Was ist Azure Firewall Manager?What is Azure Firewall Manager?

Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst, der eine zentrale Sicherheitsrichtlinien- und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt.Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters.

Firewall Manager bietet eine Sicherheitsverwaltung für zwei Netzwerkarchitekturtypen:Firewall Manager can provide security management for two network architecture types:

  • Geschützter virtueller HubSecured virtual hub

    Ein Azure Virtual WAN Hub ist eine von Microsoft verwaltete Ressource, mit der Sie ganz einfach Hub-and-Spoke-Architekturen erstellen können.An Azure Virtual WAN Hub is a Microsoft-managed resource that lets you easily create hub and spoke architectures. Wenn einem solchen Hub Sicherheits- und Routingrichtlinien zugeordnet werden, wird dieser als geschützter virtueller Hub bezeichnet.When security and routing policies are associated with such a hub, it is referred to as a secured virtual hub.

  • Virtuelles HubnetzwerkHub virtual network

    Hierbei handelt es sich um ein virtuelles Azure-Standardnetzwerk, das Sie selbst erstellen und verwalten.This is a standard Azure virtual network that you create and manage yourself. Wenn einem solchen Hub Sicherheitsrichtlinien zugeordnet werden, wird dies als virtuelles Hubnetzwerk bezeichnet.When security policies are associated with such a hub, it is referred to as a hub virtual network. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt.At this time, only Azure Firewall Policy is supported. Sie können virtuelle Spoke-Netzwerke, die Ihre Workloadserver und -dienste enthalten, per Peering verknüpfen.You can peer spoke virtual networks that contain your workload servers and services. Sie können auch Firewalls in eigenständigen virtuellen Netzwerken verwalten, die nicht per Peering mit einem Spoke verknüpft sind.You can also manage firewalls in standalone virtual networks that aren't peered to any spoke.

Einen ausführlichen Vergleich des geschützten virtuellen Hubs und des virtuellen Hubnetzwerks finden Sie unter Welche Architekturoptionen gibt es für Azure Firewall Manager?.For a detailed comparison of secured virtual hub and hub virtual network architectures, see What are the Azure Firewall Manager architecture options?.

Firewall Manager

Azure Firewall Manager-FeaturesAzure Firewall Manager features

Azure Firewall Manager bietet die folgenden Features:Azure Firewall Manager offers the following features:

Zentrale Azure Firewall-Bereitstellung und -KonfigurationCentral Azure Firewall deployment and configuration

Sie können zentral mehrere Azure Firewall-Instanzen bereitstellen und konfigurieren, die sich über verschiedene Azure-Regionen und -Abonnements erstrecken.You can centrally deploy and configure multiple Azure Firewall instances that span different Azure regions and subscriptions.

Hierarchische Richtlinien (global und lokal)Hierarchical policies (global and local)

Sie können mit Azure Firewall Manager Azure Firewall-Richtlinien für mehrere geschützte virtuelle Hubs zentral verwalten.You can use Azure Firewall Manager to centrally manage Azure Firewall policies across multiple secured virtual hubs. Ihre zentralen IT-Teams können globale Firewallrichtlinien erstellen, um organisationsweite und teamübergreifende Firewallrichtlinien zu erzwingen.Your central IT teams can author global firewall policies to enforce organization wide firewall policy across teams. Lokal erstellte Firewallrichtlinien ermöglichen ein DevOps-Self-Service-Modell für mehr Agilität.Locally authored firewall policies allow a DevOps self-service model for better agility.

Integration von Drittanbieter-SECaaS-Lösungen für höhere SicherheitIntegrated with third-party security-as-a-service for advanced security

Zusätzlich zur Azure Firewall können Sie SECaaS-Anbieter (Security-as-a-Service) von Drittanbietern integrieren, um zusätzlichen Netzwerkschutz für Ihre VNET-Verbindungen und Internetverbindungen von Zweigstellen zu erzielen.In addition to Azure Firewall, you can integrate third-party security as a service (SECaaS) providers to provide additional network protection for your VNet and branch Internet connections.

Dieses Feature ist nur für Bereitstellungen von geschützten virtuellen Hubs verfügbar.This feature is available only with secured virtual hub deployments.

