¿Qué es Azure Firewall?What is Azure Firewall?

Certificación ICSA

Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Información general de firewalls

Puede crear, aplicar y registrar directivas de aplicaciones y de conectividad de red a nivel central en suscripciones y redes virtuales.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall usa una dirección IP pública estática para los recursos de red virtual, que permite que los firewall externos identifiquen el tráfico procedente de la red virtual.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. El servicio está totalmente integrado con Azure Monitor para los registros y análisis.The service is fully integrated with Azure Monitor for logging and analytics.

CaracterísticasFeatures

Para obtener información sobre las características de Azure Firewall, consulte Características de Azure Firewall.To learn about Azure Firewall features, see Azure Firewall features.

Problemas conocidosKnown issues

Azure Firewall presenta los siguientes problemas conocidos:Azure Firewall has the following known issues:

IncidenciaIssue DescripciónDescription MitigaciónMitigation
Las reglas de filtrado de red para protocolos que no son TCP/UDP (por ejemplo, ICMP) no funcionan con el tráfico enlazado a InternetNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Las reglas de filtrado de red de protocolos que no son TCP/UDP no funcionan con la traducción SNAT a la dirección IP pública.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Los protocolos que no son TCP/UDP no se admiten entre subredes de radio y redes virtuales.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall usa Standard Load Balancer, que actualmente no admite SNAT para los protocolos IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Se están examinando opciones para admitir este escenario en una versión futura.We're exploring options to support this scenario in a future release.
Falta de compatibilidad entre PowerShell y CLI con ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell y la CLI no admiten ICMP como protocolo válido en las reglas de red.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Aun así se puede usar ICMP como protocolo a través del portal y la API REST.It's still possible to use ICMP as a protocol via the portal and the REST API. Estamos trabajando para agregar pronto ICMP a PowerShell y la CLI.We're working to add ICMP in PowerShell and CLI soon.
Las etiquetas FQDN requieren que se establezca una combinación protocolo: puertoFQDN tags require a protocol: port to be set Las reglas de aplicaciones con las etiquetas FQDN requieren la definición de puerto: protocolo.Application rules with FQDN tags require port: protocol definition. Puede usar https como valor de puerto: protocolo.You can use https as the port: protocol value. Estamos trabajando para que este campo sea opcional cuando se usen etiquetas FQDN.We're working to make this field optional when FQDN tags are used.
No se admite la posibilidad de mover un firewall a otro grupo de recursos o suscripción.Moving a firewall to a different resource group or subscription isn't supported No se admite la posibilidad de mover un firewall a otro grupo de recursos o suscripción.Moving a firewall to a different resource group or subscription isn't supported. La compatibilidad con esta funcionalidad está en nuestro mapa de ruta.Supporting this functionality is on our road map. Para mover un firewall a otro un grupo de recursos o suscripción, debe eliminar la instancia actual y volver a crearla en el nuevo grupo de recursos o suscripción.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Las alertas de inteligencia sobre amenazas pueden estar enmascaradasThreat intelligence alerts may get masked Reglas de red con destino 80/443 para las alertas de inteligencia sobre amenazas de las máscaras de filtrado de salida cuando la configuración está establecida en el modo de solo alerta.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Cree filtrado de salida para 80/443 mediante reglas de aplicaciones.Create outbound filtering for 80/443 using application rules. También puede cambiar el modo de inteligencia sobre amenazas a Alertar y denegar.Or, change the threat intelligence mode to Alert and Deny.
DNAT de Azure Firewall no funciona para destinos de IP privadasAzure Firewall DNAT doesn't work for private IP destinations La compatibilidad con DNAT de Azure Firewall se limita a la entrada/salida de Internet.Azure Firewall DNAT support is limited to Internet egress/ingress. DNAT no funciona actualmente con destinos de IP privada.DNAT doesn't currently work for private IP destinations. Por ejemplo, radio a radio.For example, spoke to spoke. Se trata de una limitación actual.This is a current limitation.
No se puede eliminar la primera configuración de IP públicaCan't remove first public IP configuration Cada IP pública de Azure Firewall se asigna a una configuración de IP.Each Azure Firewall public IP address is assigned to an IP configuration. La primera configuración de IP se asigna durante la implementación del firewall y, normalmente, también contiene una referencia a la subred del firewall (a menos que se configure explícitamente de forma diferente mediante una implementación de plantilla).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). No se puede eliminar esta configuración de IP porque podría anular la asignación del firewall.You can't delete this IP configuration because it would de-allocate the firewall. Aún podrá cambiar o eliminar la dirección IP pública asociada con esta configuración de IP si el firewall tiene al menos otra dirección IP pública disponible para su uso.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. es así por diseño.This is by design.
Availability Zones solo se puede configurar durante la implementación.Availability zones can only be configured during deployment. Availability Zones solo se puede configurar durante la implementación.Availability zones can only be configured during deployment. No se puede configurar una vez implementado un firewall.You can't configure Availability Zones after a firewall has been deployed. es así por diseño.This is by design.
SNAT en conexiones entrantesSNAT on inbound connections Además de DNAT, en las conexiones mediante la dirección IP pública del firewall (entrante) se aplica SNAT en una de las direcciones IP privadas del firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Este requisito hoy en día (también para aplicaciones virtuales de red activa/activa) es para garantizar el enrutamiento simétrico.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Para conservar el código fuente original para HTTP/S, considere el uso de encabezados XFF.To preserve the original source for HTTP/S, consider using XFF headers. Por ejemplo, use un servicio como Azure Front Door o Azure Application Gateway delante del firewall.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. También puede agregar WAF como parte de Azure Front Door Service y la cadena al firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
El filtrado por nombre de dominio completo de SQL se admite solo en modo de proxy (puerto 1433)SQL FQDN filtering support only in proxy mode (port 1433) Para Azure SQL Database, Azure Synapse Analytics y Azure SQL Managed Instance:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

