Co je brána Azure Firewall?What is Azure Firewall?

Certifikace ICSA

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Přehled brány firewall

Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Služba je plně integrovaná se službou Azure Monitor zajišťující protokolování a analýzy.The service is fully integrated with Azure Monitor for logging and analytics.

FunkceFeatures

Další informace o funkcích Azure Firewall najdete v tématu Azure firewall funkce.To learn about Azure Firewall features, see Azure Firewall features.

Ceny a smlouvy SLAPricing and SLA

Informace o cenách Azure Firewall najdete v tématu Azure firewall ceny.For Azure Firewall pricing information, see Azure Firewall pricing.

Informace o Azure Firewall smlouvě SLA najdete v tématu Azure firewall SLA.For Azure Firewall SLA information, see Azure Firewall SLA.

Co je novéhoWhat's new

Další informace o tom, co je nového v Azure Firewall, najdete v tématu Aktualizace Azure.To learn what's new with Azure Firewall, see Azure updates.

Známé problémyKnown issues

Brána Azure Firewall má následující známé problémy:Azure Firewall has the following known issues:

ProblémIssue PopisDescription Omezení rizikMitigation
Pravidla síťového filtrování pro jiné protokoly než TCP/UDP (třeba ICMP) nebudou fungovat pro provoz do internetu.Network filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Pravidla filtrování sítě pro protokoly jiné než TCP/UDP nefungují s SNAT na veřejnou IP adresu.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Jiné protokoly než TCP/UDP jsou ale podporované mezi koncovými podsítěmi a virtuálními sítěmi.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall používá vyvažování zatížení úrovně Standard, které v současnosti nepodporuje SNAT pro protokol IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Zkoumáme možnosti podpory tohoto scénáře v budoucí verzi.We're exploring options to support this scenario in a future release.
Chybějící podpora PowerShellu a rozhraní příkazového řádku pro protokol ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell a CLI v síťových pravidlech nepodporují protokol ICMP jako platný protokol.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Protokol ICMP je stále možné používat prostřednictvím portálu a REST API.It's still possible to use ICMP as a protocol via the portal and the REST API. Pracujeme na přidání protokolu ICMP v PowerShellu a rozhraní příkazového řádku brzy.We're working to add ICMP in PowerShell and CLI soon.
Značky plně kvalifikovaného názvu domény vyžadují, aby byl nastavený protokol: portFQDN tags require a protocol: port to be set Pravidla aplikací s značkami plně kvalifikovaného názvu domény vyžadují port: definice protokolu.Application rules with FQDN tags require port: protocol definition. Jako hodnotu port: protokol můžete použít https.You can use https as the port: protocol value. Pracujeme na tom, aby toto pole bylo volitelné při použití značek FQDN.We're working to make this field optional when FQDN tags are used.
Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje.Moving a firewall to a different resource group or subscription isn't supported Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje.Moving a firewall to a different resource group or subscription isn't supported. Podpora této funkce je naše mapa cest.Supporting this functionality is on our road map. Pokud chcete bránu firewall přesunout do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instanci a znovu ji vytvořit v nové skupině prostředků nebo předplatném.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Výstrahy analýzy hrozeb se můžou maskovat.Threat intelligence alerts may get masked Pravidla sítě s cílem 80/443 pro filtry odchozího filtrování upozorňující výstrahy, když jsou nakonfigurovaná jenom na režim výstrahy.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Vytvořte filtrování odchozího připojení pro 80/443 pomocí pravidel aplikací.Create outbound filtering for 80/443 using application rules. Nebo změňte režim analýzy hrozeb na Alert a Deny.Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall DNAT nefunguje pro cíle privátních IP adresAzure Firewall DNAT doesn't work for private IP destinations Podpora Azure Firewall DNAT je omezená na odchozí přenosy z Internetu a příchozí přenos dat.Azure Firewall DNAT support is limited to Internet egress/ingress. DNAT v současné době nefunguje pro cíle privátních IP adres.DNAT doesn't currently work for private IP destinations. Například paprskový na paprskový.For example, spoke to spoke. Toto je aktuální omezení.This is a current limitation.
První konfiguraci veřejné IP adresy nejde odebrat.Can't remove first public IP configuration Každá Azure Firewall veřejná IP adresa je přiřazena ke konfiguraci protokolu IP.Each Azure Firewall public IP address is assigned to an IP configuration. Při nasazení brány firewall se přiřadí první konfigurace IP adresy a obvykle obsahuje odkaz na podsíť brány firewall (Pokud není explicitně nakonfigurovaný přes nasazení šablony).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Tuto konfiguraci protokolu IP nemůžete odstranit, protože by to vedlo ke zrušení přidělení brány firewall.You can't delete this IP configuration because it would de-allocate the firewall. Pokud má brána firewall k dispozici alespoň jednu jinou veřejnou IP adresu, můžete i nadále změnit nebo odebrat veřejnou IP adresu přidruženou k této konfiguraci protokolu IP.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Toto chování je úmyslné.This is by design.
Zóny dostupnosti se dají konfigurovat jenom během nasazování.Availability zones can only be configured during deployment. Zóny dostupnosti se dají konfigurovat jenom během nasazování.Availability zones can only be configured during deployment. Po nasazení brány firewall nemůžete Zóny dostupnosti nakonfigurovat.You can't configure Availability Zones after a firewall has been deployed. Toto chování je úmyslné.This is by design.
SNAT při příchozích připojeníchSNAT on inbound connections Kromě DNAT jsou připojení přes veřejnou IP adresu (příchozí) brány firewall před jejich vstupem na jednu z privátních IP adres brány firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Tento požadavek dnes (také pro aktivní/aktivní síťová virtuální zařízení) zajistíte tak, aby se zajistilo symetrické směrování.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Pokud chcete zachovat původní zdroj pro HTTP/S, zvažte použití hlaviček xff .To preserve the original source for HTTP/S, consider using XFF headers. Můžete například použít službu, jako je například přední vrátka Azure nebo Azure Application Gateway před bránou firewall.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. WAF můžete také přidat jako součást služby Azure front-dveří a řetězit k bráně firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
Podpora filtrování plně kvalifikovaného názvu domény SQL pouze v režimu proxy (port 1433)SQL FQDN filtering support only in proxy mode (port 1433) Pro Azure SQL Database, Azure synapse Analytics a Azure SQL Managed instance:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

