCI 认证徽标

Azure 防火墙高级版提供高级威胁防护,可满足高度敏感且受监管的环境(例如支付和医疗保健行业)的需求。

组织可以使用 IDPS 和 TLS 检查等高级库存单位 (SKU) 功能来防止恶意软件和病毒在网络中横向和水平向传播。 为了满足对 IDPS 和 TLS 检查不断提高的性能需求,Azure 防火墙高级版会使用功能更强大的虚拟机 SKU。 与标准 SKU 一样,高级 SKU 最多可以无缝扩展到 30 Gbps 并与可用性区域集成以支持 99.99% 的服务水平协议 (SLA)。 高级版 SKU 符合支付卡行业数据安全标准 (PCI DSS) 环境需求。

Azure 防火墙高级版概览图

Azure 防火墙高级版包括以下功能:

  • TLS 检查 - 解密出站流量、处理数据,然后加密数据并将数据发送到目的地。
  • IDPS - 网络入侵检测和防护系统 (IDPS) 使你可以监视网络活动是否出现恶意活动,记录有关此活动的信息,予以报告,选择性地尝试阻止。
  • URL 筛选 - 将 Azure 防火墙的 FQDN 筛选功能扩展到考虑整个 URL。 例如,www.contoso.com/a/c,而非 www.contoso.com
  • Web 类别 - 管理员可以允许或拒绝用户访问某些类别的网站,例如赌博网站、社交媒体网站等。

TLS 检查

TLS(传输层安全)协议主要使用两个或多个通信应用程序之间的证书为隐私、完整性和真实性提供加密。 它在应用层上运行,并被广泛用于加密 HTTP 协议。

加密流量存在潜在的安全风险,可隐藏非法用户的活动和恶意流量。 没有 TLS 检查的 Azure 防火墙(如下图所示)无法查看加密 TLS 隧道中流动的数据,因此无法提供完整的保护覆盖。

第二张图显示 Azure 防火墙高级版如何将终止并检查 TLS 连接,以检测和缓解 HTTPS 中的恶意活动并针对该活动发出警报。 防火墙实际上创建了两个专用 TLS 连接:一个与 Web 服务器 (contoso.com) 连接,一个与客户端连接。 如果使用客户提供的 CA 证书,该证书生成一个代替 Web 服务器证书的动态证书并与客户端共享,以建立防火墙和客户端之间的 TLS 连接。

没有 TLS 检查的 Azure 防火墙:Azure 防火墙标准的端到端 TLS

具有 TLS 检查的 Azure 防火墙:具有 Azure 防火墙高级版的 TLS

Azure 防火墙支持以下用例:

  • 出站 TLS 检查

    防止从托管在 Azure 中的内部客户端发送到 Internet 的恶意流量。

  • 东-西 TLS 检查(包含进出本地网络的流量)

    保护 Azure 工作负载,使其免受从 Azure 内部发送的潜在恶意流量干扰。

Azure 应用程序网关上的 Azure Web 应用程序防火墙支持以下用例:

  • 入站 TLS 检查

    保护托管在 Azure 中的内部服务器或应用程序,使其免受来自 Internet 或外部网络的恶意请求的攻击。 应用程序网关提供端到端加密。

提示

TLS 1.0 和 1.1 将被弃用并且不再受支持。 TLS 1.0 和 1.1 版本的 TLS/安全套接字层 (SSL) 容易受到攻击,尽管目前出于向后兼容的目的,这些协议仍可正常工作,但我们不建议使用。 请尽快迁移到 TLS 1.2。

若要详细了解 Azure 防火墙高级版中间 CA 证书要求,请参阅 Azure 防火墙高级版证书

IDPS

网络入侵检测和防护系统 (IDPS) 使你可以监视网络是否出现恶意活动,记录有关此活动的信息,予以报告,选择性地尝试阻止。

Azure 防火墙高级版提供基于签名的 IDPS,允许通过查找特定模式(例如网络流量中的字节序列或恶意软件使用的已知恶意指令序列)来快速检测攻击。 IDPS 签名适用于应用程序和网络级别流量(第 3 - 7 层),它们是完全托管的,并会持续更新。 IDPS 可应用于入站流量、分支到分支(东-西)流量和出站流量。 分支到分支(东-西)包含进出本地网络的流量。 可以使用“专用 IP 范围”预览功能配置 IDPS 专用 IP 地址范围。 有关详细信息,请参阅 Azure 防火墙预览功能

Azure 防火墙签名/规则集包括:

  • 侧重于对实际恶意软件、命令和控制、攻击工具包以及传统防护方法遗漏的疯狂恶意活动进行指纹识别。
  • 超过 58,000 条规则,类别超过 50 种。
    • 类别包括恶意软件命令和控制、网络钓鱼、特洛伊木马、僵尸网络、信息性事件、攻击、漏洞、SCADA 网络协议、攻击工具包活动等。
  • 每天发布 20 到 40 个新规则。
  • 使用最先进的恶意软件检测技术,如全局传感器网络反馈循环,降低误报率。

通过 IDPS,你可以检测所有端口和协议中对未加密流量的攻击。 但是,当需要检查 HTTPS 通信时,Azure 防火墙可以使用其 TLS 检查功能来解密通信并更好地检测恶意活动。

通过 IDPS 绕过列表,你可以不将流量筛选到绕过列表中指定的任何 IP 地址、范围和子网。

IDPS 签名规则

IDPS 签名规则允许:

  • 自定义一个或多个签名,并将其模式更改为“禁用”、“发出警报”或“发出警报并拒绝” 。

    例如,如果你收到一个误报,它显示由于签名错误而导致 Azure 防火墙阻止了合法请求,那么可以使用网络规则日志中的签名 ID,并将其 IDPS 模式设置为关闭。 这样就会忽略“错误”签名,并解决误报问题。

  • 全面了解所有的 55,000 个签名

  • 智能搜索

    让你可以按任何类型的属性来搜索整个签名数据库。 例如,可通过在搜索栏中键入 ID 来搜索特定的 CVE-ID,以发现哪些签名正在处理此 CVE。

IDPS 签名规则具有以下属性:

说明
签名 ID 每个签名的内部 ID。 此 ID 也显示在 Azure 防火墙网络规则日志中。
模型 指示签名是否处于活动状态,以及防火墙是否会在匹配到流量时丢弃该流量或发出警报。 以下签名模式可以替代 IDPS 模式
- 已禁用:未在防火墙上启用签名。
- 警报:检测到可疑流量时,你将收到警报。
- 发出警报并拒绝:你将收到警报,并且会阻止可疑流量。 有少量的签名类别定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些类别的签名匹配的流量。 客户可以通过将这些特定签名自定义为“警报和拒绝”模式来覆盖这一点。

注意:可以通过网络规则日志查询在门户中查看 IDPS 警报。
Severity 每个签名都有一个关联的严重性级别,指示该签名是实际攻击的概率。
- :异常事件是通常不会在网络上发生或记录的信息事件。 攻击概率较低。
- 中:签名表示存在可疑攻击。 管理员应进一步调查。
- 高:攻击签名表明正在发起严重攻击。 数据包具有合法用途的可能性非常小。
方向 应用签名的流量方向。
- 入站:签名仅适用于来自 Internet 并发往配置的专用 IP 地址范围的流量。
- 出站:签名仅适用于从配置的专用 IP 地址范围发送到 Internet 的流量。
- 双向:签名始终应用于任何流量方向。
Group 签名所属的组名称。
说明 由以下三部分构成:
- 类别名称:签名所属的类别名称,如 Azure 防火墙 IDPS 签名规则类别中所述。
- 签名的简要说明
- CVE-ID(可选)在签名与特定 CVE 相关联的情况下。 此处列出了 ID。
协议 与此签名关联的协议。
源/目标端口 与此签名关联的端口。
上次更新时间 此签名的上次引入或修改日期。

图片显示了 IDPS 签名规则列

URL 筛选

URL 筛选将 Azure 防火墙的 FQDN 筛选功能扩展到考虑整个 URL。 例如,www.contoso.com/a/c,而非 www.contoso.com

URL 筛选可以应用于 HTTP 和 HTTPS 流量。 检查 HTTPS 通信时,Azure 防火墙高级版可以使用其 TLS 检查功能来解密流量,并提取目标 URL 以验证是否允许访问。 TLS 检查要求在应用程序规则级别选择加入。 启用后,可以使用 URL 筛选 HTTPS。

Web 类别

通过 Web 类别,管理员可以允许或拒绝用户访问某些类别的网站,例如赌博网站、社交媒体网站等。 Web 类别还将包含在 Azure 防火墙标准版中,但在 Azure 防火墙高级版中,它将进行更多微调。 标准版 SKU 中的 Web 类别功能根据 FQDN 来匹配类别,而高级版 SKU 则根据 HTTP 和 HTTPS 流量的整个 URL 来匹配类别。

这些类别是根据“责任”、“高带宽”、“商业用途”、“生产力损失”、“常规上网”和“未分类”下的严重性来组织的。 有关 Web 类别的详细说明,请参阅 Azure 防火墙 Web 类别

Web 类别日志记录

可以在应用程序日志中查看已按 Web 类别筛选的流量。 仅当在防火墙策略应用程序规则中显式配置了“Web 类别”字段时才会显示此字段。 例如,如果没有显式拒绝搜索引擎的规则,并且用户请求访问 www.bing.com,则只会显示默认的拒绝消息,而不会显示 Web 类别消息。 这是因为未显式配置 Web 类别。

类别例外

可以为 Web 类别规则创建例外。 在规则收集组中创建具有更高优先级的单独的允许或拒绝规则集合。 例如,你可以配置一个允许 www.linkedin.com 的优先级为 100 的规则集合和一个拒绝社交网络的优先级为 200 的规则集合。 这将为预定义的社交网络 Web 类别创建例外。

可以使用“Web 类别检查”功能来确定给定 FQDN 或 URL 所属的类别。 要使用该功能,请选择“防火墙策略设置”下的“Web 类别”选项卡。 在定义目标流量的应用程序规则时,该功能很有用。

防火墙类别搜索对话框

重要

若要使用“Web 类别检查”功能,用户必须对 Microsoft.Network/azureWebCategories/getwebcategory/action 有“订阅”级别而不是资源组级别的访问权限。

类别更改

在下列情况下,可以在“防火墙策略设置”中的“Web 类别”选项卡下请求分类更改:

  • 认为 FQDN 或 URL 应采用不同的类别

  • 对于未分类的 FQDN 或 URL,有建议的类别

提交类别更改报告后,你将在通知中收到一个令牌,这些通知指示我们已收到处理请求。 通过在搜索栏中输入该令牌,可以检查请求是正在处理中、已被拒绝还是已获批准。 务必保存令牌 ID 用于此检查。

防火墙类别报告对话框

支持的区域

以下区域支持 Azure 防火墙高级版:

  • 中国东部 2

  • 中国北部 2

  • 中国北部 3

后续步骤