Durante la versión preliminar, el filtrado por nombre de dominio completo de SQL se admite solo en modo de proxy (puerto 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Para IaaS de Azure SQL:For Azure SQL IaaS:

Si va a usar puertos que no son los estándar, puede especificar esos puertos en las reglas de la aplicación.If you're using non-standard ports, you can specify those ports in the application rules.
Para SQL en modo de redirección (el valor predeterminado si se conecta desde dentro de Azure), puede filtrar en su lugar el acceso mediante la etiqueta de servicio de SQL como parte de las reglas de red de Azure Firewall.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
No se permite tráfico de salida en el puerto TCP 25.Outbound traffic on TCP port 25 isn't allowed Las conexiones SMTP salientes que usan el puerto TCP 25 se bloquearon.Outbound SMTP connections that use TCP port 25 are blocked. El puerto 25 se usa principalmente para la entrega de correo electrónico sin autenticación.Port 25 is primarily used for unauthenticated email delivery. Éste es el comportamiento predeterminado de la plataforma para las máquinas virtuales.This is the default platform behavior for virtual machines. Para más información, consulte Solución de problemas de conectividad SMTP saliente en Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Sin embargo, a diferencia de las máquinas virtuales, actualmente no es posible habilitar esta funcionalidad en Azure Firewall.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Nota: Para permitir SMTP autenticado (puerto 587) o SMTP a través de un puerto distinto de 25, asegúrese de configurar una regla de red y no una regla de aplicación, ya que la inspección de SMTP no se admite en este momento.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. Siga el método recomendado para enviar correo electrónico, como se documenta en el artículo de solución de problemas de SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. O bien, excluya la máquina virtual que necesita acceso SMTP saliente desde la ruta predeterminada hasta el firewall.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. En su lugar, configure el acceso saliente directamente a Internet.Instead, configure outbound access directly to the internet.
No se admite el FTP activoActive FTP isn't supported El FTP activo está deshabilitado en Azure Firewall para protegerse frente a ataques de devolución FTP mediante el comando PORT de FTP.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. En su lugar, puede usar el FTP pasivo.You can use Passive FTP instead. Todavía debe abrir explícitamente los puertos TCP 20 y 21 en el firewall.You must still explicitly open TCP ports 20 and 21 on the firewall.
La métrica de uso de puertos SNAT muestra un 0 %SNAT port utilization metric shows 0% La métrica de uso de puertos SNAT de Azure Firewall puede mostrar un uso del 0 % incluso cuando se usan puertos SNAT.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. En este caso, el uso de la métrica como parte de la métrica de estado de mantenimiento del firewall proporciona un resultado incorrecto.In this case, using the metric as part of the firewall health metric provides an incorrect result. Este problema se ha corregido y su implementación en producción está prevista para mayo de 2020.This issue has been fixed and rollout to production is targeted for May 2020. En algunos casos, la reimplementación del firewall resuelve el problema, pero no es coherente.In some cases, firewall redeployment resolves the issue, but it's not consistent. Como solución intermedia, use solo el estado de mantenimiento del firewall para buscar estado=degradado, no para estado=incorrecto.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. El agotamiento de puertos se muestra como degradado.Port exhaustion will show as degraded. Incorrecto se reserva para un uso futuro cuando haya más métricas que afecten al estado de mantenimiento del firewall.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
