Was ist Azure Firewall?What is Azure Firewall?

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Firewallübersicht

Sie können Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ihre virtuellen Netzwerkressourcen, die es außenstehenden Firewalls ermöglicht, Datenverkehr aus Ihrem virtuellen Netzwerk zu identifizieren.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Der Dienst ist für Protokollierung und Analyse vollständig in Azure Monitor integriert.The service is fully integrated with Azure Monitor for logging and analytics.

Azure Firewall bietet die folgenden Features:Azure Firewall offers the following features:

Integrierte HochverfügbarkeitBuilt-in high availability

Hochverfügbarkeit ist integriert, sodass keine zusätzlichen Lastenausgleichsmodule erforderlich sind und Sie nichts konfigurieren müssen.High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

VerfügbarkeitszonenAvailability Zones

Zur Erhöhung der Verfügbarkeit kann Azure Firewall während der Bereitstellung so konfiguriert werden, dass mehrere Verfügbarkeitszonen abgedeckt werden.Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. Mit Verfügbarkeitszonen erhöht sich die Verfügbarkeit auf eine Betriebszeit von 99,99 %.With Availability Zones, your availability increases to 99.99% uptime. Weitere Informationen finden Sie in der Vereinbarung zum Servicelevel (SLA) für Azure Firewall.For more information, see the Azure Firewall Service Level Agreement (SLA). Die SLA für 99,99 % Betriebszeit wird angeboten, wenn zwei oder mehr Verfügbarkeitszonen ausgewählt werden.The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

Unter Verwendung der Standard-SLA des Diensts von 99,95 % können Sie Azure Firewall außerdem aus Gründen der Nähe einer bestimmten Zone zuordnen.You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

Für eine Firewall, die in einer Verfügbarkeitszone bereitgestellt wird, fallen keine zusätzlichen Kosten an.There's no additional cost for a firewall deployed in an Availability Zone. Es fallen jedoch zusätzliche Kosten an für eingehende und ausgehende Datenübertragungen, die mit Verfügbarkeitszonen verbunden sind.However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. Weitere Informationen finden Sie unter Preisübersicht Bandbreite.For more information, see Bandwidth pricing details.

Verfügbarkeitszonen für Azure Firewall sind in Regionen verfügbar, die Verfügbarkeitszonen unterstützen.Azure Firewall Availability Zones are available in regions that support Availability Zones. Weitere Informationen finden Sie unter Was sind Verfügbarkeitszonen in Azure?For more information, see What are Availability Zones in Azure?

Hinweis

Verfügbarkeitszonen können nur während der Bereitstellung konfiguriert werden.Availability Zones can only be configured during deployment. Für eine vorhandene Firewall können keine Verfügbarkeitszonen konfiguriert werden.You can't configure an existing firewall to include Availability Zones.

Weitere Informationen zu Verfügbarkeitszonen finden Sie unter Was sind Verfügbarkeitszonen in Azure?.For more information about Availability Zones, see What are Availability Zones in Azure?

Uneingeschränkte CloudskalierbarkeitUnrestricted cloud scalability

Azure Firewall kann entsprechend Ihren Anforderungen zentral hochskaliert werden, um einem sich ändernden Netzwerkdatenverkehr zu entsprechen, sodass Sie nicht für Ihre Spitzenlasten budgetieren müssen.Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

FQDN-AnwendungsfilterregelnApplication FQDN filtering rules

Sie können den ausgehenden HTTP/S-Datenverkehr oder Azure SQL-Datenverkehr (Vorschau) auf eine angegebene Liste vollqualifizierter Domänennamen (FQDNs) einschließlich Platzhalter beschränken.You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. Dieses Feature erfordert keine SSL-Terminierung.This feature doesn't require SSL termination.

Filterregeln für den NetzwerkdatenverkehrNetwork traffic filtering rules

Sie können Netzwerkfilterregeln zum Zulassen oder Verweigern nach Quell- und Ziel-IP-Adresse, Port und Protokoll zentral erstellen.You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall ist vollständig zustandsbehaftet, sodass zwischen legitimen Paketen für verschiedene Arten von Verbindungen unterschieden werden kann.Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. Regeln werden übergreifend für mehrere Abonnements und virtuelle Netzwerke erzwungen und protokolliert.Rules are enforced and logged across multiple subscriptions and virtual networks.