Filtrování plně kvalifikovaného názvu domény SQL je podporováno pouze v režimu proxy serveru (port 1433).SQL FQDN filtering is supported in proxy-mode only (port 1433).

Pro Azure SQL IaaS:For Azure SQL IaaS:

Pokud používáte nestandardní porty, můžete tyto porty zadat v pravidlech aplikací.If you're using non-standard ports, you can specify those ports in the application rules.
V případě SQL v režimu přesměrování (výchozí při připojování z Azure) můžete místo toho filtrovat přístup pomocí značky služby SQL jako součást Azure Firewallch síťových pravidel.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Odchozí provoz na portu TCP 25 není povolený.Outbound traffic on TCP port 25 isn't allowed Odchozí připojení SMTP, která používají port TCP 25, jsou blokovaná.Outbound SMTP connections that use TCP port 25 are blocked. Port 25 se primárně používá pro neověřené doručování e-mailů.Port 25 is primarily used for unauthenticated email delivery. Toto je výchozí chování platformy pro virtuální počítače.This is the default platform behavior for virtual machines. Další informace najdete v tématu řešení potíží s odchozím připojením SMTP v Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Na rozdíl od virtuálních počítačů ale tuto funkci v tuto chvíli nemůžete povolit na Azure Firewall.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Poznámka: Pokud chcete umožnit ověřenou službu SMTP (port 587) nebo SMTP přes jiný port než 25, ujistěte se prosím, že jste nakonfigurovali síťové pravidlo a ne pravidlo aplikace, protože kontrola SMTP se v tuto chvíli nepodporuje.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. Použijte doporučenou metodu k odeslání e-mailu, jak je popsáno v článku věnovaném odstraňování potíží SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. Nebo vylučte virtuální počítač, který potřebuje odchozí přístup SMTP z výchozí trasy k bráně firewall.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. Místo toho nakonfigurujte odchozí přístup přímo na Internet.Instead, configure outbound access directly to the internet.
Aktivní FTP se nepodporuje.Active FTP isn't supported Aktivní FTP je v Azure Firewall zakázané, aby se chránily proti útokům na vrácení FTP pomocí příkazu FTP PORT.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Místo toho můžete použít pasivní FTP.You can use Passive FTP instead. V bráně firewall je stále nutné explicitně otevřít porty TCP 20 a 21.You must still explicitly open TCP ports 20 and 21 on the firewall.
Metrika využití portu SNAT zobrazuje 0%SNAT port utilization metric shows 0% Metrika využití portů Azure Firewall SNAT může zobrazovat 0% využití i v případě, že se používají porty SNAT.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. V takovém případě poskytuje použití metriky jako součást metriky stavu brány firewall nesprávný výsledek.In this case, using the metric as part of the firewall health metric provides an incorrect result. Tento problém byl opraven a zavedení do produkčního prostředí je cílené na květen 2020.This issue has been fixed and rollout to production is targeted for May 2020. V některých případech se problém vyřeší opětovným nasazením brány firewall, ale není konzistentní.In some cases, firewall redeployment resolves the issue, but it's not consistent. V rámci dočasného řešení je třeba stav brány firewall použít jenom k vyhledání stavu = snížený, ne pro stav = v pořádku.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. Vyčerpání portů se zobrazí jako degradované.Port exhaustion will show as degraded. Není v pořádku , pokud jde o budoucí použití v případě, že jsou další metriky ovlivněny stavem brány firewall.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
DNAT se nepodporuje s povoleným vynuceným tunelovým propojením.DNAT isn't supported with Forced Tunneling enabled Brány firewall nasazené s povoleným vynuceným tunelovým propojením nemůžou podporovat příchozí přístup z Internetu kvůli asymetrickému směrování.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Jedná se o návrh z důvodu asymetrického směrování.This is by design because of asymmetric routing. Návratová cesta pro příchozí připojení prochází přes místní bránu firewall, která neviděla navázání připojení.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
