Nejčastější dotazy ke službě Azure Firewall

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Další informace o funkcích služby Azure Firewall najdete v tématu Funkce služby Azure Firewall.

Službu Azure Firewall můžete nasadit v jakékoli virtuální síti, ale zákazníci ji obvykle nasazují v centrální virtuální síti a ostatní virtuální sítě k ní propojí partnerským vztahem s využitím modelu s hvězdicovou strukturou. Pak můžete nastavit výchozí trasu z partnerských virtuálních sítí tak, aby odkazovala na tuto centrální virtuální síť brány firewall. Globální partnerský vztah virtuálních sítí se podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí napříč oblastmi. Nejlepšího výkonu dosáhnete nasazením jedné brány firewall na oblast.

Výhodou tohoto modelu je možnost centrálně provádět kontrolu několika paprskových virtuálních sítí v různých předplatných. Existují také úspory nákladů, protože nemusíte nasazovat bránu firewall v každé virtuální síti zvlášť. Úspory nákladů by se měly porovnávat s náklady na přidružené partnerské vztahy v závislosti na vzorech provozu zákazníka.

Bránu Azure Firewall můžete nastavit pomocí webu Azure Portal, PowerShellu, rozhraní REST API nebo pomocí šablon. Projděte si kurz: Nasazení a konfigurace služby Azure Firewall pomocí webu Azure Portal s podrobnými pokyny.

Azure Firewall podporuje pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel, která sdílejí stejné pořadí a prioritu. Kolekce pravidel se spouští v pořadí podle jejich priority. Kolekce pravidel DNAT jsou kolekce pravidel s vyšší prioritou, které mají vyšší prioritu než kolekce pravidel aplikace, a všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

• Pravidla aplikací: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
• Pravidla sítě: Nakonfigurujte pravidla, která obsahují zdrojové adresy, protokoly, cílové porty a cílové adresy.
• Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení k internetu.

Další informace najdete v tématu Konfigurace pravidel brány Azure Firewall.

Služba Azure Firewall podporuje příchozí a odchozí filtrování. Příchozí ochrana se obvykle používá pro protokoly jiné než HTTP, jako jsou protokoly RDP, SSH a FTP. Pro příchozí ochranu HTTP a HTTPS použijte firewall webových aplikací, jako je Azure Web Application Firewall (WAF) nebo přesměrování zpracování protokolu TLS a hloubková kontrola paketů služby Azure Firewall Premium.

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Služba Azure Firewall je plně integrovaná s Azure Monitorem a zajišťuje zobrazování a analýzu protokolů brány firewall. Protokoly je možné odeslat do služby Log Analytics, Azure Storage nebo Event Hubs. Lze je analyzovat v Log Analytics nebo pomocí různých nástrojů, jako jsou Excel a Power BI. Další informace najdete v tématu Kurz: Monitorování protokolů brány Azure Firewall.

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky virtuální sítě. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předem integrovaná s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby poskytovala pokročilé zabezpečení pro virtuální síť a připojení k internetu větví. Další informace o zabezpečení sítě Azure najdete v tématu Zabezpečení sítě Azure.

Firewall webových aplikací (WAF) je funkce služby Application Gateway, která poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro protokoly jiné než HTTP/S (například RDP, SSH, FTP), odchozí ochranu na úrovni sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Služba Azure Firewall doplňuje funkce skupiny zabezpečení sítě. Společně poskytují lepší zabezpečení sítě v "hloubkové obraně". Skupiny zabezpečení sítě poskytují filtrování provozu na distribuované síťové vrstvě k omezení provozu na prostředky ve virtuálních sítích v každém předplatném. Azure Firewall je plně stavová centralizovaná síťová brána firewall jako služba, která poskytuje ochranu na úrovni sítě a aplikací napříč různými předplatnými a virtuálními sítěmi.

Azure Firewall je spravovaná služba s několika vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě na úrovni síťových adaptérů (není možné je zobrazit). Skupiny zabezpečení sítě na úrovni podsítě nejsou na azureFirewallSubnetu povinné a jsou zakázané, aby se zajistilo žádné přerušení služby.

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služeb v podsíti služby Azure Firewall a zakázat je v připojených hvězdicových virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Viz ceny služby Azure Firewall.

Můžete použít uvolnění a přidělení metod Azure PowerShellu. Pro bránu firewall nakonfigurovanou pro vynucené tunelování se postup mírně liší.

Například pro bránu firewall NENÍ nakonfigurovaná pro vynucené tunelování:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall nakonfigurovanou pro vynucené tunelování je zastavení stejné. Spuštění ale vyžaduje, aby se veřejná IP adresa správy znovu přidružuje k bráně firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Pro bránu firewall v zabezpečené architektuře virtuálního centra je zastavení stejné, ale spuštění musí používat ID virtuálního centra:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Když přidělíte a uvolníte, fakturace brány firewall se zastaví a spustí odpovídajícím způsobem.

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení brány firewall. V některých případech je ale možné po nasazení změnit zóny dostupnosti. Tyto požadavky jsou:

• Brána firewall se nasadí ve virtuální síti. Nepodporuje se u bran firewall nasazených v zabezpečeném virtuálním centru.
• Oblast brány firewall podporuje zóny dostupnosti.
• Všechny připojené veřejné IP adresy se nasazují se zónami dostupnosti. Na stránce vlastností každé veřejné IP adresy se ujistěte, že pole zón dostupnosti existuje a je nakonfigurované se stejnými zónami, které jste nakonfigurovali pro bránu firewall.