FQDN-TagsFQDN tags

FQDN-Tags erleichtern es Ihnen, Netzwerkdatenverkehr bekannter Azure-Dienste durch die Firewall zuzulassen.FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. Angenommen, Sie möchten Netzwerkdatenverkehr von Windows Update durch die Firewall zulassen.For example, say you want to allow Windows Update network traffic through your firewall. Sie erstellen eine entsprechende Anwendungsregel, und schließen das Windows Update-Tag ein.You create an application rule and include the Windows Update tag. Jetzt kann der Netzwerkdatenverkehr von Windows Update durch Ihre Firewall fließen.Now network traffic from Windows Update can flow through your firewall.

DiensttagsService tags

Ein Diensttag steht für eine Gruppe von IP-Adressen und hat die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Sie können weder ein eigenes Diensttag erstellen noch angeben, welche IP-Adressen in einem Tag enthalten sind.You can't create your own service tag, nor specify which IP addresses are included within a tag. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

BedrohungsanalyseThreat intelligence

Die Filterung auf der Grundlage der Bedrohungsanalyse kann für Ihre Firewall aktiviert werden, damit diese Sie bei Datenverkehr an bekannte schädliche und von bekannten schädlichen IP-Adressen oder Domänen warnt und diesen verweigert.Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

SNAT-Unterstützung für ausgehenden DatenverkehrOutbound SNAT support

Alle IP-Adressen für ausgehenden Datenverkehr des virtuellen Netzwerks werden in die öffentliche IP-Adresse der Azure Firewall übersetzt (Source Network Address Translation).All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). Sie können Datenverkehr aus Ihrem virtuellen Netzwerk an Remoteziele im Internet identifizieren und zulassen.You can identify and allow traffic originating from your virtual network to remote Internet destinations. Azure Firewall bietet kein SNAT, wenn die Ziel-IP ein privater IP-Bereich gemäß IANA RFC 1918 ist.Azure Firewall doesn’t SNAT when the destination IP is a private IP range per IANA RFC 1918. Wenn Ihre Organisation einen öffentlichen IP-Adressbereich für private Netzwerke verwendet, leitet Azure Firewall den Datenverkehr per SNAT an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet weiter.If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet.

DNAT-Unterstützung für eingehenden DatenverkehrInbound DNAT support

Der eingehende Netzwerkdatenverkehr zur öffentlichen IP-Adresse Ihrer Firewall wird in die privaten IP-Adressen in Ihren virtuellen Netzwerken übersetzt (Destination Network Address Translation) und gefiltert.Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Mehrere öffentliche IP-AdressenMultiple public IP addresses

Sie können der Firewall mehrere öffentliche IP-Adressen zuordnen (bis zu 100).You can associate multiple public IP addresses (up to 100) with your firewall.

Dies ermöglicht die folgenden Szenarien:This enables the following scenarios:

  • DNAT: Sie können mehrere Standardportinstanzen auf Ihre Back-End-Server übersetzen.DNAT - You can translate multiple standard port instances to your backend servers. Wenn Sie beispielsweise über zwei öffentliche IP-Adressen verfügen, können Sie den TCP-Port 3389 (RDP) für beide IP-Adressen übersetzen.For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT: Für ausgehende SNAT-Verbindungen stehen zusätzliche Ports zur Verfügung, was die Gefahr einer Überlastung des SNAT-Ports verringert.SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. Aktuell wählt Azure Firewall die öffentliche IP-Quelladresse für eine Verbindung nach dem Zufallsprinzip aus.At this time, Azure Firewall randomly selects the source public IP address to use for a connection. Wenn Sie in Ihrem Netzwerk über eine nachgeschaltete Filterung verfügen, müssen Sie alle öffentlichen IP-Adressen zulassen, die mit Ihrer Firewall verbunden sind.If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

Azure Monitor-ProtokollierungAzure Monitor logging

Alle Ereignisse sind in Azure Monitor integriert, sodass Sie Protokolle in einem Speicherkonto archivieren sowie Ereignisse an Ihren Event Hub streamen oder an Azure Monitor-Protokolle senden können.All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

Konformität mit PCI, SOC und ISOPCI, SOC, and ISO compliant

Azure Firewall ist mit PCI (Payment Card Industry), SOC (Service Organization Controls) und ISO (International Organization for Standardization) konform.Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), and International Organization for Standardization (ISO) compliant. Derzeit werden SOC 1 Typ 2, SOC 2 Typ 2, SOC 3, PCI-DSS und ISO 27001, 27018, 20000-1, 22301, 9001, 27017 unterstützt.It currently supports SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, 27017.

Weitere Informationen finden Sie im Microsoft-Leitfaden zur Konformität.For more information, see the Microsoft Compliance Guide.

