Co je brána Azure Firewall?

Azure Firewall je služba zabezpečení brány firewall sítě nativní pro cloud, která poskytuje to nejlepší z ochrany před hrozbami pro vaše cloudové úlohy běžící v Azure. Je to plně stavová brána firewall jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Zajišťuje kontrolu provozu mezi východem a západem i severem a jihem.

Azure Firewall se nabízí ve dvou SKU: Standard a Premium.

Azure Firewall Standard

Azure Firewall Standard poskytuje informační kanály L3-L7 pro filtrování a analýzu hrozeb přímo z Microsoft Cyber Security. Filtrování na základě inteligentních hrozeb může upozorňovat na provoz z nebo do známých škodlivých IP adres a domén, které se aktualizují v reálném čase, aby se chránily před novými a vznikajícími útoky.

Přehled brány firewall na úrovni Standard

Další informace o funkcích brány firewall standard najdete v Azure Firewall standardu.

Azure Firewall Premium

Azure Firewall Premium poskytuje pokročilé možnosti, mezi které patří idPS založené na podpisech, které umožňují rychlé zjišťování útoků hledáním konkrétních vzorů. Tyto vzory mohou obsahovat sekvence bajtů v síťovém provozu nebo známé škodlivé sekvence instrukcí používané malwarem. Existuje více než 58 000 podpisů ve více než 50 kategoriích, které se aktualizují v reálném čase, aby se chránily před novým a nově vznikajícím zneužitím. Mezi kategorie zneužití patří malware, phishing, dolování mincí a trojské útoky.

Přehled Premium brány firewall

Další informace o funkcích Premium brány firewall najdete v Azure Firewall Premium funkcích.

Azure Firewall Manager

Pomocí služby Azure Firewall Manager můžete centrálně spravovat brány Azure Firewall napříč několika předplatných. Firewall Manager využívá zásady brány firewall k použití společné sady pravidel sítě/aplikace a konfigurace na brány firewall ve vašem tenantovi.

Firewall Manager podporuje brány firewall v prostředích virtuální sítě i virtuální sítě WAN (secure virtual hub). Zabezpečená virtuální centra používají Virtual WAN směrování ke zjednodušení směrování provozu do brány firewall několika kliknutími.

Další informace o Azure Firewall Manager najdete v Azure Firewall Manager.

Ceny a smlouva SLA

Další Azure Firewall najdete v tématu Azure Firewall ceny.

Další Azure Firewall SLA najdete v tématu Azure Firewall SLA.

Novinky

Pokud se chcete dozvědět, co je nového v Azure Firewall, přečtěte si o aktualizacích Azure.

Známé problémy

Brána Azure Firewall má následující známé problémy:

Problém Description Omezení rizik
Pravidla síťového filtrování pro jiné protokoly než TCP/UDP (třeba ICMP) nebudou fungovat pro provoz do internetu. Pravidla filtrování sítě pro jiné protokoly než TCP/UDP nefungují s SNAT na vaši veřejnou IP adresu. Jiné protokoly než TCP/UDP jsou ale podporované mezi koncovými podsítěmi a virtuálními sítěmi. Azure Firewall používá vyvažování zatížení úrovně Standard, které v současnosti nepodporuje SNAT pro protokol IP. Prozkoumáme možnosti podpory tohoto scénáře v budoucí verzi.
Chybějící podpora PowerShellu a rozhraní příkazového řádku pro protokol ICMP Azure PowerShell a rozhraní příkazového řádku nepodporují protokol ICMP jako platný protokol v pravidlech sítě. Protokol ICMP je stále možné používat jako protokol prostřednictvím portálu a REST API. Brzy pracujeme na přidání protokolu ICMP v PowerShellu a rozhraní příkazového řádku.
Značky plně kvalifikovaného názvu domény vyžadují, aby byl nastavený protokol: port Pravidla aplikací se značkami plně kvalifikovaných název domény vyžadují port: definice protokolu. Jako hodnotu port: protokol můžete použít https. Pracujeme na tom, aby toto pole bylo volitelné při použití značek plně kvalifikovaných název domény.
Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje. Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje. Podpora této funkce je na naší roadmapě. Pokud chcete bránu firewall přesunout do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instanci a znovu ji vytvořit v nové skupině prostředků nebo předplatném.
Upozornění na inteligenci hrozeb se mohou maskovat Pravidla sítě s cílem 80/443 pro odchozí filtrování maskuje upozornění na analýzu hrozeb, pokud jsou nakonfigurovaná na režim pouze pro upozornění. Vytvořte odchozí filtrování pro 80/443 pomocí pravidel aplikace. Nebo změňte režim detekce hrozeb na Alert (Výstraha) a Deny (Odepřít).
Azure Firewall DNAT nefunguje pro cíle privátních IP adres Azure Firewall DNAT je omezená na příchozí/příchozí přenos dat z internetu. DNAT v současné době nefunguje pro cíle privátních IP adres. Například mezi paprsky. Jedná se o aktuální omezení.
Není možné odebrat první konfiguraci veřejné IP adresy Každá Azure Firewall IP adresa je přiřazená ke konfiguraci IP adresy. První konfigurace IP adresy se přiřadí během nasazení brány firewall a obvykle obsahuje také odkaz na podsíť brány firewall (pokud není explicitně nakonfigurovaná jinak prostřednictvím nasazení šablony). Tuto konfiguraci IP adresy nemůžete odstranit, protože by se tím zrušte přidělení brány firewall. Stále můžete změnit nebo odebrat veřejnou IP adresu přidruženou k této konfiguraci IP adresy, pokud má brána firewall k dispozici alespoň jednu další veřejnou IP adresu. Toto chování je úmyslné.
Zóny dostupnosti je možné konfigurovat pouze během nasazování. Zóny dostupnosti je možné konfigurovat pouze během nasazování. Po nasazení Zóny dostupnosti bránu firewall už není možné nakonfigurovat. Toto chování je úmyslné.
SNAT u příchozích připojení Kromě DNAT se připojení přes veřejnou IP adresu brány firewall (příchozí) přenačítá na jednu z privátních IP adres brány firewall. Tento požadavek dnes (také pro aktivní/aktivní síťová virtuální zařízení) k zajištění symetrického směrování. Pokud chcete zachovat původní zdroj pro HTTP/S, zvažte použití hlaviček XFF. Použijte například službu, jako je Azure Front Door nebo Azure Application Gateway před bránou firewall. WAF můžete také přidat jako součást Azure Front Door a řetězení k bráně firewall.
SQL Filtrování plně kvalifikovaných název domény podporuje pouze v režimu proxy serveru (port 1433) Pro Azure SQL Database, Azure Synapse Analytics a Azure SQL Managed Instance:

SQL Filtrování plně kvalifikovaných domén se podporuje pouze v režimu proxy (port 1433).

Azure SQL IaaS:

Pokud používáte nestandardní porty, můžete tyto porty zadat v pravidlech aplikace.
Například SQL režimu přesměrování (výchozí nastavení při připojování z Azure) můžete místo toho filtrovat přístup pomocí značky služby SQL jako součást pravidel Azure Firewall sítě.
Odchozí provoz SMTP na portu TCP 25 je blokovaný Odchozí e-mailové zprávy, které jsou odesílány přímo do externích domén (například a ) na portu outlook.com TCP 25, jsou blokovány gmail.com Azure Firewall. Toto je výchozí chování platformy v Azure. Používejte ověřené služby pro přenos přes protokol SMTP, které se obvykle připojují přes port TCP 587, ale také podporují další porty. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure. V současné Azure Firewall může komunikovat s veřejnými IP adresami pomocí odchozího protokolu TCP 25, ale není zaručeno, že bude fungovat a není podporováno pro všechny typy předplatného. U privátních IP adres, jako jsou virtuální sítě, sítě VPN a Azure ExpressRoute, Azure Firewall podporuje odchozí připojení portu TCP 25.
Problém s vyčerpáním portů SNAT Azure Firewall v současné době podporuje 1 024 portů na veřejnou IP adresu na instanci back-endové škálovací sady virtuálních počítačů. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Jedná se o omezení SLB a neustále hledáme příležitosti ke zvýšení limitů. Do té doby doporučujeme nakonfigurovat nasazení Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení, která jsou náchylná k vyčerpání SNAT. Tím se pětkrát zvýší počet dostupných portů SNAT. Přidělením z předpony IP adresy zjednodušte oprávnění pro příjem dat.
DNAT se nepodporuje s povoleným vynuceným tunelovým propojením Brány firewall nasazené s povoleným vynuceným tunelovým propojením nepodporují příchozí přístup z internetu kvůli asymetrickému směrování. Toto je z důvodu asymetrického směrování z důvodu návrhu. Návratová cesta pro příchozí připojení prochází přes místní bránu firewall, která neviděla navázání připojení.
Odchozí pasivní FTP nemusí fungovat pro brány firewall s více veřejnými IP adresami v závislosti na konfiguraci serveru FTP. Pasivní FTP vytvoří různá připojení pro řídicí a datové kanály. Když brána firewall s více veřejnými IP adresami odesílá odchozí data, náhodně vybere jednu z jejích veřejných IP adres pro zdrojovou IP adresu. Protokol FTP může selhat, pokud datové a řídicí kanály používají jiné zdrojové IP adresy v závislosti na konfiguraci serveru FTP. Naplánovala se explicitní konfigurace SNAT. Mezitím můžete nakonfigurovat server FTP tak, aby přijímal data a řídicí kanály z různých zdrojových IP adres (viz Příklad služby IIS). Případně zvažte použití jediné IP adresy v této situaci.
Příchozí pasivní FTP nemusí fungovat v závislosti na konfiguraci serveru FTP. Pasivní FTP vytvoří různá připojení pro řídicí a datové kanály. Příchozí připojení v Azure Firewall před jejich vstupem na jednu z privátních IP adres brány firewall, aby se zajistilo symetrické směrování. Protokol FTP může selhat, pokud datové a řídicí kanály používají jiné zdrojové IP adresy v závislosti na konfiguraci serveru FTP. Probíhá zkoumání původní zdrojové IP adresy. Mezitím můžete nakonfigurovat server FTP tak, aby přijímal data a řídicí kanály z různých zdrojových IP adres.
Aktivní FTP nebude fungovat, pokud se klient FTP musí připojit k serveru FTP přes Internet. Aktivní FTP využívá příkaz portu z klienta FTP, který přesměruje server FTP na adresu IP a port, který se má použít pro datový kanál. Tento příkaz portu využívá privátní IP adresu klienta, kterou nelze změnit. Provoz, který prochází Azure Firewall na straně klienta, bude překladem adres (NAT) pro internetovou komunikaci, takže server FTP vystavuje příkaz portu jako neplatný. Toto je obecné omezení aktivních FTP při použití ve spojení s překladem adres (NAT) na straně klienta.
V NetworkRuleHitu metriky chybí dimenze protokolu. Metrika ApplicationRuleHit umožňuje protokol založený na filtrování, ale tato funkce chybí v odpovídající NetworkRuleHitové metrikě. Probíhá šetření opravy.
Pravidla překladu adres (NAT) s porty mezi 64000 a 65535 nejsou podporovaná. Azure Firewall povoluje jakýkoli port v rozsahu 1-65535 v pravidlech sítě a aplikace, ale pravidla NAT podporují jenom porty v rozsahu 1-63999. Toto je aktuální omezení.
Aktualizace konfigurace můžou v průměru trvat pět minut. Aktualizace konfigurace Azure Firewall může v průměru trvat tři až pět minut a paralelní aktualizace nejsou podporované. Probíhá šetření opravy.
Azure Firewall používá k filtrování provozu HTTPS a MSSQL hlavičky SNI TLS. Pokud prohlížeč nebo serverový software nepodporuje rozšíření SNI (název serveru), nemůžete se připojit prostřednictvím Azure Firewall. Pokud prohlížeč nebo serverový software nepodporuje SNI, může být možné řídit připojení pomocí síťového pravidla namísto pravidla aplikace. Software, který podporuje SNI, najdete v tématu indikace názvu serveru .
Vlastní DNS nefunguje s vynuceným tunelovým propojením Pokud je povolené vynucené tunelování, vlastní DNS nefunguje. Probíhá šetření opravy.
Funkce Spustit/zastavit nefunguje s bránou firewall nakonfigurovanou v režimu vynuceného tunelového propojení. Spuštění/zastavení nefunguje s bránou Azure firewall nakonfigurovanou v režimu vynuceného tunelového propojení. Při pokusu o spuštění Azure Firewall s nakonfigurovaným vynuceným tunelovým propojením dojde k následující chybě:

Set-AzFirewall: AzureFirewall nelze přidat konfiguraci IP adresy pro správu FW-XX do existující brány firewall. Pokud chcete používat vynucené tunelové propojení, proveďte znovu nasazení s konfigurací IP adresy pro správu.
StatusCode: 400
ReasonPhrase: Chybný požadavek
V rámci šetření.

Jako alternativní řešení můžete odstranit existující bránu firewall a vytvořit novou se stejnými parametry.
Nejde přidat značky zásad brány firewall pomocí portálu nebo šablon Azure Resource Manager (ARM). Zásady Azure Firewall mají omezení podpory oprav, které vám brání v přidávání značky pomocí šablon Azure Portal nebo ARM. Vygenerovala se následující chyba: značky pro prostředek se nepovedlo Uložit. Probíhá šetření opravy. nebo můžete použít rutinu Azure PowerShell Set-AzFirewallPolicy k aktualizaci značek.
Protokol IPv6 se v současné době nepodporuje. Pokud přidáte adresu IPv6 k pravidlu, brána firewall se nezdařila. Používejte jenom IPv4 adresy. V rámci šetření je podporována podpora protokolu IPv6.
Aktualizace více skupin IP adres se nezdařila s chybou konfliktu. Když aktualizujete dvě nebo víc skupin IP připojených ke stejné bráně firewall, jeden z prostředků přejde do stavu selhání. Jedná se o známý problém nebo omezení.

Když aktualizujete skupinu IP adres, aktivuje se aktualizace všech bran firewall, ke kterým je IPGroup připojeno. Pokud je v případě, že je brána firewall stále ve stavu aktualizace , spuštěná aktualizace druhé skupiny IP adres, aktualizace IPGroup se nezdařila.

Aby nedocházelo k selhání, je nutné aktualizovat skupiny IP adres, které jsou připojené ke stejné bráně firewall po druhém. Povolí dostatek času mezi aktualizacemi, aby se brána firewall mohla dostat do stavu aktualizace .
Odebrání RuleCollectionGroups pomocí šablon ARM se nepodporuje. Odebrání RuleCollectionGroup pomocí šablon ARM není podporované a výsledkem je selhání. Toto není podporovaná operace.
Pravidlo DNAT pro povolení všech (*) bude mít za SNAT přenos. Pokud pravidlo DNAT povoluje jako zdrojovou IP adresu všechny (*), bude implicitní síťové pravidlo odpovídat VNet-VNet provozu a bude vždycky provozovat. Toto je aktuální omezení.
Přidání pravidla DNAT k zabezpečenému virtuálnímu rozbočovači s poskytovatelem zabezpečení není podporováno. Výsledkem je asynchronní trasa pro vracený DNAT provoz, který přechází do poskytovatele zabezpečení. Nepodporováno
Při vytváření více než 2000 kolekcí pravidel došlo k chybě. Maximální počet kolekcí NAT/aplikace nebo síťových pravidel je 2000 (Správce prostředků limit). Toto je aktuální omezení.
V protokolech Azure Firewall se nedá zobrazit název síťového pravidla. Azure Firewall data protokolu síťového pravidla nezobrazuje název pravidla pro síťový provoz. Tato funkce se prošetří, aby se podporovala.

Další kroky