¿Qué es Azure Firewall?What is Azure Firewall?

Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Información general de firewalls

Puede crear, aplicar y registrar directivas de aplicaciones y de conectividad de red a nivel central en suscripciones y redes virtuales.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall usa una dirección IP pública estática para los recursos de red virtual, que permite que los firewall externos identifiquen el tráfico procedente de la red virtual.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. El servicio está totalmente integrado con Azure Monitor para los registros y análisis.The service is fully integrated with Azure Monitor for logging and analytics.

Azure Firewall ofrece las siguientes características:Azure Firewall offers the following features:

Alta disponibilidad integradaBuilt-in high availability

Gracias a la alta disponibilidad integrada, no se necesita ningún equilibrador de carga adicional y no es necesario configurar nada.High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

Zonas de disponibilidadAvailability Zones

Azure Firewall se puede configurar durante la implementación para abarcar varias zonas de disponibilidad y aumentar la disponibilidad.Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. Con Availability Zones, la disponibilidad aumenta a un tiempo de actividad del 99,99 %.With Availability Zones, your availability increases to 99.99% uptime. Para más información, consulte el Acuerdo de Nivel de Servicio (SLA) de Azure Firewall.For more information, see the Azure Firewall Service Level Agreement (SLA). El SLA de tiempo de actividad del 99,99 % se ofrece cuando se seleccionan dos o más zonas de Availability Zones.The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

También puede asociar Azure Firewall a una zona específica solo por motivos de proximidad, mediante el SLA del 99,95 % estándar del servicio.You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

No hay ningún costo adicional por el firewall implementado en una zona de disponibilidad.There's no additional cost for a firewall deployed in an Availability Zone. Sin embargo, hay costos adicionales para las transferencias de datos entrantes y salientes asociadas con Availability Zones.However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. Para más información, consulte Detalles de precios de ancho de banda.For more information, see Bandwidth pricing details.

Availability Zones de Azure Firewall está disponible en las regiones que lo admiten.Azure Firewall Availability Zones are available in regions that support Availability Zones. Para más información, consulte ¿Qué son las zonas de disponibilidad en Azure?For more information, see What are Availability Zones in Azure?

Nota

Availability Zones solo se puede configurar durante la implementación.Availability Zones can only be configured during deployment. No se puede configurar un firewall existente para incluirlo.You can't configure an existing firewall to include Availability Zones.

Para más información sobre Availability Zones, consulte ¿Qué son las zonas de disponibilidad en Azure?For more information about Availability Zones, see What are Availability Zones in Azure?

Escalabilidad a la nube sin restriccionesUnrestricted cloud scalability

Azure Firewall puede escalarse verticalmente todo lo que sea necesario para acoger los flujos de tráfico de red cambiantes, por lo que no es necesario elaborar un presupuesto para el tráfico en su momento álgido.Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

Reglas de filtrado de FQDN de aplicaciónApplication FQDN filtering rules

Puede limitar el tráfico HTTP/S o el tráfico de Azure SQL (versión preliminar) saliente a una lista especificada de nombres de dominio completos (FQDN) que incluye caracteres comodín.You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. Esta característica no requiere terminación de SSL.This feature doesn't require SSL termination.

Reglas de filtrado de tráfico de redNetwork traffic filtering rules

Puede crear reglas de filtrado de red para permitir o denegar por dirección IP de origen y destino, puerto y protocolo.You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall tiene estado completo, de modo que puede distinguir los paquetes legítimos de diferentes tipos de conexiones.Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. Las reglas se aplican y se registran en varias suscripciones y redes virtuales.Rules are enforced and logged across multiple subscriptions and virtual networks.

Etiquetas FQDNFQDN tags

Con las etiquetas FQDN, puede permitir fácilmente el conocido tráfico de red del servicio de Azure a través del firewall.FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. Por ejemplo, supongamos que quiere permitir el tráfico de red de Windows Update a través del firewall.For example, say you want to allow Windows Update network traffic through your firewall. Puede crear una regla de aplicación e incluir la etiqueta de Windows Update.You create an application rule and include the Windows Update tag. Ahora, el tráfico de red de Windows Update puede fluir a través del firewall.Now network traffic from Windows Update can flow through your firewall.