Překonfigurování zón dostupnosti je možné provést pouze při restartování brány firewall. Po přidělení brány firewall a těsně před spuštěním Set-AzFirewallbrány firewall pomocí následujícího Azure PowerShellu upravte vlastnost zóny brány firewall:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Informace o omezeních služby Azure Firewall najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Ano, k směrování a filtrování provozu mezi dvěma paprskovými virtuálními sítěmi můžete použít azure Firewall v centrální virtuální síti. Podsítě v každé paprskové virtuální síti musí mít trasu definovanou uživatelem odkazující na azure Firewall jako výchozí bránu, aby tento scénář fungoval správně.

Ano. Konfigurace trasy definované uživatelem pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti ale vyžaduje větší pozornost. Při použití rozsahu adres virtuální sítě jako cílové předpony trasy definované uživatelem je dostačující, ale také směruje veškerý provoz z jednoho počítače do jiného počítače ve stejné podsíti prostřednictvím instance služby Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v trasy definované uživatelem s typem dalšího segmentu směrování virtuální sítě. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití skupin zabezpečení sítě, které nevyžadují trasy definované uživatelem.

Azure Firewall se neschová, pokud je cílovou IP adresou privátní rozsah IP adres na IANA RFC 1918. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Kromě toho se provoz zpracovávaný pravidly aplikace vždy používá SNAT. Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro provoz plně kvalifikovaného názvu domény, můžete použít pravidla sítě s cílovým plně kvalifikovaným názvem domény.

Vynucené tunelování se podporuje při vytváření nové brány firewall. Pro vynucené tunelování nemůžete nakonfigurovat existující bránu firewall. Další informace najdete v tématu Vynucené tunelování ve službě Azure Firewall.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit předpony cílových IP adres pro vaše cíle internetu, můžete tyto rozsahy nakonfigurovat s místní sítí jako další segment směrování přes trasu definovanou uživatelem v podsítě AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

Ano. Všechny brány firewall, virtuální sítě a veřejné IP adresy musí být ve stejné skupině prostředků.

• URL – Hvězdičky fungují při umístění na pravé nebo levé straně. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
• Plně kvalifikovaný název domény – hvězdičky fungují při umístění na levé straně.
• GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Při každé změně konfigurace se služba Azure Firewall pokusí aktualizovat všechny své základní back-endové instance. Ve výjimečných případech může jedna z těchto back-endových instancí selhat aktualizaci s novou konfigurací a proces aktualizace se zastaví se stavem neúspěšného zřizování. Vaše služba Azure Firewall je stále funkční, ale použitá konfigurace může být v nekonzistentním stavu, kdy některé instance mají předchozí konfiguraci, kde ostatní mají aktualizovanou sadu pravidel. Pokud k tomu dojde, zkuste konfiguraci ještě jednou aktualizovat, dokud nebude operace úspěšná a brána firewall je ve stavu úspěšného zřizování.

Azure Firewall se skládá z několika back-endových uzlů v konfiguraci aktivní-aktivní. U jakékoli plánované údržby máme logiku vyprázdnění připojení pro řádné aktualizace uzlů. Aktualizace plánujeme během nepracovních hodin pro každou z oblastí Azure, aby se dále omezilo riziko přerušení. V případě neplánovaných problémů vytvoříme instanci nového uzlu, který nahradí uzel, který selhal. Připojení ivity na nový uzel se obvykle znovu publikuje během 10 sekund od doby selhání.

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall čeká 90 sekund, než se stávající připojení zavře. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

Ano. Název brány firewall má limit 50 znaků.

Azure Firewall musí při škálování zřídit více instancí virtuálních počítačů. Adresní prostor /26 zajišťuje, že brána firewall má k dispozici dostatek IP adres pro přizpůsobení škálování.

Ne. Azure Firewall nepotřebuje podsíť větší než /26.

Počáteční kapacita propustnosti služby Azure Firewall je 2,5 až 3 Gb/s a škáluje se na 30 Gb/s pro skladovou položku Standard a 100 Gb/s pro skladovou položku Premium. Škáluje se automaticky na základě využití procesoru, propustnosti a počtu připojení.

Azure Firewall se postupně škáluje, když je průměrná propustnost nebo spotřeba procesoru 60 %, nebo využití připojení je 80 %. Například začne škálovat na více instancí, když dosáhne 60 % maximální propustnosti. Maximální počet propustností se liší podle skladové položky brány firewall a povolených funkcí. Další informace najdete v tématu Výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut.

Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořené uzly brány firewall.

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Služba Azure Firewall připojení řádně ukončí odesláním paketu TCP RST.

K vypnutí instance virtuálního počítače azure Firewall může dojít během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu. V těchto případech jsou nová příchozí připojení vyvážená do zbývajících instancí brány firewall a nepřesměrovávají se do instance brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace naleznete v tématu Load Balancer TCP Reset and Idle Timeout.

Ne. Azure Firewall standardně blokuje přístup ke službě Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Značky služeb Azure Firewall.

Ano, k tomu můžete použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

Tcp ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama reaguje na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Ano. Další informace najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Ano. Další informace najdete v tématu Zálohování služby Azure Firewall a zásad služby Azure Firewall pomocí Logic Apps.

Ne, azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru v současné době nepodporuje.

Azure Firewall používá virtuální počítače Azure, pod kterými je omezený počet připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit na bránu firewall je limit připojení virtuálního počítače (250 tisíc) × počet virtuálních počítačů v back-endovém fondu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby čekání na nečinnost. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway se službou Azure Firewall , abyste zajistili širší fond portů SNAT pro proměnlivost a dostupnost.

Konkrétní chování překladu adres (NAT) závisí na konfiguraci brány firewall a typu nakonfigurovaného překladu adres (NAT). Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.