Azure Firewall Azure Network

Azure Network Servisleri-11 Azure Firewall

Avatar
Written by Emre Martin

Azure Firewall, Azure üzerindeki iş yüklerinizi korumak için kullanabileceğiniz, OSI modeli nin(layer 3-4-7) network, transport ve application katmanlarında çalışan, bulut tabanlı bir PaaS ağ güvenlik servisidir.  

Azure Firewall Özellikleri:

  • Yerleşik yüksek kullanılabilirlik
  • Availability Zones
  • Application FQDN filtering
  • Network traffic filtering
  • FQDN tags
  • Service tags
  • Threat intelligence
  • DNS proxy
  • Custom DNS
  • FQDN in network rules
  • Outbound SNAT support
  • Inbound DNAT support
  • Multiple public IP addresses
  • Azure Monitor logging
  • Forced tunnelling
  • Web categories
  • Certifications

Otomatik Ölçeklendirme

Azure Firewall varsayılan olarak ekstra bir yapılandırmaya gerek olmadan iki instance olarak dağıtılır. Bu Instance sayısı CPU ve network throughput’una bağlı olarak otomatik olarak Azure tarafından yönetilir.

Firewall CPU kullanımının 5 dk boyunca %60’ın üzerinde olduğum durumlarda +1 instace eklenir. CPU kullanımın 30dk boyunca %60 ‘ın altında olması durumunda -1 eklenen ekstra intance silinir. Silinen instance üzerindeki aktif bağlantılar diğer bir instance’e devredilir. En güzel tarafıda bu ölcekledirme ücretsizdir ve bir sınırı yoktur.

Yüksek Erişebilirlik

Azure Firewall dağıtım aşamasında Availability Zone içerisine konumlandırılabilir. Availability Zone kullanmak Azure Firewall için %99.99 luk bir SLA garanti eder. Availability Zones kullanımı ücretsiz olsada, iki zone arasındaki trafik ücretlidir.

Threat intelligence

Azure Firewall bilinen kötü amaçlı IP adresler ve domain’lere giden\gelen trafiği izleyebilir, önleyebilir ve bildirimler oluşturabilir.

Threat intelligence kuralları Azure Firewall üzerindeki tüm kurallardan önce işleme alınır. testmaliciousdomain.eastus.cloudapp.azure.com adresini kullanarak bu özelliği test edebilirsiniz.

DNS Proxy

Azure Firewall’u dilerseniz isim çözümleme için kullanabiliriz. Varsayılan olarak Firewalll isim çözümlemesi için Azure DNS’lerini kullanır ve bu ayar değiştirilebilir. Azure DNS Proxy ‘de ise Firewall Client’tan aldığı DNS sorgusunu direk olarak dilediğiniz DNS sunucusuna yönlendirir. DNS Proxy FQDN filtering kullanbilmek için aktif edilmesi gereken bir özelliktir.

Inbound DNAT & Outbound SNAT

Internete yapılacak her bağlantı için Azure Firewall üzerinde SNAT yapılarak, kaynakların Azure Firewall’un Public IP’si kullanarak internete erişmesi sağlanır. Bu özellik giden bağlantılar üzerinde Applicaion ve Network kurallarını kullanarak tam kontrole sahip olmanızı sağlar.

Buradan Azure Firewall SNAT Port Exhaustion Nedir ? isimli yazıma erişebilirsiniz.

DNAT’ta ise SNAT’in tam tersi işlem yapılarak Azure Firewall’un Public IP’sini kullanarak, Firewall’un arkasında bulunan makinalara public internet üzerinden erişilebilir. Bunun için Azure Firewall üzerinde DNAT kuralı oluşturmanız gerekir.

Application & Network Rules

Azure Firewall üzerinde üç farklı kural oluşturabilirsiniz:

Network Rules: Network katmanında (layer3-4) gelen-giden trafik için izin ver-engelle şeklinde kurallar oluşturmanızı sağlar. Network kuralları IP adres, Port yada protokol bazlı kurallar oluşturmak için tercih edilebilir.

Application: Uygulama katmanında (Layer-7) giden trafik için izin ver-engelle şeklinde kurallar oluşturmanızı sağlar. Applicaion kuralları FQDN ve protokol (http yada https) bazlı kurallar oluşturmak için tercih edilebilir.

DNAT: DNAT kuralları Azure Firewall IP’sine public dünyadan gelen isteklere izin ver-engelle şeklinde kurallar oluşturarak gelen istekleri backend’de bulunan sunuculara erişimii kontrol edebilmenizi sağlar.

Azure Firewall üzerinde kurallar Network Rules -> Application Rules -> DNAT sıralamasaı ile işlenir.

Örneğin Network kuralları içerisinde *.google.com FQDN’ini engellediyseniz ancak Network kuralları içerisinde google.com’a izin verdiyseniz bu adrese erişemezsiniz.

Azure Firewall Premium

Azure Firewall Standard ve Premium olmak üzere iki farklı SKU’ya sahiptir. Firewall Premium SKU ekstra gelişmiş tehdit koruması sağlamaktadır.

  • IDPS: Ağa izinsiz giriş algılama ve önleme sistemi (intrusion detection and prevention system IDPS), ağ etkinliklerini kötü amaçlı etkinlik için izlemenize, bu etkinlikle ilgili bilgileri günlüğe kaydetmenize, bildirmenize ve isteğe bağlı olarak engellemeye çalışmanıza olanak tanır.
  • TLS Inspacetion: Giden trafiğin şifresini çözer, verileri işler, ardından verileri şifreler ve hedefe gönderir.
  • URL filtering: Azure Firewall FQDN filtreleme özelliğini bir URL’nin tamamını dikkate alacak şekilde genişletir. www.azuredocs.com yerine www.azuredocs.com\notes gibi.
  • Web Categories: Yöneticiler, kumar web siteleri, sosyal medya web siteleri ve diğerleri gibi web sitesi kategorilerine kullanıcı erişimine izin verebilir veya bunları reddedebilir.

Fiyatlandırma ?

Azure Firewall sahip olduğunuz Firewall dağıtıma göre saatlik ve işlenen trafik miktarına göre ücretlendilir. Güncel fiyat bilgisine buradan ulaşabilirsiniz.

Azure Firewall StandardAzure Firewall Premium
DeploymentSaatlik 1.25 $ (Aylık 912$)Saatlik 1.75 $ (Aylık 1278$)
Data ProcessingGB Başına 0.016$GB Başına 0.016$

NSG vs Azure Firewall

Azure Netwok Security Group’lar OSI modelinin (layer 3-4) network ve transport katmanlarında çalırken, Azure Firewall (layer 3-4-7) network, transport ve application katmanında çalışır. Bu da şu demek oluyor NSG üzerinde kural oluşturken Source IP-Port ve Destination IP-Port ve protokol bilgilerini kullanabilirsiniz, Azure Firewall’da ise ek FQDN kullanabilirsiniz. Azure Firewall’un SNAT, Threat intelligence, IDPS , DNS Proxy, SNAT gibi özelliklerin hiç bir NSG’lerde bulunmaz.

Daha fazlası için:

https://docs.microsoft.com/en-us/azure/firewall/firewall-faq

https://docs.microsoft.com/en-us/azure/architecture/networking/guide/well-architected-framework-azure-firewall

Görüşmek üzere.

 

Yazar Hakkında

Avatar

Emre Martin

Cloud Solutions Architect