Etiquetas de servicioService tags

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP que ayudan a reducir la complejidad de la creación de reglas de seguridad.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. No puede crear su propia etiqueta de servicio ni especificar qué direcciones IP se incluyen dentro de una etiqueta.You can't create your own service tag, nor specify which IP addresses are included within a tag. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente esta a medida que las direcciones cambian.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Información sobre amenazasThreat intelligence

El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados.Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

Compatibilidad con SNAT salienteOutbound SNAT support

Todas las direcciones IP de tráfico de red virtual salientes se convierten a direcciones IP públicas de Azure Firewall (traducción de direcciones de red de origen).All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). Puede identificar y permitir el tráfico que se origina en la red virtual y se dirige a los destinos de Internet remotos.You can identify and allow traffic originating from your virtual network to remote Internet destinations. Azure Firewall no aplica SNAT cuando la dirección IP de destino es un intervalo de direcciones IP privadas por IANA RFC 1918.Azure Firewall doesn’t SNAT when the destination IP is a private IP range per IANA RFC 1918. Si su organización usa un intervalo de direcciones IP públicas para las redes privadas, Azure Firewall aplicará SNAT al tráfico para una de las direcciones IP privadas de firewall en AzureFirewallSubnet.If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet.

Compatibilidad con DNAT entranteInbound DNAT support

El tráfico de red entrante a la dirección IP pública de firewall se traduce (traducción de direcciones de red de destino) y se filtra para las direcciones IP privadas en las redes virtuales.Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Varias direcciones IP públicasMultiple public IP addresses

Importante

Azure Firewall con varias direcciones IP públicas está disponible mediante Azure Portal, Azure PowerShell, la CLI de Azure, REST y plantillas.Azure Firewall with multiple public IP addresses is available via the Azure portal, Azure PowerShell, Azure CLI, REST, and templates.

Puede asociar varias direcciones IP públicas (hasta 100) con el firewall.You can associate multiple public IP addresses (up to 100) with your firewall.

Esto admite los siguientes escenarios:This enables the following scenarios:

  • DNAT: puede traducir varias instancias de puerto estándar para los servidores back-end.DNAT - You can translate multiple standard port instances to your backend servers. Por ejemplo, si tiene dos direcciones IP públicas, puede traducir el puerto TCP 3389 (RDP) para ambas direcciones IP.For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT: hay disponibles puertos adicionales para las conexiones SNAT salientes, lo que reduce la posibilidad de que se agoten los puertos SNAT.SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. En este momento, Azure Firewall selecciona aleatoriamente la dirección IP pública de origen que se usará para una conexión.At this time, Azure Firewall randomly selects the source public IP address to use for a connection. Si dispone de algún filtro de nivel inferior de la red, deberá permitir todas las direcciones IP públicas asociadas con el firewall.If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

Registro de Azure MonitorAzure Monitor logging

Todos los eventos se integran en Azure Monitor, lo que permite archivar registros en una cuenta de almacenamiento, transmitir eventos al centro de eventos o enviarlos a los registros de Azure Monitor.All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

Compatible con PCI, SOC e ISOPCI, SOC, and ISO compliant

Azure Firewall es compatible con la industria de tarjetas de pago (PCI), los controles de organización de servicio (SOC) y la Organización internacional de normalización (ISO).Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), and International Organization for Standardization (ISO) compliant. Actualmente admite SOC 1 tipo 2, SOC 2 tipo 2, SOC 3, PCI DSS e ISO 27001, 27018, 20000-1, 22301, 9001 y 27017.It currently supports SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, 27017.

Para más información, consulte la Guía de cumplimiento de Microsoft.For more information, see the Microsoft Compliance Guide.