  • Filterung von V2I-Datenverkehr (VNET-to-Internet)VNet to Internet (V2I) traffic filtering

    • Filtern Sie ausgehenden VNET-Datenverkehr mit einem Drittanbieter-Sicherheitsanbieter Ihrer Wahl.Filter outbound virtual network traffic with your preferred third-party security provider.
    • Nutzen Sie erweiterten, benutzerfähigen Internetschutz für Ihre in Azure ausgeführten Cloudworkloads.Leverage advanced user-aware Internet protection for your cloud workloads running on Azure.
  • Filtern von B2I-Datenverkehr (Branch-to-Internet)Branch to Internet (B2I) traffic filtering

    Nutzen Sie Ihre Azure-Konnektivität und die globale Verteilung, um für B2I-Szenarien auf einfache Weise eine Drittanbieterfilterung hinzuzufügen.Leverage your Azure connectivity and global distribution to easily add third-party filtering for branch to Internet scenarios.

Weitere Informationen zu Sicherheitspartneranbietern finden Sie unter Was sind Azure Firewall Manager-Sicherheitspartneranbieter?.For more information about security partner providers, see What are Azure Firewall Manager security partner providers?

Zentrale RoutenverwaltungCentralized route management

Leiten Sie den Datenverkehr zur Filterung und Protokollierung einfach an Ihren geschützten Hub weiter, ohne dass Sie manuell benutzerdefinierte Routen (UDR) für virtuelle Spoke-Netzwerke einrichten müssen.Easily route traffic to your secured hub for filtering and logging without the need to manually set up User Defined Routes (UDR) on spoke virtual networks.

Dieses Feature ist nur für Bereitstellungen von geschützten virtuellen Hubs verfügbar.This feature is available only with secured virtual hub deployments.

Sie können für die Filterung von B2I-Datenverkehr Anbieter von Drittanbietern verwenden, gemeinsam mit Azure Firewall für B2V (Branch-to-VNET), V2V (VNET-to-VNET) und V2I (VNET-to-Internet).You can use third-party providers for Branch to Internet (B2I) traffic filtering, side by side with Azure Firewall for Branch to VNet (B2V), VNet to VNet (V2V) and VNet to Internet (V2I).

Regionale VerfügbarkeitRegion availability

Azure Firewall-Richtlinien können regionsübergreifend verwendet werden.Azure Firewall Policies can be used across regions. Beispielsweise können Sie eine Richtlinie in „USA, Westen“ erstellen und in „USA, Osten“ verwenden.For example, you can create a policy in West US, and use it in East US.

Bekannte ProblemeKnown issues

Für Azure Firewall Manager sind die folgenden Probleme bekannt:Azure Firewall Manager has the following known issues:

ProblemIssue BESCHREIBUNGDescription MinderungMitigation
Trennung von DatenverkehrTraffic splitting Die Trennung von Microsoft 365-Datenverkehr und öffentlichem Azure-PaaS-Datenverkehr wird aktuell nicht unterstützt.Microsoft 365 and Azure Public PaaS traffic splitting isn't currently supported. Daher wird bei Auswahl eines Drittanbieters für V2I oder B2I auch der gesamte öffentliche Azure-PaaS- und Microsoft 365-Datenverkehr über den Partnerdienst gesendet.As such, selecting a third-party provider for V2I or B2I also sends all Azure Public PaaS and Microsoft 365 traffic via the partner service. Die Datenverkehrstrennung am Hub wird untersucht.Investigating traffic splitting at the hub.
Ein geschützter virtueller Hub pro RegionOne secured virtual hub per region Sie können nicht mehr als einen geschützten virtuellen Hub pro Region verwenden.You can't have more than one secured virtual hub per region. Erstellen Sie mehrere virtuelle WANs in einer Region.Create multiple virtual WANs in a region.
Basisrichtlinien müssen in derselben Region wie die lokale Richtlinie vorliegenBase policies must be in same region as local policy Erstellen Sie sämtliche Ihrer lokalen Richtlinien in derselben Region wie die Basisrichtlinie.Create all your local policies in the same region as the base policy. Eine in einer Region erstellte Richtlinie kann weiterhin auf einen geschützten Hub aus einer anderen Region angewendet werden.You can still apply a policy that was created in one region on a secured hub from another region. Wird untersuchtInvestigating
Filtern von Datenverkehr zwischen Hubs in Bereitstellungen mit geschützten HubsFiltering inter-hub traffic in secure virtual hub deployments Das Filtern der Kommunikation zwischen geschützten virtuellen Hubs wird noch nicht unterstützt.Secured Virtual Hub to Secured Virtual Hub communication filtering isn't yet supported. Die Kommunikation zwischen Hubs funktioniert jedoch weiterhin, wenn die Filterung von privatem Datenverkehr per Azure Firewall nicht aktiviert ist.However, hub to hub communication still works if private traffic filtering via Azure Firewall isn't enabled. Wird untersuchtInvestigating
Spokes in einer anderen Region als der virtuelle HubSpokes in different region than the virtual hub Spokes in einer anderen Region als der virtuelle Hub werden nicht unterstützt.Spokes in different region than the virtual hub aren't supported. Wird untersuchtInvestigating