Bekannte ProblemeKnown issues

Azure Firewall weist die folgenden bekannten Probleme auf:Azure Firewall has the following known issues:

ProblemIssue BESCHREIBUNGDescription LösungMitigation
Netzwerkfilterregeln für andere Protokolle als TCP/UDP (z.B. ICMP) funktionieren nicht für den InternetdatenverkehrNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Netzwerkfilterregeln für andere Protokolle als TCP/UDP funktionieren nicht mit SNAT für Ihre öffentliche IP-Adresse.Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. Nicht-TCP/UDP-Protokolle werden zwischen Spoke-Subnetzen und VNets unterstützt.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall verwendet Standard Load Balancer, das SNAT für IP-Protokolle derzeit nicht unterstützt.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Wir prüfen Möglichkeiten, um dieses Szenario in einer zukünftigen Version zu unterstützen.We're exploring options to support this scenario in a future release.
Fehlende PowerShell- und CLI-Unterstützung für ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell und CLI weisen keine Unterstützung von ICMP als gültiges Protokoll in Netzwerkregeln auf.Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. Es ist weiterhin möglich, ICMP über das Portal und die REST-API als Protokoll zu verwenden.It's still possible to use ICMP as a protocol via the portal and the REST API. Wir arbeiten daran, ICMP in Kürze in PowerShell und CLI hinzuzufügen.We're working to add ICMP in PowerShell and CLI soon.
Für FQDN-Tags muss ein Protokoll/Port festgelegt werdenFQDN tags require a protocol: port to be set Für Anwendungsregeln mit FQDN-Tags ist eine „Port: Protokoll“-Definition erforderlich.Application rules with FQDN tags require port: protocol definition. Sie können https als port:-Protokollwert verwenden.You can use https as the port: protocol value. Wir arbeiten daran, dieses Feld optional zu machen, wenn FQDN-Tags verwendet werden.We're working to make this field optional when FQDN tags are used.
Das Verlagern einer Firewall in eine andere Ressourcengruppe oder ein anderes Abonnement wird nicht unterstütztMoving a firewall to a different resource group or subscription isn't supported Das Verlagern einer Firewall in eine andere Ressourcengruppe oder ein anderes Abonnement wird nicht unterstützt.Moving a firewall to a different resource group or subscription isn't supported. Die Unterstützung dieser Funktionalität ist Teil unserer Roadmap.Supporting this functionality is on our road map. Um eine Firewall in eine andere Ressourcengruppe oder ein anderes Abonnement zu verschieben, müssen Sie die aktuelle Instanz löschen und in der neuen Ressourcengruppe bzw. im Abonnement neu erstellen.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Portbereich in Netzwerk- und AnwendungsregelnPort range in network and application rules Ports sind auf eine Anzahl von 64.000 begrenzt, da der hohe Portbereich für Verwaltung und Integritätstests reserviert sind.Ports are limited to 64,000 as high ports are reserved for management and health probes. Wir arbeiten daran, diese Beschränkung zu lockern.We're working to relax this limitation.
Threat Intelligence-Warnungen sind möglicherweise maskiert.Threat intelligence alerts may get masked Netzwerkregeln mit Ziel 80/443 für ausgehende Filterung maskieren Threat Intelligence-Warnungen, wenn diese für den Modus „Alert only“ (Nur Warnen) konfiguriert sind.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Erstellen Sie die ausgehende Filterung für 80/443 mithilfe von Anwendungsregeln.Create outbound filtering for 80/443 using application rules. Oder ändern Sie den Threat Intelligence-Modus zu Alert and Deny (Warnen und Verweigern).Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall verwendet Azure DNS nur für die Namensauflösung.Azure Firewall uses Azure DNS only for name resolution Azure Firewall löst FQDNs nur mit Azure DNS auf.Azure Firewall resolves FQDNs using Azure DNS only. Ein benutzerdefinierter DNS-Server wird nicht unterstützt.A custom DNS server isn't supported. Dies hat keine Auswirkungen auf die DNS-Auflösung in anderen Subnetzen.There's no impact on DNS resolution on other subnets. Wir arbeiten daran, diese Beschränkung zu lockern.We're working to relax this limitation.
Azure Firewall-SNAT/DNAT funktioniert für private IP-Ziele nichtAzure Firewall SNAT/DNAT doesn't work for private IP destinations Die Azure Firewall-SNAT/DNAT-Unterstützung ist auf eingehenden/ausgehenden Internetdatenverkehr beschränkt.Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. SNAT/DNAT funktioniert derzeit für private IP-Ziele nicht.SNAT/DNAT doesn't currently work for private IP destinations. Beispiel: Spoke zu Spoke.For example, spoke to spoke. Dies ist eine aktuelle Beschränkung.This is a current limitation.
Erste Konfiguration der öffentlichen IP-Adresse kann nicht entfernt werdenCan't remove first public IP configuration Jede öffentliche Azure Firewall-IP-Adresse ist einer IP-Konfiguration zugewiesen.Each Azure Firewall public IP address is assigned to an IP configuration. Die erste IP-Konfiguration wird während der Bereitstellung der Firewall zugewiesen und enthält in der Regel auch einen Verweis auf das Firewallsubnetz (sofern dies nicht über eine Vorlagenbereitstellung explizit anders konfiguriert wurde).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Sie können diese IP-Konfiguration nicht löschen, weil damit die Zuordnung der Firewall aufgehoben würde.You can't delete this IP configuration because it would de-allocate the firewall. Sie können die öffentliche IP-Adresse, die dieser IP-Konfiguration zugeordnet ist, weiterhin ändern oder entfernen, wenn der Firewall mindestens eine andere öffentliche IP-Adresse zur Verwendung zur Verfügung steht.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Dies ist beabsichtigt.This is by design.
Verfügbarkeitszonen können nur während der Bereitstellung konfiguriert werden.Availability zones can only be configured during deployment. Verfügbarkeitszonen können nur während der Bereitstellung konfiguriert werden.Availability zones can only be configured during deployment. Sie können keine Verfügbarkeitszonen konfigurieren, nachdem eine Firewall bereitgestellt wurde.You can't configure Availability Zones after a firewall has been deployed. Dies ist beabsichtigt.This is by design.
SNAT für eingehende VerbindungenSNAT on inbound connections Zusätzlich zu DNAT werden Verbindungen über die öffentliche IP-Adresse der Firewall (eingehend) per SNAT in eine der privaten öffentlichen IP-Adressen übersetzt.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Diese Anforderung gilt derzeit (auch für Aktiv/Aktiv-NVAs), um symmetrisches Routing sicherzustellen.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Um die ursprüngliche Quelle für HTTP/S beizubehalten, können Sie XFF-Header verwenden.To preserve the original source for HTTP/S, consider using XFF headers. Verwenden Sie beispielsweise einen Dienst wie Azure Front Door vor der Firewall.For example, use a service such as Azure Front Door in front of the firewall. Sie können auch WAF als Teil von Azure Front Door verwenden und mit der Firewall verketten.You can also add WAF as part of Azure Front Door and chain to the firewall.
SQL-FQDN-Filterung wird nur im Proxymodus unterstützt (Port 1433)SQL FQDN filtering support only in proxy mode (port 1433) Für Azure SQL-Datenbank, Azure SQL Data Warehouse und verwaltete SQL-Datenbank-Instanzen gilt:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