Problemas conocidosKnown issues

Azure Firewall presenta los siguientes problemas conocidos:Azure Firewall has the following known issues:

ProblemaIssue DESCRIPCIÓNDescription MitigaciónMitigation
Las reglas de filtrado de red para protocolos que no son TCP/UDP (por ejemplo, ICMP) no funcionan con el tráfico enlazado a InternetNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Las reglas de filtrado de red de protocolos que no son TCP/UDP no funcionan con la traducción SNAT a la dirección IP pública.Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. Los protocolos que no son TCP/UDP no se admiten entre subredes de radio y redes virtuales.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall usa Standard Load Balancer, que actualmente no admite SNAT para los protocolos IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Se están examinando opciones para admitir este escenario en una versión futura.We're exploring options to support this scenario in a future release.
Falta de compatibilidad entre PowerShell y CLI con ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell y CLI no admiten ICMP como protocolo válido en las reglas de red.Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. Aun así se puede usar ICMP como protocolo a través del portal y la API REST.It's still possible to use ICMP as a protocol via the portal and the REST API. Estamos trabajando para agregar pronto ICMP a PowerShell y la CLI.We're working to add ICMP in PowerShell and CLI soon.
Las etiquetas FQDN requieren que se establezca una combinación protocolo: puertoFQDN tags require a protocol: port to be set Las reglas de aplicaciones con las etiquetas FQDN requieren la definición de puerto: protocolo.Application rules with FQDN tags require port: protocol definition. Puede usar https como valor de puerto: protocolo.You can use https as the port: protocol value. Estamos trabajando para que este campo sea opcional cuando se usen etiquetas FQDN.We're working to make this field optional when FQDN tags are used.
No se admite la posibilidad de mover un firewall a otro grupo de recursos o suscripción.Moving a firewall to a different resource group or subscription isn't supported No se admite la posibilidad de mover un firewall a otro grupo de recursos o suscripción.Moving a firewall to a different resource group or subscription isn't supported. La compatibilidad con esta funcionalidad está en nuestro mapa de ruta.Supporting this functionality is on our road map. Para mover un firewall a otro un grupo de recursos o suscripción, debe eliminar la instancia actual y volver a crearla en el nuevo grupo de recursos o suscripción.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Intervalo de puertos en reglas de red y aplicaciónPort range in network and application rules Los puertos están limitados a 64.000, ya que los puertos altos están reservados para la administración y los sondeos de estado.Ports are limited to 64,000 as high ports are reserved for management and health probes. Estamos trabajando para reducir esta limitación.We're working to relax this limitation.
Las alertas de inteligencia sobre amenazas pueden estar enmascaradasThreat intelligence alerts may get masked Reglas de red con destino 80/443 para las alertas de inteligencia sobre amenazas de las máscaras de filtrado de salida cuando la configuración está establecida en el modo de solo alerta.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Cree filtrado de salida para 80/443 mediante reglas de aplicaciones.Create outbound filtering for 80/443 using application rules. También puede cambiar el modo de inteligencia sobre amenazas a Alertar y denegar.Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall usa Azure DNS para la resolución de nombresAzure Firewall uses Azure DNS only for name resolution Azure Firewall resuelve los FQDN solo mediante Azure DNS.Azure Firewall resolves FQDNs using Azure DNS only. No se admite un servidor DNS personalizado.A custom DNS server isn't supported. No hay ningún efecto sobre la resolución de DNS en otras subredes.There's no impact on DNS resolution on other subnets. Estamos trabajando para reducir esta limitación.We're working to relax this limitation.
SNAT/DNAT de Firewall de Azure no funciona para destinos de IP privadasAzure Firewall SNAT/DNAT doesn't work for private IP destinations La compatibilidad con SNAT/DNAT de Azure Firewall se limita a la entrada/salida de Internet.Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. SNAT/DNAT no funciona actualmente con destinos de IP privada.SNAT/DNAT doesn't currently work for private IP destinations. Por ejemplo, radio a radio.For example, spoke to spoke. Se trata de una limitación actual.This is a current limitation.
No se puede eliminar la primera configuración de IP públicaCan't remove first public IP configuration Cada IP pública de Azure Firewall se asigna a una configuración de IP.Each Azure Firewall public IP address is assigned to an IP configuration. La primera configuración de IP se asigna durante la implementación del firewall y, normalmente, también contiene una referencia a la subred del firewall (a menos que se configure explícitamente de forma diferente mediante una implementación de plantilla).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). No se puede eliminar esta configuración de IP porque podría anular la asignación del firewall.You can't delete this IP configuration because it would de-allocate the firewall. Aún podrá cambiar o eliminar la dirección IP pública asociada con esta configuración de IP si el firewall tiene al menos otra dirección IP pública disponible para su uso.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Esto es así por diseño.This is by design.
Availability Zones solo se puede configurar durante la implementación.Availability zones can only be configured during deployment. Availability Zones solo se puede configurar durante la implementación.Availability zones can only be configured during deployment. No se puede configurar una vez implementado un firewall.You can't configure Availability Zones after a firewall has been deployed. Esto es así por diseño.This is by design.
SNAT en conexiones entrantesSNAT on inbound connections Además de DNAT, en las conexiones mediante la dirección IP pública del firewall (entrante) se aplica SNAT en una de las direcciones IP privadas del firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Este requisito hoy en día (también para aplicaciones virtuales de red activa/activa) es para garantizar el enrutamiento simétrico.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Para conservar el código fuente original para HTTP/S, considere el uso de encabezados XFF.To preserve the original source for HTTP/S, consider using XFF headers. Por ejemplo, use un servicio como Azure Portal delante del firewall.For example, use a service such as Azure Front Door in front of the firewall. También puede agregar WAF como parte de Azure Front Door Service y la cadena al firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
El filtrado por nombre de dominio completo de SQL se admite solo en modo de proxy (puerto 1433)SQL FQDN filtering support only in proxy mode (port 1433) Para Azure SQL Database, Azure SQL Data Warehouse e Instancia administrada de SQL Database:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