Erstellen Sie einen Hub pro Region, und verknüpfen Sie VNETs, die sich in der gleichen Region befinden wie der Hub, mittels Peering.Create a hub per region and peer VNets in the same region as the hub.
Branch-to-Branch-Datenverkehr mit aktivierter Filterung von privatem DatenverkehrBranch to branch traffic with private traffic filtering enabled Branch-to-Branch-Datenverkehr wird nicht unterstützt, wenn die Filterung von privatem Datenverkehr aktiviert ist.Branch to branch traffic isn't supported when private traffic filtering is enabled. Wird untersuchtInvestigating.

Schützen Sie privaten Datenverkehr nicht, wenn die Branch-to-Branch-Konnektivität wichtig ist.Don't secure private traffic if branch to branch connectivity is critical.
Alle geschützten virtuellen Hubs, die das gleiche virtuelle WAN nutzen, müssen sich in derselben Ressourcengruppe befinden.All Secured Virtual Hubs sharing the same virtual WAN must be in the same resource group. Dieses Verhalten orientiert sich heute an Virtual WAN-Hubs.This behavior is aligned with Virtual WAN Hubs today. Erstellen Sie mehrere Virtual WAN-Instanzen, um die Erstellung von geschützten virtuellen Hubs in verschiedenen Ressourcengruppen zu ermöglichen.Create multiple Virtual WANs to allow Secured Virtual Hubs to be created in different resource groups.
Fehler beim Massenhinzufügen von IP-AdressenBulk IP address addition fails Die Firewall des geschützten Hubs wird in einen Fehlerzustand versetzt, wenn Sie eine größere Zahl von öffentlichen IP-Adressen hinzufügen.The secure hub firewall goes into a failed state if you add multiple public IP addresses. Fügen Sie öffentliche IP-Adressen in kleineren Schritten hinzu.Add smaller public IP address increments. Fügen Sie beispielsweise nur zehn gleichzeitig hinzu.For example, add 10 at a time.
DDoS Protection Standard wird bei geschützten virtuellen Hubs nicht unterstützt.DDoS Protection Standard not supported with secured virtual hubs DDoS Protection Standard ist nicht in vWANs integriert.DDoS Protection Standard is not integrated with vWANs. Wird untersuchtInvestigating
Aktivitätsprotokolle werden nicht vollständig unterstützt.Activity logs not fully supported Firewallrichtlinie unterstützt derzeit keine Aktivitätsprotokolle.Firewall policy does not currently support Activity logs. Wird untersuchtInvestigating
Bei der Migration der Firewall zur Verwendung der Firewallrichtlinie werden einige Firewalleinstellungen nicht migriert.Some firewall settings are not migrated when the firewall is migrated to use Firewall Policy Bei der Migration zur Azure-Firewallrichtlinie werden Verfügbarkeitszonen und private SNAT-Adressen nicht migriert.Availability Zones and SNAT private addresses are not migrated when you migrate to Azure Firewall Policy. Wird untersuchtInvestigating

Nächste SchritteNext steps