Während der Vorschau wird die SQL-FQDN-Filterung nur im Proxymodus unterstützt (Port 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Für Azure SQL-IaaS gilt:For Azure SQL IaaS:

Wenn Sie keine Standardports verwenden, können Sie diese Ports in den Anwendungsregeln angeben.If you are using non-standard ports, you can specify those ports in the application rules.
Für SQL im Umleitungsmodus – die Standardeinstellung beim Herstellen von Verbindungen aus Azure heraus – können Sie den Zugriff stattdessen mit dem SQL-Diensttag in den Azure Firewall-Netzwerkregeln filtern.For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Ausgehender Datenverkehr an TCP-Port 25 ist nicht zulässig.Outbound traffic on TCP port 25 isn't allowed Ausgehende SMTP-Verbindungen, die den TCP-Port 25 verwenden, werden blockiert.Outbound SMTP connections that use TCP port 25 are blocked. Der Port 25 wird in erster Linie für die E-Mail-Zustellung ohne Authentifizierung verwendet.Port 25 is primarily used for unauthenticated email delivery. Dies ist das standardmäßige Plattformverhalten für virtuelle Computer.This is the default platform behavior for virtual machines. Weitere Informationen finden Sie unter Behandeln von Problemen mit ausgehenden SMTP-Verbindungen in Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Anders als bei virtuellen Computern kann diese Funktion für Azure Firewall derzeit nicht aktiviert werden.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Verwenden Sie die empfohlene Methode für den E-Mail-Versand, die im Artikel zur SMTP-Problembehandlung dokumentiert ist.Follow the recommended method to send email as documented in the SMTP troubleshooting article. Alternativ können Sie den virtuellen Computer, der ausgehenden SMTP-Zugriff benötigt, von Ihrer Standardroute zur Firewall ausschließen und stattdessen direkten ausgehenden Internetzugriff konfigurieren.Alternatively, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall, and instead configure outbound access directly to the Internet.

Nächste SchritteNext steps