Odchozí pasivní FTP nemusí fungovat pro brány firewall s více veřejnými IP adresami v závislosti na konfiguraci serveru FTP.Outbound Passive FTP may not work for Firewalls with multiple public IP addresses, depending on your FTP server configuration. Pasivní FTP vytvoří různá připojení pro řídicí a datové kanály.Passive FTP establishes different connections for control and data channels. Když brána firewall s více veřejnými IP adresami odesílá odchozí data, náhodně vybere jednu z jejích veřejných IP adres pro zdrojovou IP adresu.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. Protokol FTP může selhat, pokud datové a řídicí kanály používají jiné zdrojové IP adresy v závislosti na konfiguraci serveru FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. Naplánovala se explicitní konfigurace SNAT.An explicit SNAT configuration is planned. Mezitím můžete nakonfigurovat server FTP tak, aby přijímal data a řídicí kanály z různých zdrojových IP adres (viz Příklad služby IIS).In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses (see an example for IIS). Případně zvažte použití jediné IP adresy v této situaci.Alternatively, consider using a single IP address in this situation.
Příchozí pasivní FTP nemusí fungovat v závislosti na konfiguraci serveru FTP.Inbound Passive FTP may not work depending on your FTP server configuration Pasivní FTP vytvoří různá připojení pro řídicí a datové kanály.Passive FTP establishes different connections for control and data channels. Příchozí připojení v Azure Firewall před jejich vstupem na jednu z privátních IP adres brány firewall, aby se zajistilo symetrické směrování.Inbound connections on Azure Firewall are SNATed to one of the firewall private IP address to ensure symmetric routing. Protokol FTP může selhat, pokud datové a řídicí kanály používají jiné zdrojové IP adresy v závislosti na konfiguraci serveru FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. Probíhá zkoumání původní zdrojové IP adresy.Preserving the original source IP address is being investigated. Mezitím můžete nakonfigurovat server FTP tak, aby přijímal data a řídicí kanály z různých zdrojových IP adres.In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses.
V NetworkRuleHitu metriky chybí dimenze protokolu.NetworkRuleHit metric is missing a protocol dimension Metrika ApplicationRuleHit umožňuje protokol založený na filtrování, ale tato funkce chybí v odpovídající NetworkRuleHitové metrikě.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Probíhá šetření opravy.A fix is being investigated.
Pravidla překladu adres (NAT) s porty mezi 64000 a 65535 nejsou podporovaná.NAT rules with ports between 64000 and 65535 are unsupported Azure Firewall povoluje jakýkoli port v rozsahu 1-65535 v pravidlech sítě a aplikace, ale pravidla NAT podporují jenom porty v rozsahu 1-63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Toto je aktuální omezení.This is a current limitation.
Aktualizace konfigurace můžou v průměru trvat pět minut.Configuration updates may take five minutes on average Aktualizace konfigurace Azure Firewall může v průměru trvat tři až pět minut a paralelní aktualizace nejsou podporované.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Probíhá šetření opravy.A fix is being investigated.
Azure Firewall používá k filtrování provozu HTTPS a MSSQL hlavičky SNI TLS.Azure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Pokud prohlížeč nebo serverový software nepodporuje rozšíření SNI (název serveru), nebudete se moct připojit prostřednictvím Azure Firewall.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Pokud prohlížeč nebo serverový software nepodporuje SNI, může být možné řídit připojení pomocí síťového pravidla namísto pravidla aplikace.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. Software, který podporuje SNI, najdete v tématu indikace názvu serveru .See Server Name Indication for software that supports SNI.
Vlastní DNS nefunguje s vynuceným tunelovým propojenímCustom DNS doesn't work with forced tunneling Pokud je povolené vynucené tunelování, vlastní DNS nefunguje.If force tunneling is enabled, custom DNS doesn't work. Probíhá šetření opravy.A fix is being investigated.
Nová podpora veřejných IP adres pro více Zóny dostupnostiNew public IP address support for multiple Availability Zones Novou veřejnou IP adresu nemůžete přidat při nasazení brány firewall se dvěma zónami dostupnosti (1 a 2, 2 a 3 nebo 1 a 3).You can't add a new public IP address when you deploy a firewall with two availability zones (either 1 and 2, 2 and 3, or 1 and 3) Toto je omezení prostředků veřejné IP adresy.This is a public IP address resource limitation.
Funkce Spustit/zastavit nefunguje s bránou firewall nakonfigurovanou v režimu vynuceného tunelového propojení.Start/Stop doesn’t work with a firewall configured in forced-tunnel mode Spuštění/zastavení nefunguje s bránou Azure firewall nakonfigurovanou v režimu vynuceného tunelového propojení.Start/stop doesn’t work with Azure firewall configured in forced-tunnel mode. Při pokusu o spuštění Azure Firewall s nakonfigurovaným vynuceným tunelovým propojením dojde k následující chybě:Attempting to start Azure Firewall with forced tunneling configured results in the following error:

Set-AzFirewall: AzureFirewall nelze přidat konfiguraci IP adresy pro správu FW-XX do existující brány firewall. Pokud chcete používat vynucené tunelové propojení, proveďte znovu nasazení s konfigurací IP adresy pro správu.
StatusCode: 400
ReasonPhrase: Chybný požadavek
Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support.
StatusCode: 400
ReasonPhrase: Bad Request
V rámci šetření.Under investigation.

Jako alternativní řešení můžete odstranit existující bránu firewall a vytvořit novou se stejnými parametry.As a workaround, you can delete the existing firewall and create a new one with the same parameters.
Nejde přidat značky zásad brány firewall pomocí portálu.Can't add firewall policy tags using the portal Zásady Azure Firewall mají omezení podpory oprav, které vám brání v přidávání značky pomocí Azure Portal.Azure Firewall Policy has a patch support limitation that prevents you from adding a tag using the Azure portal. Vygenerovala se následující chyba: značky pro prostředek se nepovedlo Uložit.The following error is generated: Could not save the tags for the resource. Probíhá šetření opravy.A fix is being investigated. Alternativně můžete použít rutinu Azure PowerShell Set-AzFirewallPolicy k aktualizaci značek.Alternatively, you can use the Azure PowerShell cmdlet Set-AzFirewallPolicy to update tags.

Další krokyNext steps