DNAT no es compatible con la tunelización forzada habilitadaDNAT isn't supported with Forced Tunneling enabled Los firewalls implementados con la tunelización forzada habilitada no admiten el acceso entrante desde Internet debido al enrutamiento asimétrico.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Esto es así por diseño.This is by design because of asymmetric routing. La ruta de acceso de retorno de las conexiones entrantes pasa por el firewall local, que no ha visto la conexión establecida.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
FTP pasivo saliente no funciona en el caso de los firewalls con varias direcciones IP públicas.Outbound Passive FTP doesn't work for Firewalls with multiple public IP addresses FTP pasivo establece distintas conexiones para los canales de control y datos.Passive FTP establishes different connections for control and data channels. Cuando un firewall con varias direcciones IP públicas envía datos de salida, selecciona de manera aleatoria una de sus direcciones IP públicas como dirección IP de origen.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. FTP produce un error cuando los canales de control y datos usan direcciones IP de origen diferentes.FTP fails when data and control channels use different source IP addresses. Está previsto una configuración de SNAT explícita.An explicit SNAT configuration is planned. Mientras tanto, considere la posibilidad de usar una única dirección IP en esta situación.In the meantime, consider using a single IP address in this situation.
Falta una dimensión de protocolo en la métrica NetworkRuleHitNetworkRuleHit metric is missing a protocol dimension La métrica ApplicationRuleHit permite el filtrado basado en el protocolo, pero esta funcionalidad falta en la métrica NetworkRuleHit correspondiente.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Se está investigando una solución.A fix is being investigated.
No se admiten las reglas NAT con puertos entre el 64000 y el 65535NAT rules with ports between 64000 and 65535 are unsupported Azure Firewall permite cualquier puerto en el rango 1-65535 en reglas de red y de aplicación; sin embargo, las reglas NAT solo admiten los puertos del rango 1-63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Se trata de una limitación actual.This is a current limitation.
Las actualizaciones de configuración pueden tardar cinco minutos por término medio.Configuration updates may take five minutes on average Una actualización de la configuración de Azure Firewall puede tardar entre tres y cinco minutos por término medio, y no se admiten actualizaciones en paralelo.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Se está investigando una solución.A fix is being investigated.
Azure Firewall usa encabezados TLS SNI para filtrar el tráfico HTTPS y MSSQLAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Si el software de explorador o servidor no admite la extensión de indicación de nombre de servidor (SNI), no podrá conectarse mediante Azure Firewall.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Si el software de explorador o servidor no admite SNI, es posible que pueda controlar la conexión mediante una regla de red en lugar de una regla de aplicación.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. Consulte Indicación de nombre de servidor para conocer el software que admite SNI.See Server Name Indication for software that supports SNI.
DNS personalizado (versión preliminar) no funciona con la tunelización forzadaCustom DNS (preview) doesn't work with forced tunneling Si está habilitado la tunelización forzada, DNS personalizado (versión preliminar) no funciona.If force tunneling is enabled, custom DNS (preview) doesn't work. Se está investigando una solución.A fix is being investigated.
Compatibilidad con la nueva dirección IP pública para varias instancias de Availability ZonesNew public IP address support for multiple Availability Zones No se puede agregar una nueva dirección IP pública al implementar un firewall con dos zonas de disponibilidad (1 y 2, 2 y 3 o 1 y 3)You can't add a new public IP address when you deploy a firewall with two availability zones (either 1 and 2, 2 and 3, or 1 and 3) Esta es una limitación de recursos de dirección IP pública.This is a public IP address resource limitation.

Pasos siguientesNext steps