微软发布高端版防火墙服务Azure Firewall Premium预览,其提供TLS检查、IDPS、网页类别以及URL过滤功能,特别适合用于高度敏感和受监管环境。另外,Azure Firewall Premium新功能都只能使用防火墙政策配置。
防火墙政策现在分为标准和高端层,在默认情况下,这个版本之前的政策,皆为标准层,标准层政策可以和Azure Firewall Standard相关联,并且能够被高端层政策继承,官方提到,通过继承功能,可以让Azure Firewall Standard和Azure Firewall Premium共享部署配置。
Azure Firewall Premium所提供的TLS检查功能,可终止出站以及数据中心内传输层安全性协议(TLS)连接,搭配Azure Application Gateway,就能支持入站TLS检查,Azure Firewall会执行需要的安全功能,并且重新加密流量,将流量送回原本的目的地。TLS是用户端与服务器之间,创建加密连接的标准安全技术,以确保修户端和服务器之间传递的所有资料,都能保持在加密状态。
而Azure Firewall Premium能够完全解密网络通信,进而拦截和检查TLS连接,微软提到,TLS检查功能有几项好处,首先,由于强化了流量的可见性,因此所有解密流量都可以被记录且在指标上显示,而且URL过滤也能更严格地过滤流出流量,入侵侦测与防御系统(Intrusion Detection and Prevention System,IDPS)也更能发挥作用。
IDPS让管理员能够监控网络,找出可能存在的恶意活动,并且尝试阻止攻击者,Azure Firewall Premium采用以特征为基础的IDPS,通过比对特定模式,像是网络流量中的字节串行,或是已知恶意指令串行,来快速侦测攻击,这项功能适用于所有连接端口和协议。
而Azure防火墙政策中的网页类别,则可以让管理员根据类别,允许和拒绝用户的互联网访问,像是社交网络、搜索引擎或是博弈类网站等,减少个别完整域名名称(FQDN)和URL管理的时间。而URL过滤功能,则让管理员不仅能针对FQDN限制,还可以过滤特定URL的出站访问。
Azure Firewall Premium使用的防火墙政策,是一种全局的资源,用户可使用Azure Firewall Manager集中管理防火墙,微软提到,从这个版本开始,所有的新功能,都只能使用防火墙政策配置,包括TLS检查、IDPS、URL过滤和网页类别等,防火墙政策可以个别管理,也可以使用Azure Firewall Manager操作。