Durante la versión preliminar, el filtrado por nombre de dominio completo de SQL se admite solo en modo de proxy (puerto 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Para IaaS de Azure SQL:For Azure SQL IaaS:

Si va a usar puertos que no son los estándar, puede especificar esos puertos en las reglas de la aplicación.If you are using non-standard ports, you can specify those ports in the application rules.
Para SQL en modo de redirección, que es el valor predeterminado si se conecta desde dentro de Azure, puede filtrar en su lugar el acceso mediante la etiqueta de servicio de SQL como parte de las reglas de red de Azure Firewall.For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
No se permite el tráfico de salida en el puerto TCP 25.Outbound traffic on TCP port 25 is not allowed Las conexiones SMTP salientes que usan el puerto TCP 25 se bloquearon.Outbound SMTP connections that use TCP port 25 are blocked. El puerto 25 se usa principalmente para la entrega de correo electrónico sin autenticación.Port 25 is primarily used for unauthenticated email delivery. Éste es el comportamiento predeterminado de la plataforma para las máquinas virtuales.This is the default platform behavior for virtual machines. Para más información, consulte Solución de problemas de conectividad SMTP saliente en Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Sin embargo, a diferencia de las máquinas virtuales, actualmente no es posible habilitar esta funcionalidad en Azure Firewall.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Siga el método recomendado para enviar correo electrónico como se documenta en el artículo de solución de problemas de SMTP.Follow the recommended method to send email as documented in the SMTP troubleshooting article. Como alternativa, excluya la máquina virtual que necesita acceso SMTP saliente desde la ruta predeterminada al firewall y, en su lugar, configure el acceso saliente directamente a Internet.Alternatively, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall, and instead configure outbound access directly to the Internet.

Pasos siguientesNext steps